先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新Golang全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip1024b (备注go)
正文
试想一下,如果遇到一个反序列化漏洞,你需要测试 Gadget,生成反序列化 payload,原版的 ysoserial 提供的 payload 一般就执行命令,而命令执行后也无法看到结果,在环境不出网的情况下更加无法知道怎么继续利用。在情况允许的情况下,攻击者可以打入内存马,但是面对中间件的版本不同,内核使用的技术可能不同,如果没有提前准备或根据指定环境调试相关的代码,很难一次利用成功。
那该怎么解决呢?我认为,针对某种漏洞类型,能提供一个通用的利用框架,可以覆盖绝大多数的情况,让攻击者可以无视中间的技术,直接能够使用,才是最好的办法,如果针对每个漏洞,还能够提供最佳实践,让使用者点点点就可以了,岂不美哉?
所以,请观看如下视频:
用 Goby 通过反序列化漏洞一键打入内存马【利用篇】
感受到"点点点"的快乐了吗?我是脚本小子,我爱点点点,我喂自己袋盐。接下来简单介绍一下插件的使用。
0×02 介绍
反序列化漏洞是什么、ysoserial 项目是什么在这里就不在赘述了,这里主要介绍的是这次融合在 Goby 中的插件的使用方式。
2.1 Gadget
说到反序列化漏洞,最重要的就是 Gadget,目标环境中,必须包含带有漏洞利用链的依赖,但是即使有了依赖,还可能因为依赖不全、版本不同等等各种原因,导致利用失败。
Goby 通过动态修改类字节码、反序列化流等手段,提供了不同依赖版本、不同利用方式等共计 65 条反序列化 Gadget,可以覆盖绝大多数的漏洞利用场景。
使用者可以按需选择自己想使用的 Gadget。
2.2 内存马
本插件的重头戏,也是本篇文章想跟大家介绍的,其实是在对内存马的一键打入和利用上。
在反序列化利用中,有相当一部分利用链最终使用了 TemplatesImpl 实例化类字节码进行利用,在原版的 ysoserial 中,仅使用了 Runtime.getRuntime().exec() 执行系统命令,功能过于单一,在实战利用中,我们还可以利用其执行很多功能,比如命令执行回显、隧道类、执行任意自定义代码等。
当然也可以打入内存马,Goby 目前支持了 Spring、Tomcat、Resin、Jetty、Jboss、Websphere 等共计 20 种不同类型的内存马,也可以覆盖大多数的环境。
内存马类型目前默认支持冰蝎、哥斯拉 raw、哥斯拉、以及 cmd 命令回显。
选定了内存马类型后,可以为内存马设置地址、密码及用来校验的 Referer。
除了 TemplatesImpl,最常见的利用 Gadget 还有 CC 中的 Transformer[] 数组,这是一条链式的反射调用,一般情况也是利用其进行调用 Runtime.getRuntime().exec(),那在这种利用方式是否能打入内存马呢?
答案是肯定的,除了可以使用远程类加载、bcel 等方式进行内存马的打入,Goby 还通过使用 ScriptEngineManager 执行类加载 JS 脚本的方式默认支持了内存马的打入,其实还可以通过 org.mozilla.javascript.DefiningClassLoader 进行类加载等诸多方式进行内存马的打入,但是考虑到实际环境不一定存在指定的依赖,因此相关的技术还需要进一步的打磨。
2.3 扩展选项
此外,本项目还提供了一些扩展选项进行额外的配置。
- Inherit:对于 TemplatesImpl 方式触发的反序列化利用方式,恶意类是否需要继承 AbstractTranslet;
- Obscure:提供一些反射调用 navtive 方法、unsafe 之类的混淆绕过方式;
- Jboss:使用 JBossObjectOutputStream 格式输出;
- Dirty-type:提供了三种在流量层面对反序列化 payload 进行混淆的方式;
- Dirty-length:混淆的数据长度;
使用者可以按需使用这些配置,默认状态下,可以无需进行配置。
2.4 总结
在全部配置完成后,点击生成,就可以将生成的反序列化 payload 进行保存了。
关于 Gadget、利用方式等相关信息的更多介绍,可以查看我开源项目的 ReadMe 或源代码。
项目地址:https://github.com/su18/ysoserial
0×03 使用
使用其实非常简单,例如,我想使用 CC6 反序列化链生成一个 Tomcat Filter 类型的冰蝎内存马,内存马地址为 “/bg.jpg”,密码为 “test”,内存马校验 Referer 地址为 https://google.com/,就可以进行如下配置:
点击 Generate 生成即可。
0×04 结合
说了这么多,只是用插件生成反序列化数据,好像没什么意思?我用命令行工具不行吗?之所以封装成为插件,主要有以下两点原因:
- 命令行参数过于繁琐,用户体验较差,大家还是使用图形化页面更舒服点;
- 考虑到实际漏洞利用环境可能没有 Java 环境,要生成反序列化 payload 还需要进行安装,过于繁琐,这里我们将 payload 的动态生成放在 GodServer 端,Goby 端无需存在 Java 环境。
第二个问题是,有了反序列化 payload,怎么使用?
当然,你可以把生成的 payload 数据复制粘贴在漏洞利用工具或者脚本中进行利用,或者使用 curl 直接对目标进行发包,但既然是在 Goby 中,为什么不跟 PoC 进行融合呢?
所以说,之前三章全是废话,一款好的产品真正要做的,是让使用者可以无需知道细节,也能无碍使用;但如果使用者想进行配置,也可以提供精细化、高级功能的配置。
所以这里我跟 Goby 同学将中间的细节全部打通,并写了一批可以与 Goby 插件联动使用的 PoC,将一些有代表性的反序列化漏洞、Shiro 系列的漏洞等进行编写,可以直接打入内存马,在这些 PoC 中,我事先内置了确保可以利用的若干参数,Goby 使用者无需任何配置,就可以一键打入内存马。
也就是文章开篇的视频。视频中联动了 Goby 的 ShellHub 插件,可以直接在 Goby 中对内存马进行管理,可以提供命令执行、文件管理、获取基础信息的功能,如果只是想简单获取一些信息,执行一些命令,那你根本没必要打开其他的 Webshell 管理软件,从资产探测、漏洞扫描、打入内存马到管理 Webshell,都可以直接由 Goby 完成。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
加V获取:vip1024b (备注Go)**
[外链图片转存中…(img-gHiGh96f-1713588040384)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
734
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
