登陆 注册

如何挖掘1500刀的反序列化漏洞

桑云信息Lzers 2019-05-12 漏洞挖掘反序列化漏洞

在我的宽带即将到期的最后一天下午,我想与其什么都不做,不如挖挖漏洞呀。

开始

我登陆了我的bugcrowd账户,并开始思考:

如何挖掘1500刀的反序列化漏洞

我找到了一个私人项目****(不能透露他的名字,我们暂且称之为Redacted.com)。测试这个项目的人非常之少。

所以我对网站进行了信息收集,找到了一个简单却优雅的登陆页面。通过Wappalyzer我们只能发现它使用了javascript框架:Prototype 1.6.1

如何挖掘1500刀的反序列化漏洞

这让我想起了jboss ......(我也不知道为什么)

同时,我也注册了账户,但必须等待管理员的审核。因此我使用Burp进一步测试登录过程,并在请求中发现了如下数据:

<input type ="hidden"name ="javax.faces.ViewState"
id ="javax.faces.ViewState"value ="rO0ABXVyABNbTGp
hdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAAJwdAAML
2xvZ2luLnhodG1s ............<snipt>
"autocomplete ="off"/>

Java反序列化

如果你截取的数据包中包含以下数据,那可能意味着数据是在Java反序列化流发送的:

Hex中的"AC ED 00 05"

Base64中的"rO0"

Content-type='application/x-java-serialized-object

好吧,这打消了我的怀疑,因为这个网站使用了Java Server Faces(JSF) ,而我正在:

如何挖掘1500刀的反序列化漏洞

下一步是测试隐匿在base64中编码的值,解码之后我发现了没有加密的序列化Java值。

Getshell

使用Jexboss工具测试一下:

如何挖掘1500刀的反序列化漏洞

如何挖掘1500刀的反序列化漏洞

最后我得到了一个Shell,并获得了1500美金的奖励。


生成海报
请发表您的评论
桑云信息Lzers

桑云信息Lzers

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
907文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net