来源:奇安信攻防社区,作者:中铁13层打工人
原文:https://forum.butian.net/share/3100
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
上次提到还有一处可能存在任意用户登录的点,最近没什么研究就写一下,顺便看看还有其他漏洞不
0x01 任意用户登录
public void addUser(WsAdminParam<ExUserBean> adminParam) {ExUserBean bean = (ExUserBean)adminParam.getParam();UserBean userBean = new UserBean();userBean.setOwnerCode(bean.getOrgCode());userBean.setRoleIds(bean.getRoleIds());userBean.setLoginName(bean.getLoginName());userBean.setIsReuse(bean.getIsReuse() ? 1 : 0);userBean.setLoginPass(bean.getLoginPass());userBean.setUserName(bean.getUserName());userBean.setUserType(0);this.userManager.addUser(userBean);UserCache.addUserToUserList(userBean);}
可以看到通过传入WsAdminParam类型参数,获取param对象的成员遍历对UseBean进行赋值初始化,最后保存到数据库中
接口.方法名,于是构造ExUserManager.addUser并没有其他调用,难道这只是单纯实现了方法?
ExUserManager接口名,排除类定义等干扰信息我们有了新的收获interfaceMethodsMap.put(AdminWebService.INTERFACE_QUERY_USER,WsMethod.bulid(ExUserManager.class.getMethod("queryUser", WsAdminParam.class), ExUserBean.class));interfaceMethodsMap.put(AdminWebService.INTERFACE_DELETE_USER,WsMethod.bulid(ExUserManager.class.getMethod("deleteUsers", WsAdminParam.class), ExUserBean.class));interfaceMethodsMap.put(AdminWebService.INTERFACE_ADD_USER,WsMethod.bulid(ExUserManager.class.getMethod("addUser", WsAdminParam.class), ExUserBean.class));interfaceMethodsMap.put(AdminWebService.INTERFACE_VIEW_USER,WsMethod.bulid(ExUserManager.class.getMethod("viewUser", WsAdminParam.class), ExUserBean.class));interfaceMethodsMap.put(AdminWebService.INTERFACE_UPDATE_USER,WsMethod.bulid(ExUserManager.class.getMethod("updateUser", WsAdminParam.class), ExUserBean.class));interfaceMethodsMap.put(AdminWebService.INTERFACE_UPDATE_USER_PASSWORD,WsMethod.bulid(ExUserManager.class.getMethod("updateUserPassword", WsAdminParam.class), ExUserBean.class));
在AdminWebServiceImpl类的静态代码块中初始化了interfaceMethodsMap数组,其中将ExUserManager方法对象进行存储。
在executeInterface方法中对interfaceMethodsMap数组进行了取值操作
interfaceMethodsMap的key为admin_011_02(下面会讲到),map会返回我们WsMethod对象,那么WsMethod#getExtClass返回的值就是map中的 WsMethod.bulid 的第⼆个参数,也就是ExUserBeanWsAdminParam.fromJson(jsonParam, method.getExtClass());⽅法如下:这⾥将我们传⼊的第⼆个参数⾸先进⾏json解析,移除json中的param参数,然后再分别进⾏json反序列化,第⼀次反序列化是将移除的param json数据转化为ExUserBean类型,第⼆次反序列化是将 传⼊的json转化为 WsAdminParam 类型,最后将ExUserBean重新设置到 WsAdminParam 对象中,因此我们传⼊的参数主要是在反序列化为 WsAdminParam 对象WsAdminParam 类成员变量,发现需要这些参数:executeInterface方法中传入的jsonParam的值应为:{"authorinize": {"userName": "11","password": "11","loginCode": "11"},"locale": "1","param": {"orgCode":"001","loginName":"test","roleIds":"1","loginPass":"test","isReuse":0,"oldLoginName":"xxx","oldRoleIds":"1","userName":"test"},"paramStr": "11","langLocale": "11","orders": [{"propertyName": "1","isAscending": true}]}
那么executeInterface方法在哪调用呢?
(targetNamespace = "http://webservice.dhsoft.com")public class AdminWebServiceImpl implements AdminWebService
WebService是一种跨编程语言和跨操作系统平台的远程调用技术。所谓跨编程语言和跨操作平台,就是说服务端程序采用java编写,客户端程序则可以采用其他编程语言编写,反之亦然!跨操作系统平台则是指服务端程序和客户端程序可以在不同的操作系统上运行。
Java中常用注解来注册WebService服务,常见注解有
@WebService:此注示用来标明此java类为某个WebService的实现类或者标明此java接口定义了某个WebService的接口。即定义服务
@WebMethod:定义方法,在公共方法上面表示该方法要作为服务发布,仅支持在使用@webservice注解来注解的类上使用@WebMethod注解
@WebResult:注解用于定制从返回值至WSDL部件或XML元素的映射。即定义返回值
@WebParam: 注解用于定制从单个参数至Web Service消息部件(message元素)和 XML 元素的映射。即定义参数
向上进入AdminWebService接口
其中定义了interfaceMethodsMap数组interfaceId的具体值,我们调用addUser时interfaceId=admin_011_002;并且将executeInterface注册在了WebService服务中。
根据java中WebService的配置,我们在配置文件中找的AdminWebService注册的路由(厚码保命)
2、漏洞复现
我们利用burp中的插件Wsdler帮助我们生成webservice的xml格式
0x02 其他利用点
我们对比两个添加用户的方法发现构造完userbean对象后都调用了this.userManager.addUser方法,我们可以精确搜索
发现还有其他两个接口可以创建用户。
AdminWebServiceImpl的interfaceMethodsMap中除了adduser还有其他方法比如queryUser可以查看用户信息
viewUser可以查看对应用户的密码
另外在lib中看到低版本的xstream依赖
xstream主要是在调用fromXML和toXML方法如果传入参数可控就大概率存在反序列化漏洞
挑选addDevs方法,找的具体实现的代码
这里getFormatedDevXStream是获取XStream对象
如果validateAndReturnXmlInfo方法的返回可控就可以进行反序列化,跟进发现
可以看到validateAndReturnXmlInfo其实是获取请求参数xmlInfo的值,这个我们是可控,构造payload。
工具地址:https://github.com/woodpecker-framework/woodpecker-framework-release插件地址:https://github.com/woodpecker-appstore/xstream-vuldb
复制出来去除缩进的空格和换行后将其进行URL全编码,访问接口并传参
成功执行ping命令
关注我们
还在等什么?赶紧点击下方名片开始学习吧
知 识 星 球
推 荐 阅 读
