调用关系缺少

[chenlvtang]

问题：
在用Tabby尝试复现CVE-2021-26295 Apache OFBiz 反序列时，缺少部分调用关系。

排查过程：
查询SOAPEventHandler#invoke调用了哪些方法

MATCH (sink:Method)
WHERE sink.NAME = "invoke" AND sink.CLASSNAME = "org.apache.ofbiz.webapp.event.SOAPEventHandler"
Match (sink) -[:CALL]->(m1:Method)
RETURN m1.CLASSNAME, m1.NAME

返回结果：

序号	m1.CLASSNAME	m1.NAME
1	"org.apache.ofbiz.webapp.event.SOAPEventHandler"	"sendError"
2	"org.apache.ofbiz.webapp.event.SOAPEventHandler"	"getLocationURI"
3	"javax.servlet.http.HttpServletResponse"	"getOutputStream"
4	"javax.servlet.http.HttpServletRequest"	"getAttribute"
5	"javax.servlet.http.HttpServletRequest"	"getPathInfo"
6	"javax.servlet.http.HttpServletRequest"	"getParameter"
7	"org.apache.ofbiz.webapp.event.SOAPEventHandler"	"validateSOAPBody"
8	"org.apache.ofbiz.webapp.event.SOAPEventHandler"	"createAndSendSOAPResponse"
9	"javax.servlet.http.HttpServletResponse"	"flushBuffer"
10	"javax.servlet.http.HttpServletResponse"	"getWriter"
11	"javax.servlet.http.HttpServletRequest"	"getInputStream"
12	"javax.servlet.http.HttpServletResponse"	"setContentType"

缺少了关键的:

Map<String, Object> parameters = UtilGenerics.cast(SoapSerializer.deserialize(serviceElement.toString(), delegator));

和其他静态方法调用:

SOAPModelBuilder builder = (SOAPModelBuilder) OMXMLBuilderFactory.createSOAPModelBuilder(inputStream, "UTF-8");

一开始怀疑是静态方法的问题，但是神奇的是，下面这个查询又存在调用：

public class SoapSerializer {
    public static final String module = SoapSerializer.class.getName();

    public static Object deserialize(String content, Delegator delegator) throws SerializeException, SAXException, ParserConfigurationException, IOException {
        Document document = UtilXml.readXmlDocument(content, false);
        if (document != null) {
            return XmlSerializer.deserialize(document, delegator);
        }
        Debug.logWarning("Serialized document came back null", module);
        return null;
    }

MATCH (sink:Method)
WHERE sink.NAME = "deserialize" AND sink.CLASSNAME = "org.apache.ofbiz.service.engine.SoapSerializer"
Match (sink) -[:CALL]->(m1:Method)
RETURN m1.CLASSNAME, m1.NAME

序号	m1.CLASSNAME	m1.NAME
1	"org.apache.ofbiz.entity.serialize.XmlSerializer"	"deserialize"
2	"org.apache.ofbiz.base.util.UtilXml"	"readXmlDocument"

很迷😵

[wh1t3p1g]

我猜是 SoapSerializer.deserialize 返回的内容被认为是不可控的，所以cast函数拿到的就是不可控的。依目前的策略，会把cast删掉。
临时解决方案是在规则 system.json 里面添加 deserialize 函数的规则

{"name":"org.apache.ofbiz.service.engine.SoapSerializer", "rules": [
    {"function": "deserialize", "type": "know", "vul": "", "actions": {"return<s>":"param-0"}, "polluted": [], "signatures": []}
  ]},

不过一般加人工先验知识会倾向于添加jdk里面的类和函数，具体可以看一下deserialize函数底层是哪里出了问题。

[Gelcon]

作者您好，为什么source方法的is_source属性是false呢，导致https://github.com/wh1t3p1g/tabby/wiki/%E7%8E%B0%E6%9C%89%E5%88%A9%E7%94%A8%E9%93%BE%E8%A6%86%E7%9B%96这个链接中的覆盖的链全都没有办法检测到，仅能检测到的cc6的source方法的is_source属性还是是false
此外，已经覆盖的链中，gadget方法之间的call关系也存在缺失，使用的版本是1.3.2，期待您的回复。

[wh1t3p1g]

最新版本开放了 source 点的识别，具体见 https://github.com/wh1t3p1g/tabby/blob/master/rules/tags.json
不在规则文件里面的都不会被识别为source，最后可以使用参数 TYPE 来进行检索，对于特殊的 WEB、NETTY 端点可以使用 IS_ENDPOINT 和 IS_NETTY_ENDPOINT 来限定。
IS_SOURCE 为system.json中的规则，目前使用到的可能性比较低，可以不关注。