[漏洞利用]xxl-job Hessian2反序列化漏洞深入利用

于 2024-10-08 10:33:11 发布
阅读量948 收藏 10
点赞数 21
文章标签: 安全 java 反序列化 hessian 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiangYueSec/article/details/142753382
版权

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

免责声明

本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。

前言

xxl-job Hessian2反序列化漏洞本身是一个挺老的漏洞了,影响版本也比较老,在一次项目中碰到了xxl-job,其/api接口可以未授权访问存在hessian2反序列化漏洞,但是不出网,于是有了这次利用。

漏洞分析

XXL-JOB <= 2.0.2,其/xxl-job-admin/api接口可以未授权访问,该接口存在Hessian2反序列化漏洞。

未授权是因为设置了@PermessionLimit(limit=false)导致的。

invokeAdminService方法中调用了handle方法。

handle方法中满足if条件后,调用了parseRequest方法。

在parseRequest方法中,获取请求的数据后,会调用this.xxlRpcProviderFactory.getSerializer().deserialize方法对传入的数据进行反序列化。

this.xxlRpcProviderFactory.getSerializer()返回的是HessianSerializer。

其deserialize方法中进行了Hessian2反序列化。

利用链构造

网上提到的大部分都是jndi注入利用,在不出网的情况下就难以利用,这里选择利用hessian jdk原生反序列化利用链,其原理就是通过SerializerFactory.setAllowNonSerializable(true)关闭Serializable派生类检查,使得没有继承Serializable的类也可以反序列化。

javax.swing.UIDefaults中的内部类ProxyLazyValue的createValue中存在类方法的反射调用,可以调用任意类的静态public方法,调用堆栈如下图:

这里可以选择com.sun.org.apache.bcel.internal.util.JavaWrapper类的_main方法,加载恶意类的_main方法。

也可以使用sun.reflect.misc.MethodUtil.invoke反射调用sun.misc.Unsafe.defineClass方法来加载字节码,然后再实例化这个类

回显利用

bcel

invoke反射调用defineClass

发送第一个包加载类字节码。

发送第二个包实例化该类。

因为微信公众号和阿里云盘都无法直接分享压缩包文件,payload项目这部分就打包放星球了。师傅们可以自己构造利用。

参考链接

https://xz.aliyun.com/t/11091

https://yzddmr6.com/posts/swinglazyvalue-in-webshell/

探寻Hessian JDK原生反序列化不出网的任意代码执行利用链 – Whwlsfb's Tech Blog

LiangYueSec
关注
xxl-job反序列化漏洞记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-09 902
某次“春耕”期间,某业务系统发现xxl-job反序列化漏洞,通过该漏洞不仅爆破了页面账号密码,还获取了内网主机及数据库权限,“家”被偷了。XXL-JOB是一个轻量级分布式任务调度平台。支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞,经过身份验证的(比如存在弱密码)攻击者可通过该漏洞接管服务器,造成严重信息泄露。
xxl-job反序列化漏洞分析复现
panda的博客
10-20 4246
xxl-job反序列化分析复现
XXL-JOB executor 未授权访问漏洞 漏洞复现
ADummy的博客
03-03 1299
XXL-JOB executor 未授权访问漏洞 by ADummy 0x00利用路线 ​ 直接url执行 0x01漏洞介绍 ​ XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 影响版本 xxl—job >= 2
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至。
12-29 3717
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
XXL-JOB executor 未授权访问漏洞
韩束一叶子
05-10 1406
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。:
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4418
Java Hessian反序列化漏洞复现
XXL-JOB漏洞分析与利用
m0_63828240的博客
08-19 1905
在当今的数字化时代,任务调度平台对于企业级应用来说至关重要。它们负责自动化和协调各种时间敏感或周期性的任务,确保业务流程的顺畅运行。XXL-JOB作为一款流行的分布式任务调度平台,因其强大的功能和易用性,被广泛部署在各种规模的系统中。然而,随着其应用的普及,安全研究人员开始关注这些系统可能存在的潜在风险,一个漏洞的发现可能会导致数据泄露、服务中断甚至整个系统被控制。对于渗透测试人员来说,学习XXL-JOB漏洞原理,能够在一定程度上提升渗透能力。
Java安全反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1151
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 902
Hessian反序列化漏洞学习记录
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 714
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
XXL-JOB executor 未授权访问漏洞复现
m0_53603468的博客
12-25 2909
概述 XXL-JOB executor 未授权访问漏洞 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 不过XXL-JOB官方版本原生自带了鉴权组件,开启后可保障系统底层通讯安全。因此,正常情况下调度中心与执行器底层通讯是安全
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3802
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
hessian反序列化漏洞
01-06
Hessian反序列化漏洞是指在Hessian协议中,由于不充分的输入验证或者对用户输入数据的不完全信任,导致攻击者可以利用恶意构造的序列化数据,执行远程代码。这种漏洞在实际应用中可能会导致严重的安全问题,例如...
xxl-job(spring boot)客户端执行器初始化bean与接收rpc请求处理流程简单分析
热门推荐
qq_26093341的博客
01-08 1万+
xxl-job客户端如何接入spring boot,按xxl-job官方给出来的demo,需要以下几个过程 首先是配置 接着配置扫描地址,把对应的jobHandler加载到spring容器中 配置XxlJobSpringExecutor,接着启动项目即可 1、==================================================================...
网络安全 网络安全的主要领域 安全威胁 防护技术 安全策略 未来趋势
weixin_42462436的博客
10-03 1531
随着智能手机和平板电脑的广泛使用,移动设备的安全(如数据加密、设备丢失保护等)也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击,通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术的使用。保证操作系统和相关服务的安全,包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具,提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 1032
信息安全工程师——机房安全分析与防护篇
网 络 安 全
最新发布
数字人生
10-06 1662
定义:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护的状态。范畴硬件安全:包括网络设备、服务器、终端等物理设备的安全。软件安全:包括操作系统、应用软件、数据库等的安全。数据安全:包括数据的保密性、完整性、可用性等。
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1233
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值