前情回顾
在之前的更新中,我们新增了几个标签,yso:exec、yso:urldns、yso:headerecho、yso:bodyexec、headerauth、yso:dnslog,这些 Fuzztag 涵盖了对反序列化链的爆破以及回显利用,为了涵盖更多的使用场景,本次新增了两个探测Gadget的标签,并且在Web Fuzzer中增加了这些标签的提示功能。
新增标签
新增标签:yso:find_gadget_by_dns、yso:find_gadget_by_bomb,这两个标签可用于探测Gadget,方便大家进行反序列化漏洞的利用链的探测。
FIND_GADGET_BY_DNS
yso:find_gadget_by_dns(domain)标签用于 dns出网的利用链探测,使用时只需填写一个 dnslog的域名即可,如yso:find_gadget_by_dns(test.dnstunnel.run)。原理简单来说就是通过URLDNS这条链探测一个Class,通过一些特有的Class来判断是否存在对应的利用链。
FIND_GADGET_BY_BOMB
yso:find_gadget_by_bomb(className)标签可用于不出网的利用链探测,使用时可以使用内置的all参数,all参数会使用一份内置的Class<->Gadget对应表进行探测。当然也可以手动输入需要探测的Class,如yso:find_gadget_by_bomb(java.util.HashMap)。原理简单来说就是通过构造反序列化炸弹消耗服务器性能,达到类似sleep(10000)的效果,通过判断响应时间来判断探测的Class是否存在。
实战演练
环境搭建
为了方便,这里直接使用了vulhub中的 JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)当作测试环境。
漏洞检测
使用 yso:find_gadget_by_dns(domain)探测利用链
构造如下数据包
查看dnslog
从dnslog的返回结果,对比版本号可以很方便的看出,存在CommonsCollections1/3/5/6/7、CommonsBeanutils2链,同时还探测出了目标的操作系统为linux。 我们再使用Yso-Java-Hack模块进行确认,如下选择CommonsCollections5生成payload进行测试
发送payload
检查结果
执行成功,结果符合预期。
使用 yso:find_gadget_by_bomb(className)探测利用链
构造如下数据包
通过对响应时间的排序可以发现,其中的几个数据包响应明显不同,同时查看Payload字段发现和 yso:find_gadget_by_dns探测结果一致。 自定义检测Class,如 java.util.HashMap,该类存在,因此响应时间较长。
检测一个不存在的Class,如java.util.HashMapxx,该类不存在,因此响应正常。
通过上述的实际操作,结果符合我们的预期。
ps:探测出来的利用链并非均可利用,如某些利用链有 Jdk 版本要求
标签提示功能
由于陆续添加的标签也越来越长了,因此添加了对yso开头标签的一些提示功能,如下图:
最后
希望yso系列标签能让各位师傅使用的更加顺手、提高盲打的效率,师傅们使用时可以根据目标出网情况,是否有代码执行链去判断,可以参考上一篇文章的流程图。如果有可代码执行的链,可以根据出网情况选择打入内存马、直接上线cs或其它操作,需要打入内存马时可以使用 Yso-Java Hack 直接生成hex格式的payload,然后使用hexdec标签调用就可以了。
Yak官方资源
Yak 语言官方教程:
https://yaklang.com/docs/intro/
Yakit 视频教程:
https://space.bilibili.com/437503777
Github下载地址:
https://github.com/yaklang/yakit
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ
扫一扫
5187
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
