天融信阿尔法实验室 » 漏洞应急响应

DedeCMS文件上传漏洞分析

天融信安全应急响应中心 — Tue, 31 May 2022 03:05:25 +0000

前言

前段时间看到有篇文章是关于DedeCMS后台文件上传(CNVD-2022-33420)，是绕过了对上传文件内容的黑名单过滤，碰巧前段时间学习过关于文件上传的知识，所以有了这篇文章，对DedeCMS的两个文件上传漏洞(CVE-2018-20129、CVE-2019-8362)做一个分析。

简介

DedeCMS简介 DedeCMS由上海卓卓网络科技有限公司研发的国产PHP网站内容管理系统；具有高效率标签缓存机制；允许对类同的标签进行缓存，在生成 HTML的时候，有利于提高系统反应速度，降低系统消耗的资源。众多的应用支持；为用户提供了各类网站建设的一体化解决方案，在本版本中，增加了分类[......]

CVE-2022-21882 Win32k内核提权漏洞深入分析

天融信安全应急响应中心 — Mon, 18 Apr 2022 06:44:10 +0000

1、漏洞介绍
2、漏洞影响版本
3、分析环境
4、背景知识
5、漏洞成因
6、利用漏洞的流程
- 6.1、触发用户态回调
- 6.2、HOOK回调函数
- 6.3、修改窗口模式为模式1
- 6.4、回调返回伪造偏移量
- 6.5、泄露内核窗口数据结构
- 6.6、如何布局内存
7、EXP分析调试
8、两种提权方式
- 8.1、设置token
- 8.2、修改Privileges
9、补丁分析
10、参考链接

CVE-2022-21882漏洞是Windows系统的一个本地提权漏洞，微软在2022年1月份安全更新中修补此漏洞。[......]

CVE-2021-33742：Internet Explorer MSHTML堆越界写漏洞分析

Mon, 24 Jan 2022 04:04:53 +0000

1、漏洞背景
2、漏洞简介
3、分析环境
- 3.1、提取漏洞模块
- 3.2、关闭ASLR
4、漏洞复现
5、Internet Explorer DOM树的结构
- 5.1、以文本为中心的设计
- 5.2、增加复杂性层次结构
- 5.3、原来的DOM没有经过封装
6、漏洞原理分析
- 6.1、逆向mshtml.dll中此漏洞的相关类
  - 6.1.1、CSpliceTreeEngine
  - 6.1.2、CTreeNode
  - 6.1.3、CTreePos
  - 6.1.4、CTreeDataPos
    - 6.1.4.1、Tree::Te[......]

CVE-2021-22205 GitLab RCE之未授权访问深入分析(一)

Tue, 30 Nov 2021 03:03:41 +0000

查看公众号原文

前言

安全研究员vakzz于4月7日在hackerone上提交了一个关于gitlab的RCE漏洞，在当时并没有提及是否需要登录gitlab进行授权利用，在10月25日该漏洞被国外安全公司通过日志分析发现未授权的在野利用，并发现了新的利用方式。根据官方漏洞通告页面得知安全的版本为13.10.3、13.9.6 和 13.8.8。我将分篇深入分析该漏洞的形成以及触发和利用。本篇将复现分析携带恶意文件的请求是如何通过gitlab传递到exiftool进行解析的，接下来将分析exiftool漏洞的原理和最后的触发利用。预计会有两到三篇。希望读者能读有所得，从中收获到自己独特的见解。在[......]

某mpv播放器因格式化字符串导致远程代码执行漏洞深入分析（CVE-2021-30145）

Tue, 26 Oct 2021 02:43:25 +0000

一、背景介绍

mpv项目是开源项目，可以在多个系统包括Windows、Linux、MacOs上运行，是一款流行的视频播放器，mpv软件在读取文件名称时存在格式化字符串漏洞，可以导致堆溢出并执行任意代码。

二、环境搭建

系统环境为Ubuntu x64位，软件环境可以通过两种方式搭建环境。 1. 通过源码编译，源码地址为：https://github.com/mpv-player/mpv/tree/v0.33.0 下载地址为：https://github.com/mpv-player/mpv/archive/refs/tags/v0.33.0.zip 2. 直接安[......]

CVE-2021-24093 Windows图形组件远程执行代码漏洞分析

Fri, 26 Mar 2021 06:58:50 +0000

一、前言

Windows图形组件DWrite库是用于高质量文本呈现的用户模式动态库，DWrite库存在远程代码执行漏洞。目前已有POC，POC可以实现任意地址写任意内容。基于此我们做了分析，分析后得知字体库文件中的”maxp”表内容存在错误数据时，DWrite库使用此数据计算字体所需内存，导致分配内存过小，程序读取字体库中的数据写入数组并越界写入到另外一个数据结构中，后续将结构中数据作为指针操作其中内容，写入数据和指针都可控。通过分析补丁，补丁修补方案为：取出”maxp”表的另一字段再加4，比较之前畸形数据得到较大值，以此计算需要分配内存大小。文章包含如下内容：[......]

FastJson历史漏洞研究（二）

Sat, 10 Oct 2020 06:25:22 +0000

前言

本文衔接上一篇文章《FastJson历史漏洞研究（一）》，继续探讨一下FastJson的历史漏洞。这次将要介绍的是Fastjson 1.2.47版本存在的漏洞成因以及其利用方式。

Fastjson 1.2.47漏洞分析

Fastjson 1.2.47版本漏洞与上篇文章中介绍的几处漏洞在原理上有着很大的不同。与Fastjson历史上存在的大多数漏洞不同的是，Fastjson 1.2.47版本的漏洞利用在AutoTypeSupport功能未开启时进行首先来看一下公开的poc [crayon-69db60d2915f8772541870/] 从代码中可见，与以往利用不同的是，[......]

Fastjson历史漏洞研究（一）

Thu, 03 Sep 2020 06:37:11 +0000

本文衔接上一篇文章《Fastjson 1.2.24反序列化漏洞深度分析》，继续探讨一下FastJson的历史漏洞。在《Fastjson 1.2.24反序列化漏洞深度分析》一文中，我们以Fastjson 1.2.24反序列化漏洞为基础，详细分析fastjson漏洞的一些细节问题。 Fastjson 1.2.24 版本的远程代码执行漏洞可谓是开辟了近几年来Fastjson漏洞的纪元。在Fastjson 1.2.24版本反序列化漏洞初次披露之后，官方针对这个漏洞进行了修补。然而这个修复方案很快就被发现存在绕过的风险。由于官方的修复方案或多或少都存在着一些问题，随之而来的是一次又一次的绕[......]

Struts2 S2-059 漏洞分析

Wed, 19 Aug 2020 13:08:09 +0000

一、前言

2020年8月13日,Apache官方发布了一则公告,该公告称Apache Struts2使用某些标签时,会对标签属性值进行二次表达式解析,当标签属性值使用了%{skillName}并且skillName的值用户可以控制,就会造成OGNL表达式执行。

二、漏洞复现

我这里选用的测试环境 Tomcat 7.0.72、Java 1.8.0_181、Struts 2.2.1,受影响的标签直接使用官网公告给出的例子 [crayon-69db60d296ca1311421542/] 测试漏洞URL http://localhost:8088/S2-059.action?payl[......]

Fastjson 1.2.24反序列化漏洞深度分析

Thu, 23 Jul 2020 09:58:09 +0000

前言

FastJson是alibaba的一款开源JSON解析库，可用于将Java对象转换为其JSON表示形式，也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷，本文将会谈谈近几年来fastjson RCE漏洞的源头：17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础，详细分析fastjson漏洞的一些细节问题。关于Fastjson 1.2.24反序列化漏洞，自从17年以来已经有很多人分析过了，一些基础内容本文就不再陈述了。此次漏洞简单来说，就是Fastjson通过parseObject/parse将传入的字符串反序列化为J[......]