我想知道以下漏洞的利用代码。
- https://issues.apache.org/jira/browse/FILEUPLOAD-279
此漏洞似乎是由反序列化漏洞引起的。
- https://www.tenable.com/security/research/tra-2016-12
我感兴趣的是这个漏洞是否只是对象反序列化。
根据与ysosserial的集成,似乎可以通过上传序列化对象负载的文件进行攻击。
这是uploading file常规文件上传吗
例如,下面的代码。
// Upload file of serialized object payload in Web Browser by `input type="file"`
// Server Code
DiskFileItemFactory factory = new DiskFileItemFactory();
factory.setSizeThreshold(0);
ServletFileUpload upload = new ServletFileUpload(factory);
List items = upload.parseRequest(request); // **Here executing attack code??
...
或者这个uploading file接收序列化的对象有效载荷(并取消序列化(像Java RMI吗?
我认为只有当接收到序列化的对象负载时。
这种情况下的漏洞似乎是应用程序在可信访问控制上下文(acc(中取消了不可信数据的序列化。请参阅Oracle的Java SE安全编码指南指南8-5/SERIAL-5:了解赋予序列化和反序列化的安全权限。
快速查看当前源似乎表明Serializable已从该库中删除,而且它本身似乎从未进行过任何取消序列化(我可能错了(。