普元Primeton EOS Platform JMX反序列化漏洞分析与复现技术文档<\/h1>

1. 漏洞概述<\/h2>
普元Primeton EOS Platform（以下简称普元EOS）存在JMX接口反序列化漏洞，攻击者可通过构造恶意序列化数据发送到特定JMX接口，实现远程代码执行。<\/p>

2. 漏洞分析<\/h2>

2.1 普元EOS框架分析<\/h3>

2.1.1 请求拦截机制<\/h4>

核心拦截器<\/strong>：web.xml中配置了com.eos.access.http.InterceptorFilter<\/code>过滤器，拦截所有请求<\/p> <\/li>
拦截链创建<\/strong>：<\/p> 拦截器创建WebInterceptorChain<\/code>处理请求<\/li> 通过请求的servletPath<\/code>遍历configs<\/code>中的WebInterceptorConfig<\/code>对象<\/li> 使用正则匹配决定哪些IWebInterceptor<\/code>对象加入处理链<\/li> <\/ul> <\/li> 配置来源<\/strong>：<\/p> handler-web.xml<\/code>文件<\/li> handler-processor.xml<\/code>文件<\/li> contribution.eosinf<\/code>文件<\/li> <\/ul> <\/li> <\/ol> 2.2 鉴权机制分析<\/h3> 普元EOS的鉴权主要在两个组件中实现：<\/p> UserLoginWebInterceptor<\/strong><\/li> UserLoginCheckedFilter<\/strong><\/li> <\/ol> 鉴权流程：<\/p> 检查登录状态 → 已登录则放行<\/li> 检查白名单路径 → 在白名单则放行<\/li> 检查黑名单路径 → 在黑名单则抛出异常<\/li> 既不在白名单也不在黑名单 → 放行<\/li> <\/ol> 注：黑白名单路径在user-config.xml<\/code>中配置<\/em><\/p> 3. 漏洞细节<\/h2> 3.1 漏洞入口<\/h3> 路由配置<\/strong>：在handler-processor.xml<\/code>中配置了*.jmx<\/code>路由处理<\/li> 处理类<\/strong>：JmxServiceProcessor<\/code>类的process()<\/code>方法<\/li> <\/ol> 3.2 漏洞触发点<\/h3> JmxServiceProcessor.process()<\/code>方法中存在以下不安全操作：<\/p> 直接从request获取请求体<\/li> 使用请求体作为参数创建ObjectInputStream<\/code>对象<\/li> 调用readObject()<\/code>方法进行反序列化<\/li> <\/ol> 3.3 利用条件<\/h3> 存在commons-collections<\/code>依赖<\/li> commons-collections<\/code>版本在可利用范围内<\/li> <\/ol> 4. 漏洞复现<\/h2> 4.1 基本复现步骤<\/h3> 构造恶意序列化payload（使用CC链）<\/li> 向目标发送POST请求： URL: \/default\/.jmx<\/code><\/li> 请求体: 序列化payload<\/li> <\/ul> <\/li> <\/ol> 4.2 高级利用 - CC6变种<\/h3> 标准CC6通过反射调用Runtime.getRuntime().exec()<\/code>执行命令，但功能有限。改进方案：<\/p> \/\/ 通过JS引擎实现复杂操作（如内存马注入） <\/span><\/span><\/span>\/\/ 示例代码结构（具体实现需根据实际情况调整）： <\/span><\/span><\/span><\/span>ScriptEngineManager manager =<\/span> new<\/span> ScriptEngineManager();<\/span> <\/span><\/span>ScriptEngine engine =<\/span> manager.<\/span>getEngineByName<\/span>(<\/span>"js"<\/span>);<\/span> <\/span><\/span>engine.<\/span>eval<\/span>(<\/span>"复杂JS代码"<\/span>);<\/span> <\/span><\/span><\/code><\/pre>优势：<\/p> 可执行更复杂的操作<\/li> 绕过部分防护措施<\/li> 实现内存驻留等高级攻击<\/li> <\/ul> 5. 防御建议<\/h2> 升级到官方修复版本<\/li> 临时缓解措施：禁用JMX接口<\/li> 配置WAF拦截对*.jmx<\/code>的恶意请求<\/li> 更新commons-collections到安全版本<\/li> <\/ul> <\/li> 实施输入验证和过滤<\/li> 使用Java反序列化过滤器<\/li> <\/ol> 6. 参考<\/h2> 普元EOS官方文档<\/li> Commons Collections安全公告<\/li> Java反序列化最佳实践<\/li> <\/ol> 附录：常见问题解答<\/h2> Q：调用CC6没有成功可能的原因？<\/strong> A：可能原因包括：<\/p> 目标环境缺少必要的依赖<\/li> 使用的CC链版本与目标环境不匹配<\/li> 网络防护设备拦截了恶意请求<\/li> 目标系统已实施反序列化防护措施<\/li> <\/ul> 建议尝试不同的CC链变种或使用其他利用链。<\/p>

普元Primeton EOS Platform JMX反序列化漏洞分析与复现技术文档<\/h1>

1. 漏洞概述<\/h2> 普元Primeton EOS Platform（以下简称普元EOS）存在JMX接口反序列化漏洞，攻击者可通过构造恶意序列化数据发送到特定JMX接口，实现远程代码执行。<\/p>

2. 漏洞分析<\/h2>

2.1 普元EOS框架分析<\/h3>

4. 漏洞复现<\/h2>

1. 漏洞概述<\/h2>
普元Primeton EOS Platform（以下简称普元EOS）存在JMX接口反序列化漏洞，攻击者可通过构造恶意序列化数据发送到特定JMX接口，实现远程代码执行。<\/p>