WebGoat JAVA反序列化漏洞分析复现

已于 2024-01-07 16:14:16 修改
阅读量623 收藏
点赞数
分类专栏: 渗透测试 程序员 web 文章标签: java 开发语言 jvm
于 2023-03-09 10:34:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leah126/article/details/129417994
版权
程序员 同时被 3 个专栏收录
442 篇文章 84 订阅
订阅专栏
渗透测试
407 篇文章 24 订阅
订阅专栏
web
303 篇文章 11 订阅
订阅专栏

0x01 前言

靶场部署的话在Linux中。附地址了

GitHub - WebGoat/WebGoat: WebGoat is a deliberately insecure application

ysoserial准备一个即可。用来生成payload

后续需要自己写一个读取序列化的内容并进行base64加密。

0x02 实验部分

这里由于WebGoat用的jar包形式,所以需要用jd-gui反编译一下即可

经过反复寻找,最终定位到BOOT-INF.lib.insecure-deserialization-8.1.0.jar中org.owasp.webgoat.deserializtion.InsecureDeserializationTask方法。

该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。并在13行进行了读取序列化内容,之后在14行进行判断是否为vulnerableTaskHolder对象


@RestController@AssignmentHints({"insecure-deserialization.hints.1", "insecure-deserialization.hints.2", "insecure-deserialization.hints.3"})publicclassInsecureDeserializationTaskextendsAssignmentEndpoint{@PostMapping({"/InsecureDeserialization/task"})@ResponseBodypublic AttackResult completed(@RequestParam String token) throws IOException {    long before, after;    String b64token = token.replace('-', '+').replace('_', '/');try {      ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(Base64.getDecoder().decode(b64token)));try {        before = System.currentTimeMillis();        Object o = ois.readObject();if (!(o instanceof org.dummy.insecure.framework.VulnerableTaskHolder)) {if (o instanceof String) {            AttackResult attackResult1 = failed(this).feedback("insecure-deserialization.stringobject").build();            ois.close();return attackResult1;          }           AttackResult attackResult = failed(this).feedback("insecure-deserialization.wrongobject").build();          ois.close();return attackResult;        }         after = System.currentTimeMillis();        ois.close();      } catch (Throwable throwable) {try {          ois.close();        } catch (Throwable throwable1) {          throwable.addSuppressed(throwable1);        } throw throwable;      }     } catch (InvalidClassException e) {return failed(this).feedback("insecure-deserialization.invalidversion").build();    } catch (IllegalArgumentException e) {return failed(this).feedback("insecure-deserialization.expired").build();    } catch (Exception e) {return failed(this).feedback("insecure-deserialization.invalidversion").build();    }     int delay = (int)(after - before);if (delay > 7000)return failed(this).build(); if (delay < 3000)return failed(this).build(); return success(this).build();  }}

跟进org.dummy.insecure.framework.VulnerableTaskHolder对象之后

在59行处执行了exec。参数为this.taskAction,所以直接往上跟该变量初始化发现了使用有参构造进行了赋值(因没动态分析,没搞懂t变量怎么赋值)

0x03 利用

进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会

由于靶场在Linux中,所以命令改成了touch 1.txt

打开之后确实是已经序列化了

但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。很有可能就跑偏了。因为其中本身就是一些字节形式。为此写了加密的小工具。直接在公众号回复"反序列化" 即可获取,内有python和java两个版本

之后使用工具测试一下。可以看到序列化的数据成功加密

看一下当前目录,确实还不存在1.txt

直接提交刚才工具加密的payload即可

漏洞利用成功

如何入门学习网络安全

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

leah126
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
代码审计之WEBGOAT 反序列化
weixin_43263451的博客
06-11 963
反序列化这关在前端页面可以看到是提交token到后端,先看一下接口名可以看到接口名为InsecureDeserialization/task,那就后端全局搜索InsecureDeserialization/task,最终定位到InsecureDeserializationTask.java源码如下: ​ 可以看到大概就是对输入的token先base64解码然后输入到字节数组输入流中然后再接到对象输入流,并利用readObject进行反序列化操作得到对象o,然后判断该对象是否属于VulnerableTask
Java反序列化高危漏洞重现
qq_45498778的博客
11-27 331
Java反序列化漏洞存在着极大危害,今天我来为大家重现一下。
网络安全最新WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,全网首发
最新发布
2401_84545213的博客
05-10 279
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
API安全产品,面试官都被搞懵了
2401_83974173的博客
04-13 571
这些策略通常会结合使用,以提高产品在市场中的知名度和竞争力。
代码审计(Java)——WebGoat_InsecureDeserialization
weixin_45260839的博客
09-23 341
代码审计(Java)——WebGoat_InsecureDeserialization
java struts2 漏洞复现合集
whatday的专栏
08-31 3827
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
WebGoat8-xxe注入漏洞分析
09-15
下面是对 WebGoat8 中的 XXE 注入漏洞分析。 XXE 注入漏洞的工作原理 XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体是 XML 1.0 中的一种...
WebGoat漏洞测试平台分析.zip
03-12
WebGoat漏洞测试平台分析
WebGoat漏洞测试平台分析.pdf
06-19
WebGoat漏洞测试平台分析。phpStudy+Mysql。
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
此外,还提到了一个2020年网鼎杯竞赛的复现案例,其中涉及到Java Web应用的SQL注入和反序列化漏洞。 首先,我们要理解序列化和反序列化的基本概念。序列化是将对象转换为可存储或传输的格式,而反序列化则是将这些...
使用IDEA启动WebGoat方法步骤
09-27
使用IDEA启动WebGoat方法步骤+源码; 1、启动请参考:使用IDEA启动WebGoat方法步骤.docx 2、访问地址: WebGoat will be located at: http://localhost:8080/WebGoat WebWolf will be located at: ...
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
WebGoat-8.2.2版靶机学习总结
宇华的博客
03-26 4141
WebGoat
xstream xml转对象_webgoat-常用组件安全-xml 反序列化利用
weixin_39887577的博客
12-10 172
题目要求1:题目介绍了jquery的低版本1.10.4存在xss漏洞,1.12.0中则不存在。于是让我们分别在两个框里面随便输入一点东西,尝试在第一个框里面随便输入然后点GO以后出现xss弹窗,尝试在第二个框里面输入点GO就什么事情都没有发生,依次来说明低版本的jquery不安全。看着是没啥毛病,于是我就简单的调试了一下界面。先看下1.10.4的输入框相关的代码:点GO会触发webgoat.cus...
javaweb-webgoat8靶场+漏洞产生
xiaoheizi的博客
06-26 637
用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。因为网站是根据键值对在数据库对用户的输入进行验证的,所以我们可以修改一个数据库不存在的键值对编号让值为null来绕过登录。比如:网站的上传头像的目录设置了不允许执行程序文件,只允许查看头像,我们上传的脚本文件就执行不了。在爆破脚本中写入要爆破的token,运行爆破脚本,成功爆破出密匙:shipping。
java 漏洞复现_Apache Shiro java反序列化漏洞复现
weixin_42526484的博客
03-02 163
Apache Shiro java反序列化漏洞复现 影响版本Apache Shiro <= 1.2.4环境搭建准备环境攻击机: Windows或者Linux (我用的是windows10 1903)、ysoserial-0.0.6-SNAPSHOT-all.jar、python环境、Java环境**靶机:**带docker的Linux就行靶机环境搭建获取docker镜像docker pull...
vulhub漏洞复现-jboss反序列化漏洞复现
weixin_45095113的博客
12-21 633
vulhub漏洞复现-jboss反序列化漏洞
webgoat全关教程手册
热门推荐
黑白的博客
11-08 4万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、WebgoatWebwolf WebgoatWebwolf jdk1.8不支持了,需要安装jdk11 去git上下载WebgoatWebwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
反序列化漏洞_WEB漏洞 JAVA 反序列化
weixin_39814378的博客
12-10 217
#序列化和反序列化序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化Java反序列化及命令执行代码测试在IDE创建一个package包,包名为SerialTest包中创建三个类文件MainPersonSeriali...
webgoat war
11-15
通过使用WebGoat war,用户可以模拟实际的网络攻击和漏洞利用,以便更好地了解Web应用程序的安全性和弱点。它提供了各种实际案例,并提供了相应的解决方案和案例研究,使用户能够学习如何保护他们的Web应用程序免受...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值