java restfulapi 返回文件base64_Java反序列化:一次构造后Ysoserial Payload

最新推荐文章于 2022-01-03 19:00:23 发布
最新推荐文章于 2022-01-03 19:00:23 发布
阅读量757 收藏
点赞数 1
文章标签: java restfulapi 返回文件base64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36230923/article/details/113668608
版权
本文介绍了在安全测试中发现的一个Java反序列化漏洞,涉及RESTful API返回Base64编码的文件。文章详细讲解了利用Ysoserial构造Payload时遇到的问题,包括类版本不匹配和Zlib Deflate压缩。解决方案包括在Ysoserial中直接压缩对象,匹配SerialVersionUID以及在运行时修改SerialVersionUID。最后,文章提醒关注业务应用中Base64编码值的安全性。
摘要由CSDN通过智能技术生成

前言

在一次应用安全测试中发现了一个的Java反序列化漏洞,该漏洞最终导致未经身份验证的远程代码执行。经过实践,发现利用此漏洞并不像之前使用Ysoserial生成默认payload那样简单。

所以在本篇文章中,我将逐步介绍并修改Ysoserial的使用过程以及在其中所遇到的问题。

6fa9a1c0fd739331df0f5a57e0c0d584.png

漏洞利用点

问题一:直接的Payload无法利用

发现点是位于一个解码base64参数的地方,该参数返回了一个像blob类型的二进制数据。

d1fc7a06a3e1df097b89677c36eb18ac.png

在尝试使用了各种编码和解压缩算法的解码之后,最后发现它是一个用Zlibdeflate算法压缩后的JAVA序列化对象。

Zlib deflate压缩算法:https://blog.csdn.net/u010037928/article/details/90717474

当数据发送到后端后,负责反序列化对象的函数将首先解压缩对象,再进行反序列化。如果看到一个base64编码后的参数,解码后会返回一个blob类型的数据,那就多尝试一些常见通用的编码及解压缩算法,看会不会得到一些有用的数据。

BurpSuite有一款插件叫做Hackvertor,内置很多编码和压缩算法。

b9dd4f9307e91ed4f870cc8df139dd2f.png

Hackvertor对参数进行base64解码,然后使用deflate_decompress将其解压缩,这时会得到一个序列化后的Java对象。

399840ba990cb15c770540e669ad92b3.png

接下来尝试在发送请求之前去使用解压缩后Ysoserial的Payload,但是实践了发现毫无作用,因为就算当Payload在服务器端成功的反序列化之后,如果利用不成功,也不能执行操作。

最低0.47元/天 解锁文章
llqx
关注
java restfulapi 返回文件base64_一种简单快捷的 java 热部署方式
weixin_32586767的博客
01-12 496
简介:本文热部署插件(Arthas Hot Swap)是基于 Arthas redefine 命令实现的,使用该插件进行远程热部署无需任何配置,无需使用 debug 端口,只需几个简单动作就能完成。作者 | 周忠太 阿里巴巴淘系技术部的一个搬砖工【Arthas 官方社区正在举行征文活动,参加即有奖品拿~点击投稿】Arthas Hot Swap 插件介绍引言热部署是帮助开发人员提高效率的利器,如果...
axis2生成客户端代码_利用ysoserial生成有回显的java反序列化payload(socket监听方式)...
weixin_39957934的博客
12-26 423
在测试过程中,遇到存在java反序列化漏洞的环境,一般使用ysoserial来生成反序列化payload,但ysoserial一般用来执行命令,或者利用JRMPListener开启指定端口,利用JRMPClient发送攻击数据。JRMPListener需要使用ysoserial的JRMPClient来生成序列化的对象发送到服务端的JRMPListener进行反序列化操作,来达到执行命令看...
ysoserial payloads/JRMPClient
洋洋的小黑屋
07-27 533
ysoserial payloads/JRMPClient 环境:JDK8u102 payloads/JRMPClient可以配合exploit/JRMPListener模块来使用 1.在自己服务器上使用exploit/JRMPListener来开启监听 2.把payloads/JRMPClient发送给对方服务器,对方服务器反序列化后会反向连接我们的服务器,进行连接之间我们服务器会发送payload给对方服务器进行反序列化执行命令。 以下是执行ysoserial时候使用的命令: java -cp ysos
修改ysoserial使其支持生成代码执行Payload
fnmsd的博客
03-13 1万+
ysoserial是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。 https://github.com/frohoff/ysoserial 一般该工具可生成执行任意命令的序列化对象,通过对工具代码进行简单修改,也可使其执行任意的Java代码,以此来绕过对命令执行的限制。 修改 作者在115行的注释写到: TODO: could also do...
ysoserial生成的payload无效?
J5ong的博客
08-22 1846
ysoserial生成的payload无效?  最近在写反序列化的poc,payload自然是用ysoserial来生成,然后,攻击失败!!!(攻击vulhub docker上的靶机) 使用的语句:java -jar ysoserial.jar CommonsCollections1 'touch /tmp/success' > d:\payload.ser 就很懵,开始了漫漫找原因之...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
在生成payload后,可以将它编码为base64并传递给目标应用,从而触发反序列化。 0x05部分,攻击者设置了一个监听器等待反序列化数据的触发,通过向服务器发送特定的数据包,触发反序列化过程,进而执行预设的命令...
构造java探测class反序列化gadget1
08-03
这通常涉及到对Java序列化格式的深入理解以及对 ysoserial 工具的熟悉,ysoserial 是一个用于生成Java反序列化payload的工具。 0x04 应用场景 这种探测技术在以下场景中非常有用: 1. 黑盒安全审计:在不知道目标...
ysomap:一个基于ysererial的有用的Java反序列化利用框架
05-14
所以萌生了开发一个更加灵活的框架来扩展反序列化利用链,也就是当前这个试验品ysomap。 PS:YSOMAP项目为另一个项目的子项目,后续将开源该项目,敬请期待...... #2 原理 我将利用链切分成了两个部分payload
【技术分享】二进制角度构造Java反序列化Payload .pdf
09-05
【技术分享】二进制角度构造Java反序列化Payload的主题主要涉及Java安全领域的漏洞分析与利用,特别是针对Java反序列化漏洞的构造方法。反序列化漏洞常常出现在企业级应用中,因为Java对象序列化机制在传递和存储...
Java反序列化生成Payload附利用脚本
02-12
Java反序列化生成Payload附利用脚本,帮助运维测试weblogic及jboss等中间件的漏洞。
ysoserial-v0.0.4
05-04
java反序列化工具ysoserial最新版v0.0.4 (jenkins,weblogic,jboss等的代码执行利用工具)
java restful文件传输_Springboot 实现 Restful 服务,基于 HTTP / JSON 传输
weixin_39946300的博客
12-21 142
二、springboot-restful 工程控制层实现详解1.什么是 REST?REST 是属于 WEB 自身的一种架构风格,是在 HTTP 1.1 规范下实现的。Representational State Transfer 全称翻译为表现层状态转化。Resource:资源。比如 newsfeed;Representational:表现形式,比如用JSON,富文本等;State Transfe...
java返回pdf文件流,Spring 3.0 Java REST返回PDF文档
weixin_39691233的博客
02-28 1266
I have a PDF document generated in the backend. I want to return this using Spring MVC REST framework. What should the MarshallingView and ContentNegotiatingViewResolver look like?Based on a sample I ...
Java反序列化
buffedon的博客
09-05 4520
Java反序列化Java反序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化与反序列化代码参考文章 Java反序列化概念 在说反序列化之前,先说说序列化 序列化就是将对象转化为字节流,利于存储和被引用 反序列化与序列化恰恰相反,是将字节流转化为对象 序列化的格式:json序列化,xml序列化,二进制序列化,SOAP序列化 序列化调用的函数 序列化:java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable 和 Externaliz
Base64序列化和反序列化
weixin_30561425的博客
06-20 1166
序列化: Dictionary<string, string> sPara = GetRequestPost(ref parameterStr); string serializeString = JSONUtility.Serialize(sPara); serializeString = Convert....
java接收base64字符串_java BASE64与字符串之间的转换
weixin_42669344的博客
02-28 2549
BASE64与字符串之间转换通常使用两种方法:1. java API2 Apache jarpackage net.csdn.blog.epay.util;import java.io.UnsupportedEncodingException;import org.apache.commons.codec.binary.Base64;import sun.misc.BASE64Decoder;im...
(渗透学习)ysoserial工具使用--java反序列化漏洞利用
热门推荐
yang1234567898的博客
01-03 1万+
工具下载地址:https://github.com/angelwhu/ysoserial 使用方法可参考:https://blog.csdn.net/weixin_34275734/article/details/92243836 靶场webgoat---Insecure Deserializetion---5 分析漏洞: 题目给的数据是rO0AB开头,所以是经过了base64加密的java序列化对象。 解码后是一段英文,百度翻译也没发现有啥用处: 题目还给出了一个接收序列化数据的表单.
php 的 api接口返回二维码图片的问题 base64
hjh15827475896的博客
05-03 1086
我们做小程序开发,或者app开发的时间,经常会返的回的数据含有二维码图片,那么我们怎么可以普通数据和二维码数据一起返回给前端呢 1. 首选解决 api返回图片数据的问题 答案就是 base64 方法,我们得到一个图片数据后,对其进行 base64字符编码 php 的方法就是 base64_encode("图片数据") 2.和其它数据一起使用json格数传...
Java反序列化入门:URLDNS链与ysoserial利用
Java反序列化入门之URLDNS链1讲解了Java序列化与反序列化的基本概念及其潜在的安全风险。在Java中,序列化是一种将对象转换为字节流的过程,以便在网络或存储中持久化数据。当对象被反序列化时,这些字节流被恢复为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值