Java安全之反序列化回显与内存码

最新推荐文章于 2024-06-11 16:38:56 发布
最新推荐文章于 2024-06-11 16:38:56 发布
阅读量329 收藏
点赞数
文章标签: java 后端 spring boot spring 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyl5454/article/details/118179938
版权

0x00 前言#

按照我个人的理解来说其实只要能拿到Request 和Response对象即可进行回显的构造,当然这也是众多方式的一种。也是目前用的较多的方式。比如在Tomcat 全局存储的Request 和Response对象,进行获取后则可以在tomcat这个容器下进行回显。而某些漏洞的方式会从漏洞的位置去寻找存储Request 和Response对象的地方。

0x01 Tomcat通用回显#

根据Litch1师傅的思路来寻找request,response对象全局存储的位置基于全局储存的新思路 | Tomcat的一种通用回显方法研究

根据该文章思路得知,在Tomcat启动的时候会调用该位置的dorun方法

image.png

由图可见,调用栈会来到创建Http11Processor对象这一步,Http11Processor继承AbstractProcessor类。而AbstractProcessor类中可见有Request,Response这两对象。并且为final修饰的,赋值后不可被更改。

Java安全之反序列化回显与内存码

那么此时我们只需要获取到这个Http11Processor对象即可获取到Request,Response。继续跟进查看Http11Processor对象在哪进行存储。

Java安全之反序列化回显与内存码

调用this.register将前面创建的Http11Processor对象进行传递。而后调用processor.getRequest().getRequestProcessor()获取RequestInfo。

image.png

调用获取到的RequestInfo,这里为rp。rp的setGlobalProcessor将global进行传递,而setGlobalProcessor方法里面会调用
global.addRequestProcessor将rp添加进去。

Java安全之反序列化回显与内存码

跟进进去发现,processors为一个ArrayList,里面存储RequestInfo类型的数据。

所以整体的思路下来我们需要获取AbstractProtocol$ConnectionHandler类 -> 获取global变量 ->RequestInfo->Request–>Response。

Java安全之反序列化回显与内存码

再往后需要寻找存储AbstractProtocol类或继承AbstractProtocol类的子类。

这里寻找到的是Connector成员变量中为protocolHandler属性的值,而 Http11AprProtocol类实现了该接口。

Java安全之反序列化回显与内存码

所以获取request的处理请求是

Connector—>AbstractProtocol$ConnectoinHandler—>global—>RequestInfo—>Request—>Response

而在Tomcat启动过程红会将Connector放入Service中。

image.png

而现在获取完成的流程是

StandardService—>Connector—>AbstractProtocol$ConnectoinHandler—>RequestGroupInfo(global)–>RequestInfo------->Request-------->Response

那么这时候如何获取StandardService成为了问题的一大关键。

文中给出的方法是从
Thread.currentThread.getContextClassLoader()里面获取webappClassLoaderBase,再获取上下文中的 StandardService。

最后调用链为

WebappClassLoaderBase —>

ApplicationContext(getResources().getContext()) —> StandardService—>Connector—>AbstractProtocol$ConnectoinHandler—>RequestGroupInfo(global)—>RequestInfo------->Request-------->Response

package com;

import org.apache.catalina.Context;
import org.apache.catalina.Service;
import org.apache.catalina.connector.Connector;
import org.apache.catalina.core.ApplicationContext;
import org.apache.catalina.core.StandardContext;
import org.apache.catalina.core.StandardService;
import org.apache.coyote.AbstractProtocol;
import org.apache.coyote.RequestGroupInfo;
import org.apache.coyote.RequestInfo;
import org.apache.coyote.Response;

import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Modifier;
import java.util.ArrayList;

@WebServlet("/demoServlet")
public class demoServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        org.apache.catalina.loader.WebappClassLoaderBase webappClassLoaderBase = (org.apache.catalina.loader.WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
        StandardContext standardContext = (StandardContext) webappClassLoaderBase.getResources().getContext();

        try {
            Field context = Class.forName("org.apache.catalina.core.StandardContext").getDeclaredField("context");
            context.setAccessible(true);
            ApplicationContext ApplicationContext = (ApplicationContext)context.get(standardContext);
            Field service = Class.forName("org.apache.catalina.core.ApplicationContext").getDeclaredField("service");
            service.setAccessible(true);
            StandardService standardService = (StandardService)service.get(ApplicationContext);
            Field connectors = Class.forName("org.apache.catalina.core.StandardService").getDeclaredField("connectors");
            connectors.setAccessible(true);
            Connector[] connector = (Connector[])connectors.get(standardService);
            Field protocolHandler = Class.forName("org.apache.catalina.connector.Connector").getDeclaredField("protocolHandler");
            protocolHandler.setAccessible(true);
//            AbstractProtocol abstractProtocol = (AbstractProtocol)protocolHandler.get(connector[0]);

            Class<?>[] AbstractProtocol_list = Class.forName("org.apache.coyote.AbstractProtocol").getDeclaredClasses();

            for (Class<?> aClass : AbstractProtocol_list) {
                if (aClass.getName().length()==52){

                    java.lang.reflect.Method getHandlerMethod = org.apache.coyote.AbstractProtocol.class.getDeclaredMethod("getHandler",null);
                    getHandlerMethod.setAccessible(true);

                    Field globalField = aClass.getDeclaredField("global");
                    globalField.setAccessible(true);
                    org.apache.coyote.RequestGroupInfo requestGroupInfo = (org.apache.coyote.RequestGroupInfo) globalField.get(getHandlerMethod.invoke(connector[0].getProtocolHandler(), null));
                    Field processors = Class.forName("org.apache.coyote.RequestGroupInfo").getDeclaredField("processors");
                    processors.setAccessible(true);
                    java.util.List<RequestInfo> RequestInfo_list = (java.util.List<RequestInfo>) processors.get(requestGroupInfo);
                    Field req = Class.forName("org.apache.coyote.RequestInfo").getDeclaredField("req");
                    req.setAccessible(true);
                    for (RequestInfo requestInfo : RequestInfo_list) {

                        org.apache.coyote.Request request1 = (org.apache.coyote.Request )req.get(requestInfo);

                        org.apache.catalina.connector.Request request2 = ( org.apache.catalina.connector.Request)request1.getNote(1);
                        org.apache.catalina.connector.Response response2 = request2.getResponse();
                        response2.getWriter().write("111");

                    }
                }
            }

        } catch (NoSuchFieldException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        } catch (NoSuchMethodException e) {
            e.printStackTrace();
        } catch (InvocationTargetException e) {
            e.printStackTrace();
        }

    }

    protected void doGet(HttpServletRe
最低0.47元/天 解锁文章
码农成神之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA反序列化漏洞命令执行回显方法
K8哥哥
07-11 562
简介 在JAVA反序列化漏洞中,可能会有一些漏洞无法直接回显,这时我们可能需外带,通过WEB、FTP、DNS等外带,但是我不喜欢把自己的结果传到别人的网站上,本文教大家如何把结果回显到自己的VPS上,本文主要是JAVA,其它命令执行漏洞同理。 启动WEB Ladon web 9001 JAVA执行命令 javac main.java & java main 注意:get提交换行符需换成别的字符 import java.io.BufferedReader; import java.io.Inpu
Java反序列化回显
02-09 1170
Java反序列化漏洞利用中,结果回显是一个需要解决的问题,这里记录学习到的一些回显方法。
[Java安全]—Tomcat反序列化注入回显内存
Sentiment的博客
12-03 1023
在之前学的tomcat filter、listener、servlet等内存马中,其实并不算真正意义上的内存马,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存马注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了: 并且这两个变量是静态的,因此省去了获取对象实例
Java内存马 原理、实战与查杀】
最新发布
weixin_46318447的博客
06-11 1350
内存马原理 、实战与查杀
spring回显方式在代层面的复现(内存马系列篇十四)
阿道夫的博客
02-13 564
在前面的一章中,主要在理论上进行了各种内存马的实现,这里就做为上一篇的补充,自己搭建反序列化的漏洞环境来进行上文中理论上内存马的注入实践。这是内存马系列文章的第十四篇。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。
JAVA反序列化基于常见框架/中间件回显方案
问题很多的小明
08-27 1592
0x00概述 JAVA反序列化漏洞是JAVA中最常见的可以直接获取目标权限的漏洞,通过反序列化回显的思路也是越来越多,如通过远程加载回显、在目标网站写文件、通过URLClassLoader回显、借助dnslog回显等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出外网,则需要借助Dnslog的打法效果会失效,如果可以直观的返回命令执行结果,那岂不是更香? 0x01知识点 Tomcat处理流程 在tomcat自己实现的Servlet处打断点,观察tomcat调用栈大致执行流程: 调用过程
shiro-check:Shiro反序列化回显利用,内存外壳,检查Burp插件
03-21
四郎检查3.0增加了一些回显有效载荷,增加了基于过滤器(需要对冰蝎客户端pageContext进行改造)和servlet(部分环境需要把参数据进行URL转内存冰蝎的支持。 2.0增加了回显,及100个键,20个键的扫描选项,利用...
shiro_attack:shiro反序列化进攻综合利用,包含(回显执行命令注入内存马)
03-11
shiro反序列化进攻综合利用项目基于javafx,利用shiro反序列化扩展进行回显命令执行以及注入类别内存马检出唯一密钥(SimplePrincipalCollection)cbc / gcm Tomcat / Springboot回显命令执行集成公用集合K1 / K2...
JNDI-Inject-Exploit
11-04
通过LDAP服务器返回原生Java反序列化数据,受害者(客户端)在具备反序列化Gadget依赖的情况下可达到命令执行、代执行、回显命令执行、无文件落地内存马注册等。 > > Solve the high version of JDK Bypass, like ...
bat 运行java.jar
07-25
总结来说,`bat`与`java.jar`结合使用,可以方便地在Windows环境中自动化执行Java应用程序,简化操作流程。理解并掌握这一技巧对于Java开发者和系统管理员来说非常实用,尤其是在需要批量处理或无人值守运行Java应用...
Attacking_Shiro_with_CVE_2020_2555
03-25
Attacking_Shiro_with_CVE_2020_2555前段时间项目上遇到了一个部署在Weblogic上的存在Shiro反序列化裂缝的Web应用,于是Y4er Y4er师傅的文章的文章调了下payload ,很遗憾当时并没有成功(可能是目标Weblogic打了...
[Java安全]—再探Filter内存
Sentiment的博客
12-03 501
关于tomcat反序列化注入回显内存马问题中,就是通过filter内存马进行反序列化动态注册的,但filter内存马由于当时学的时候就没有学的很明白,所以打算重新回顾一下。Tomcat中有四种类型的Servlet容器,从上到下分别是 Engine、Host、Context、Wrapper他们之间也就是一种父子关系:Servlet 有自己的过滤器filter,可以通过自定义的过滤器,来对用户的请求进行拦截等操作。经过 filter 之后才会到 Servlet ,那么如果我们动态创建一个 filter 并且将其
Java安全』Tomcat内存马_动态注册Filter内存
Ho1aAs‘s Blog
03-23 1585
文章目录前言Filter生命周期Filter类介绍Servlet启动流程Filter调用流程分析1. 从Standardcontext获取filterMaps2. 遍历filterMap匹配url并调用了addFilter方法添加到filterChain3. 依次调用doFilterFilter内存马原理Ⅰ. 获取contextⅡ. 生成恶意Filter用FilterDef封装添加到FilterDefsⅢ. 用filterConfig封装filterDefs添加到filterConfigsⅣ. 生成filt
tomcat connector 缓存连接数过多至内存溢出
wen19851025的专栏
09-25 916
最新有过一次内存溢出,把heapdump拉下来分析了一下,发现org.apache.coyote.RequestInfo存在上W个实例,再仔细一下都是放在org.apache.coyote.RequestGroupInfo的processors对象中,再进一步查看发现在里面的request不只是html而且js等资源的请求也缓存在里面,于是我断定这问题不是出在应用,应该是TOMCAT连接器上出问题...
Java内存马基础
m0_46317063的博客
02-05 373
filter内存马基础
Java内存马攻防实战——攻击基础篇
JavaMonsterr的博客
05-23 3192
在红蓝对抗中,攻击方广泛应用webshell等技术在防守方提供的服务中植入后门,防守方也发展出各种技术来应对攻击,传统的落地型webshell很容易被攻击方检测和绞杀。而内存马技术则是通过在运行的服务中直接插入运行攻击者的webshell逻辑,利用中间件的进程执行某些恶意代,而不依赖实体文件的存在实现的服务后门,因此具有更好的隐蔽性,也更容易躲避传统安全监测设备的检测。 本文以Java语言为基础讨论内存马技术的攻防,分为两个篇章,分别是攻击基础篇和防护应用篇。本篇攻击基础篇介绍了Java Servlet
[Java安全]—Controller内存
Sentiment的博客
11-02 578
Controller内存
【Web】小白友好的Java内存马基础学习笔记
uuzeray的博客
02-10 1037
内存马(Memory Shellcode)是一种恶意攻击技术,旨在通过利用程序或操作系统的漏洞,将恶意代注入到系统内存中并执行。与传统的攻击方式不同,内存马不需要将恶意代写入磁盘上的文件,而是直接在内存中进行操作,从而避开传统的安全防护措施。内存马的危害性在于它可以绕过许多传统的安全防护机制,例如防病毒软件和防火墙,因为恶意代不会留下明显的痕迹或文件。此外,由于直接在内存中执行,内存马攻击也更难以被检测和追踪。
基于ysoserial的回显内存马工具
潇湘信安的博客
09-16 398
ysoserialbtl针对原生的CommonBeanutils1等链,新增了回显内存马实现的思路。用法与原生ysoserial完全一致,原生ysoserial生成的payload只能实现命令执行的效果,不能输出命令执行的结果,不能生成内存马。
深入理解Java序列回显与ClassLoader原理
本文档主要探讨了Java序列回显学习中的重要概念和技术,特别是针对Java反序列化回显方法。在许多离线或网络受限的场景中,回显是一个关键的攻击手段,尤其是对于Webshell的控制和数据泄露的防范。以下是主要内容的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值