也想出现在这里? 联系我们

Velocity Parse()函数引发的本地包含漏洞及利用方法

作者 : 小编 本文共1816个字,预计阅读时间需要5分钟 发布时间: 2021-06-20 共4.46K人阅读
也想出现在这里? 联系我们

一 背景及描述Velocity是一个基于java的模板引擎(template engine),它允许任何人仅仅简单的使用模板语言(template language)来引用由java代码定义的对象。我们知道,越是功能强大、函数丰富的渲染层语言(从某种意义上来说,PHP也可归类为渲染层语言)越会带来一些安全问题。有人认为,velocity不能像jsp一样编写java代码,是严格的mvc分离,所以相当安全。那么请看看这篇文章吧,相信看完之后你不会继续这么认为:)二 什么是本地包含漏洞(LFI)本地包含(LFI)是一项经典的web hacking技术,攻击者目的是将可控的包含恶意代码的文件引入,并以渲染层语言执行。由于语言特性(如include,require函数),此漏洞多发于PHP。三Velocity Parse()函数官方定义:The #parse script element allows the template designer to import a local file that contains VTL. Velocity will parse the VTL and render the template specified.简单来说,Parse()函数是用来引入包含VTL的模板常见用法:#parse( "me.vm" )与之类似且易混淆的的是Include()函数,但需要注意的是,include函数引入文件内容不经过template engine处理。常见用法#include( "one.txt" )然而,在实际代码开发过程中,许多程序员会对变量进行拼接,写出以下代码(有不少真实案例,非YY):#parse("${path}.vm")于是乎,当Path变量用户可控时,漏洞产生了。四 利用条件1.parse中的变量用户可控2.velocity的模版读取不只限定在web目录下3.能够截断 www.jb51.net尤其是后两个条件,看似非常苛刻。但是如果仔细研究你会发现,不少架构师并不会将velocity模版目录限定于WEB-INF甚至Webapp目录下,这为我们的利用带来了可能性。所以,在velocity.properties中,类似以下的配置都是危险的resource.loader = filefile.resource.loader.class = org.apache.velocity.runtime.resource.loader.FileResourceLoaderfile.resource.loader.path = /opt/templatesfile.resource.loader.path = /home/myhome/other_root_path五 利用方法与传统LFI利用并无大的差别,总结来说无非有3种类型1.文件跳转读取敏感信息http://test.com/index.php?page=../../../../../../../../../../etc/passwd%002.在上传点上传含有恶意vtl代码的jpg等文件,然后通过LFI进行包含以使得正常文件以vm解析。3.修改http包,在请求url或user-agent处携带恶意VTL代码,再包含accesslog或/proc/self/environ以解析。下面我们开始实战,也是用的LFI的经典利用手法之一Step1 我们在图片文件中插入以下代码:#set ($exec ="thanks")$exec.class.forName("java.lang.Runtime").getRuntime().exec("calc")Step2 上传图片至服务器Step3 通过本地包含漏洞点,进行目录跳转并%00截断六 防御方法1.velocity.properties文件进行类似如下配置resource.loader = webappwebapp.resource.loader.class = org.apache.velocity.tools.view.servlet.WebappLoaderwebapp.resource.loader.path=/WEB-INF/vm/2.对用户提交的的参数进行../过滤七 小结国内关于java安全研究不多,明显的例子就是struts漏洞,常年无人问津直至前段时间出了利用程序才在国内火热起来。安全最重要的是思路,漏洞并不只会发生在PHP上,希望本文能成为一个启示

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » Velocity Parse()函数引发的本地包含漏洞及利用方法

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录