用友 NC 6.5反序列化漏洞复现与分析

2023-10-31 01:33| 来源: 网络整理| 查看: 265

进入“文件服务器”→“读取”，此处添加服务器ip地址，端口，存储路径，及选择元数据仓库,如下图所示： 5.环境搭建完成。因为通过浏览器访问的方式需要依赖不同用户设备上的Java版本以及系统配置等环境因素，所以为了避免这些不必要的麻烦，可以使用专用浏览器UClient来解决此问题。 ## 漏洞分析下载UClient并安装后，进入启动页面，选择添加应用。在其安装目录里发现了NCLogin65.jar，通过对其反编译进行查看发现，它里面只是一些界面和登录逻辑代码，主要的通信代码并不在该jar包中。继续在其他目录下的寻找，发现该目录(nc_client_home\NCCACHE\CODE)中的子目录含有许多jar包，其中external目录中的jar包是负责客户端与服务端之间通信的逻辑代码。通过对登录流程的动态调试，最后找到了对应的类(nc.login.ui.LoginUISuppor)，并定位到该类中处理登录请示的方法(getLoginRequest()) 执行getInstance()，获取NCLocator的实例，然后执行NCLocator实例的lookup()方法查看nc.bs.framework.common.NCLocator#getInstance(java.util.Properties)

//nc.bs.framework.common.NCLocator#getInstance locator = (NCLocator)locatorMap.get(key); if (locator != null) { return locator; } else { if (!isEmpty(locatorProvider)) { locator = newInstance(locatorProvider); } else if (!isEmpty(svcDispatchURL)) { locator = newInstance("nc.bs.framework.rmi.RmiNCLocator"); } else { locator = getDefaultLocator(); } locator.init(props); locatorMap.put(key, locator); return locator; }

由于程序刚启动的时候locatorMap的值为空，则会进入下面的分支语句中去判断locatorProvider值，而此时又因为locatorProvider的值为空，svcDispatchURL的值(http://ip:port/ServiceDispatcherServlet)不为空，所以会创建RmiNCLocator实例，将其存放至locatorMap中。获取到RmiNCLocator实例后，查看其lookup()方法：继续跟进nc.bs.framework.server.RemoteMetaContext#lookup()：从proxyMap中查看是否存在参数name，如果存在则直接返回，不存在则进入下面的分支。查看getMetaOnDemand()方法：可以看到当metaV0值为空的时候，又调用了this.remoteMetaContext.lookup()方法，在当前类中搜索remoteMetaContext，发现在类构造函数中创建了一个代理并将其赋值到this.remoteMetaContext：

//nc.bs.framework.rmi.RemoteContextStub#RemoteContextStub public RemoteContextStub(String dispatchURL, String module) throws ComponentException { ComponentMetaVO metaVO = new ComponentMetaVO(); metaVO.setInterfaces(new String[]{Context.class.getName()}); if (module != null) { metaVO.setModule(module); metaVO.setName("nc.bs.framework.server.RemoteMetaContext." + module); } else { metaVO.setName("nc.bs.framework.server.RemoteMetaContext"); } this.namedMetasMap.put(metaVO.getName(), metaVO); Address url = null; try { url = new Address(dispatchURL); } catch (MalformedURLException var6) { throw new ComponentException("invalid url: " + dispatchURL); } this.defRas = new SimpleRemoteAddressSelector(url); this.remoteMetaContext = (Context)RemoteProxyFactory.getDefault().createRemoteProxy(RemoteContextStub.class.getClassLoader(), metaVO, this.defRas); this.proxyMap.put(metaVO.getName(), this.remoteMetaContext); this.dispatchUrl = url; this.module = module; this.init(); }

通过java代理的相关知识可以知道，无论调用代理对象的任何方法，该方法都会调用处理器的invoke方法，在本程序中即是nc.bs.framework.rmi.RemoteInvocationHandler#invoke：

//nc.bs.framework.rmi.RemoteInvocationHandler#invoke public Object invoke(Object proxy, Method method, Object[] args) throws Throwable { String mn = method.getName(); Class[] ps = method.getParameterTypes(); if (mn.equals("equals") && ps.length == 1 && ps[0].equals(Object.class)) { Object value = args[0]; if (value != null && Proxy.isProxyClass(value.getClass())) { Object h = Proxy.getInvocationHandler(value); return !(h instanceof RemoteInvocationHandler) ? Boolean.FALSE : this.meta.equals(((RemoteInvocationHandler)h).meta) && this.ras.equals(((RemoteInvocationHandler)h).ras); } else { return Boolean.FALSE; } } else if (mn.equals("hashCode") && ps.length == 0) { return this.meta.hashCode() + 27 * this.ras.hashCode(); } else if (mn.equals("toString") && ps.length == 0) { return this.meta.toString(); } else { return method.getDeclaringClass() == RemoteProxy.class ? method.invoke(this, args) : this.sendRequest(method, args); } }

此时mn的值为“lookup”，因此会进入最后一条分支语句中，又因为二者不等，最终会执行this.sendRequest(method, args)方法

//nc.bs.framework.rmi.RemoteInvocationHandler#sendRequest public Object sendRequest(Method method, Object[] args) throws Throwable { InvocationInfo ii = this.newInvocationInfo(method, args); Address old = null; int retry = 0; ConnectorFailException error = null; do { Address target = this.ras.select(); if (old != null) { Logger.error("connect to: " + old + " failed, now retry connect to: " + target); if (old.equals(target)) { try { Thread.sleep(this.retryInterval); } catch (Exception var13) { ; } } } this.restoreToken(ii, target); try { Object var8 = this.sendRequest(target, ii, method, args); return var8; } catch (ConnectorFailException var14) { ++retry; old = target; error = var14; } finally { this.storeToken(ii, target); } } while(retry

【本文地址】

公司简介

联系我们