即打通 web 全链路之后,我们又...

不知不觉,xray 一周年已经过去一个月了。我们在感叹时间过的飞快的同时又在思考,xray 在哪些地方还需要完善和增加的东西。我们希望 xray 不仅仅只是一个漏洞检测工具,而是白帽子之间沟通交流的桥梁,更是安全渗透工程师与安全研发工程师之间的攻防思维的碰撞平台。下面来看看我们勤劳的安全攻城狮给 xray 带来了哪些新功能吧~

新增 shiro 漏洞检测插件,shiro 漏洞一键检测

今年5月,某安全媒体爆出《一次shiro反序列化引起的域控沦陷》,6月又披露了《tomcat结合shiro无文件webshell的技术研究》,更有白帽子直呼:“shiro真的是hw神洞”,帮助他完成了重要的攻击阶段。

虽然之前 Github 有出过类似 shiro 的检测工具 shiro_tool 和 ShiroExploit,但 xray 研究后发现,现有社区检测工具都存在各种问题,尚没有一个简单好用又可靠的工具,所以本次更新,我们在高级版新增了 shiro 漏洞检测插件,该插件内置长亭独有的反序列化研究成果,让企业在 shiro 系列漏洞的防御上,变得更加得心应手。如果在使用过程中遇到非预期情况,欢迎及时反馈帮助我们一起改进。总结一下该插件亮点为:

  1. 内置独家 Java 反序列化利用链,有效作用于 shiro 环境
  2. 内置 Payload 支持全版本 Tomcat 回显,Tomcat 6,7,8,9 均通过测试
  3. 借助反连平台可以完美支持非 Tomcat 环境的漏洞检测
  4. 完整转置 ysoserial 至 Go 代码,无需 Java 依赖即可运行
  5. 自带 shiro 100 key,且支持通过配置文件自定义 shiro key

注:目前仅支持 rememberme 反序列化检测

baseline 插件,新增手机号泄露检测

该配置项默认不开启,可以通过配置文件修改 baseline 下的 detect_china_phone_numbertrue 来启用,扫描效果为:

合并反连平台中 HTTP 与 RMI 的配置

通过端口复用,实现了 HTTP 与 RMI 同端口不同服务,简化了反连平台部署成本。默认配置文件已经删除 RMI 服务相关配置,但仍然做了兼容性支持,对于 Nginx 反代等场景可以继续使用独立的 RMI 配置。
相关文档: https://xray.cool/xray/#/configration/reverse

注:文中配置为本地 docker 环境配置,不适用于其他测试环境,请自行按文档修改配置

新增更多 POC

xray 每次发版都会将当前 Github 的所有 POC 打包到 binary 中,只要跟随 xray 更新,即可使用社区最新的 POC,目前社区 POC 共计 xxx,其中本次新增:

  • poc-yaml-apache-flink-upload-rce
  • poc-yaml-aspcms-backend-leak
  • poc-yaml-citrix-cve-2020-8191-xss
  • poc-yaml-consul-rexec-rce
  • poc-yaml-consul-service-rce
  • poc-yaml-f5-tmui-cve-2020-5902-rce
  • poc-yaml-nexus-default-password
  • poc-yaml-qnap-cve-2019-7192
  • poc-yaml-spring-cloud-cve-2020-5410

其他细节调整

  1. POC 语法中,header 的 key 改为大小写不敏感,如下列两个表达式结果是一致的:

    response.headers["content-type"] == "application/json"
    response.headers["Content-Type"] == "application/json"
    
  2. 子域名 html 报告按 500 条分报告写入,防止数据太大打不开 https://github.com/chaitin/xray/issues/792

    如使用 --html-output test.html 输出,如果总共有 1300 个域名,最终会生成如下三个报告:

    test.html
    test.html.500
    test.html.1000
    
  3. 修复 baseline 插件 header 值大小写误报问题 https://github.com/chaitin/xray/issues/796

  4. 修复两个 POC 的误报问题

    • poc-go-tongda-arbitrary-auth
    • joomla-cnvd-2019-34135-rce.yml

后话

我们不断在思考,安全工具本身应该增加什么有特色的东西,来给企业或者用户带来更多的价值。或许之后的某一天,xray 会作为一个平台绽放出更多的安全工具,逐步变为 xray 兵器谱,这一天,我们共同期待。