fastjson 序列化 不包括转义字符_Weblogic T3 反序列化历史漏洞

最新推荐文章于 2020-11-30 07:29:08 发布
最新推荐文章于 2020-11-30 07:29:08 发布
阅读量238 收藏
点赞数
文章标签: fastjson 序列化 不包括转义字符 resttemplate 序列化

小编注

   本文是osword同学的Java安全学习笔记之一,将详细分析Weblogic历史,从CVE-2015至CVE-2019相关历史漏洞入手,记录学习Java反序列化漏洞的心得

CVE-2015-4852

影响版本

Oracle WebLogic Server 12.2.1.0

Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0

漏洞原理

测试环境:10.3.6.0 jdk7u21 debian

利用t3协议通信反序列化CC链,简化栈如下。

InboundMsgAbbrev.readObject() -> ... -> AnnotationInvocationHandler.readObject() -> AnnotationInvocationHandler.invoke() -> LazyMap.get() -> .... -> Runtime.exec()

漏洞复现

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections1 "open /System/Applications/Calculator.app" > "/tmp/tm.ser"python weblogic_t3.py 127.0.0.1 7001 /tmp/tm.ser

46fb22d4f62daf78bbd07d94bc76cd92.png

漏洞分析

关注反序列化中间过程,利用 LazyMap链进行反序列化,载体套用AnnotationInvocationHandler类,this.memberValues可控为LazyMap类。利用代理机制,在执行entrySet方法使用会优先执行invoke方法

5579350935698cf17db12b105e4fa416.png

接着触发LazyMap.get方法,this.factory可控Chained-Transformer类,最后反射执行Runtime.getRuntime.exe-c('xxx').

4ed6716a5df3179d8b092944be0a7604.png

漏洞修复

resolveClass拦截反序列化的类,将org.apache.comm-ons.collections.functors添加进黑名单。应用位置如下

weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStreamweblogic.rjvm.MsgAbbrevInputStream.classweblogic.iiop.Utils.class

CVE-2016-0638

影响版本

Oracle WebLogic Server 12.2.1.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.1.2.0

Oracle WebLogic Server 10.3.6.0

漏洞原理

测试环境:10.3.6.0 jdk7u21 debian

利用StreamMessageImpl封装的CommonsCollecti-ons1恶意利用链,使恶意类反序列化在StreamMessageI-mpl.readExternal中进行,不在weblogic.rjvm.Inbo-undMsgAbbrev.class :: ServerChannelInputStream中反序列化,以此绕过补丁

漏洞复现

重写writeExternal类,以此构造出符合readExternal反序列化的数据流。exp.getObject就是CommonsCollecti-ons1最终构造的对象。如下图,执行弹个计算器。

ff453233cb138a4929f9e7c57c6bc466.png

漏洞分析

StreamMessageImpl.readExternal中调用readObject反序列化数据流.针对var1反序列化的条件有

  1. 判断读取的第一个字节是否为1

  2. PayloadFactoryImpl.ceatePaload方法中需要读取到var1(恶意类数据流)的长度.

dc67c398ba7d058e37d31f9744a23d19.png

所以依据此我们可以进行StreamMessageImpl.write-External进行重写.

var3.writeObject(exp.getObject()); // 传入CommonsCollections1var1.writeByte(1); // 第一个字符写入字符1var1.writeInt(var5.length); // 写入恶意类数据流长度

a6b069a5c12b6776198064f3329aaba7.png

CVE-2016-3510

影响版本

Oracle WebLogic Server 12.2.1.0Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0

漏洞原理

MarshalledObject调用构造方法中存在序列化操作,且该对象中存在readResolve方法能够在反序列化时被调用且反序列化数据流可控.

漏洞复现

eafe7254b13dfb41db10d66323307046.png

漏洞分析

跟进MarshalledObject.readResolve方法.其中对this.objBytes调用readObject方法反序列化

43af81cdf920444855b1885cd30d9238.png

回溯如何构造this.objBytes,发现是在创建Marsha-lledObject对象时候,可以直接插入恶意类生成序列化数据流

d807dd4cdba32cb70f5bb21ffe7aba42.png

CVE-2019-2890

影响版本

WebLogic Server 10.3.6.0WebLogic Server 12.1.3.0WebLogic Server 12.2.1.3

漏洞原理

PersistentContext在序列化时候能够写入恶意类对象,在反序列化时PersistentContext对象调用readObject时对PersistentContext封装的序列化对象再次反序列化,可以绕过黑名单的限制

漏洞复现

测试环境:10.3.6.0 + jdk7u21

1.vps开启JRMPListener

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 8000 Jdk7u21 "open /System/Applications/Calculator.app"

2. T3协议利用

python weblogic_t3.py 127.0.0.1 7001 /tmp/cve-2019.2890.ser

23d7df556aab3c09359b5041efb5b4d1.png

漏洞分析

该分析主要针对,由于直接复制PersistentContext类进行构造,中间会出现一些问题

  • 实例化对象时会调用SecurityServiceManager.i-sKernelIdentity进行判断,由于不影响writeO-bject对象创建直接注释掉即可.

c4e3236b8570e109534faf58e517cf7c.png

  • 获取KERNEL_ID时候,网上师傅的文章发现生成序列化时候卡住,在调试时并没有出现该情况.测试的版本在调用SubjectManager.getSubject-Manager方法代码如下.

b612fc22d469ecff9e99a8bb422987a8.png

83080fe051039160cd870a3d433ed9f4.png

  • 在反序列化时,需要进行解密。所以在调用writeSubjec写入时需要执行EncryptionUtil.e-ncrypt对数据流进行加密.且加密条件需要本机的SerializedSystemIni.dat文件

9a72c0165ade88c294e74995cf5708a4.png

漏洞修复

resolveClass中验证反序列化类是否为Subject子类

CVE-2017~CVE-2018

CVE-2017至2018更多是替换恶意类绕过补丁,不再赘述。

CVE-2017-3248

MarshalledObject+JRMP

Apache Commons Colletions基础漏洞修复,与CVE-2016-3510利用相同不过恶意类替换为JRMP,利用java.rmi.registry.Registry.

CVE-2018-2628

MarshalledObject+JRMP

java.rmi.registry.Registry替换为java.rmi.activation.Ac-tivator,绕过resolveProxyClass判断

CVE-2018-2893

CVE-2017-0638 + CVE-2017-3248即StreamMessageImpl中封装JRMPClient

结语

  1. Weblogic利用T3协议反序列化,大多数是利用类封装恶意类绕过补丁(resolveClass).

  2. 在构造恶意类时可以重写writeObject/write-External方法.需要传入恶意类数据流的长度

  3. 关于JRMP类可以实现自己打自己可以参考链接:https://xz.aliyun.com/t/7079

  4. IDEA中进行低版本编译File->Project Structure->Project language level中选择

参考链接

1. https://www.jianshu.com/p/38033935a914

2. https://www.cnblogs.com/afanti/p/10240232.html

3. https://paper.seebug.org/333/

4. https://xz.aliyun.com/search?keyword=weblogic

5. https://www.cnblogs.com/afanti/p/10240232.html

429db7c1b2889c7600005a922e499949.gif

逐日实验室  招兵买马

二进制安全研究员(偏Pwn方向)   校招、实习、社招

base:杭州

岗位职责

1. 重大Windows漏洞应急

2. 分析Crash样本和软件漏洞,编写漏洞利用代码
3. 前沿技术研究,落地产品demo岗位要求1. 熟悉X86/X64的汇编语言,有一定的逆向能力
2. 熟悉常见的二进制漏洞及利用方式
3. 熟悉OD、IDA、WINDBG等调试工具
4. 能够编写Windows历史漏洞EXP
5. 有技术洞察力,对安全技术研究有热爱,对研究前沿技术感兴趣
6. 获得过国际或者国内重大CTF比赛名次者优先加分项:
1. 对Windows系统有较深入了解者优先

二进制安全研究员(偏Re方向)   校招、实习

base:杭州

岗位职责
1. 对在野的APT或包含CVE利用的恶意样本进行跟踪分析
2. 恶意软件攻防,对反病毒以及反反病毒进行深入研究
3. 前沿技术研究,落地能增强产品安全能力的demo岗位要求
1. 有基本的代码功底以及较为熟练的逆向能力
2. 熟练掌握调试工具的使用,熟悉常用的调试技巧
4. 熟悉windows/Linux平台,了解操作系统的基本工作原理
5. 熟悉Windows/Linux平台下常见的恶意软件攻防手段
6. 有技术洞察力,对安全技术研究有热爱,对研究前沿技术感兴趣加分项:
1.  对著名的恶意软件有过完整的实战分析
2.  对内核攻防有了解
3.  了解主流的安全产品对恶意行为的检测原理
4.  参与过知名安全工具的开发或了解过其实现原理

Web 安全研究员   校招、实习

base:杭州

岗位职责
1. 前沿攻防技术研究
2. 参与红蓝对抗任务
3. 企业安全产品赋能岗位要求
1. 熟悉渗透测试的一般流程和技巧,有过实战经验(包括src、众测、护网等)
2. 熟悉php/python/java等任意一门语言的代码审计
3. 至少熟练掌握一门开发语言
4. 具有独立的漏洞挖掘、研究能力
5. 有技术洞察力,对安全技术研究有热爱,对研究前沿技术和攻防对抗感兴趣
6. 获得过国际或者国内重大CTF比赛名次者优先加分项:
1. 熟悉内网渗透,具有大型、复杂网络环境的内网渗透经验
2. 拥有常见安全产品绕过经验,如WAF、IDS等

递送简历邮箱:fangyuan@moresec.cn 

投递格式:姓名+岗位+来自逐日公众号 ▼ 逐日干货 ▼ CVE-2020-13921 Apache SkyWalking SQL注入漏洞分析

Edge CVE-2017-0234 漏洞复现与利用

从几种主动防御场景看MITRE Shield中的欺骗之道

某APT组织样本及其利用OFFICE漏洞分析

CVE-2020-14364 QEMU逃逸漏洞分析(含完整EXP)

47cd147904de180dde1459bc37e0ab05.png

逐日实验室,寓意为追逐技术永不停歇,是默安科技安全研究院下的一支团队。专注于信息安全攻防研究,包括漏洞挖掘、逆向工程、红蓝对抗、代码审计、产品赋能等方向。

0b231ebf94d6ca57cea8f79b0159fcae.png   逐日实验室 长按左侧二维码 获取更多安全资讯点击这里获取所有POC
weixin_39522486
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Web】浅聊Fastjson原生反序列化——原理与高版本绕过
uuzeray的博客
03-22 1730
当向List、set、map这些涉及哈希表的类型中写入对象时,会在handles这个哈希表中建立从对象到引用的映射,当再次写入同一对象时,在handles这个hash表中查到了映射,就会通过writeHandle将重复对象以引用类型写入,自然readObject反序列化的时候也就会走到readHandle分支。经p4d0rn师傅提醒,序列化的时候会带上很多不必要的属性,比如父类的类名之类的信息都会被带上,payload是有缩短的空间的。
Java安全学习笔记(一)
qq_36410265的博客
06-20 557
如果上下文中存在某个类的实例,那么我们可以直接通过来获取它的类。 如果你已经加载了某个类,只是想获取到它的 对象,那么就直接 拿它的 class 属性即可。这个⽅法其实不属于反射。 如果你知道某个类的名字,想获取到这个类,就可以使⽤ 来获取 使用不成功的一些原因 你使用的类没有无参构造函数 你使用的类构造函数是私有的 案例 会报错原因是类的构造方法是私有的可以这样 的作用是通过反射获取一个类的特定的公有方法。的作用是执行方法,它的第一个参数是:上述命令执行的payload可以分解为 到这里
weblogic11G fastjson配置注意事项
刘海生的博客
01-09 798
从tomcat7 迁移到weblogic 11G,response header中因为Transfer-Encoding和Content-Length遇到的坑,主要是postman不兼容这两个同时出现的情况,weblogic也算有bug,因为他们是互斥的,不应该同时返回
WAF绕过技术系列文章(一)
Fly_鹏程万里
12-28 1731
在Web应用中,发现远程命令执行漏洞并不罕见,在2017年,OWASP前10位的安全威胁中,注入位于第一: 注入漏洞,例如SQL、NoSQL、OS和LDAP注入,一般发生在服务器执行命令或查询时,因有不可控的数据掺杂其中,所导致的异常反馈。攻击者通过输入恶意数据可能诱使系统去执行意料之外的命令或造成敏感数据泄露。 所有现代的Web防火墙(WAF)都具有拦截远程命令执行(RCE)的能力,...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
weixin_39517241的博客
11-30 2207
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01反序列化原理Fastjson反序列化,...
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化反序列化能力,支持多种Java类型,包括JavaBean、集合、日期以及枚举等,并且无任何外部依赖,使得其在实际项目中得到广泛应用。...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjsonweblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
weblogic部署web项目jar文件冲突
u010131956的专栏
11-12 3758
web项目在tomcat下能正常运行,可以在weblogic里启动异常:NoSuchMethodError  大概意思是找不到方法,原因是web项目jar文件与weblogic的jar文件冲突,解决办法如下: 1,在web.xml同级目录新建文件名为weblogic.xml,内容如下: true 2,迁移web项目里面的jar包到domain的lib
fastjson的这些坑,你误入了没?
一猿小讲
06-25 7108
背景:最近 fastjson 被爆出新的远程代码执行漏洞之后,赶紧督促项目组快马加鞭去修改(吐槽:真改不动,架不住项目既多又老),鉴于项目不同,依赖的 fastjson 版本也不同,本次...
Spring cloud 中 jersey 与 fastjson 某些版本冲突导致服务无法启动的问题
bw_yyziq的博客
08-30 4353
2018-08-30 06:53:23.146 ERROR 1 --- [ main] o.s.c.n.e.s.EurekaRegistration : error getting CloudEurekaClient org.springframework.beans.factory.BeanCreationException: Error creati...
营销策划 -2024非遗大展预热引流策划方案.pptx
最新发布
07-13
营销策划 -2024非遗大展预热引流策划方案.pptx
全网最热Python3入门+进阶 更快上手实际开发
07-13
网最热Python3入门+进阶 更快上手实际开发 第1章 Python入门导学.mp4 239.6MB 第9章 高级部分:面向对象 第8章 Python函数 第7章 包、模块、函数与变量作用域 第6章 分支、循环、条件与枚举 第5章 变量与运算符 第4章 Python中表示“组”的概念与定义 第3章 理解什么是写代码与Python的基本类型 第2章 Python环境安装 第1章 Python入门导学 第14章 Pythonic与Python杂记 第13章 实战:原生爬虫 第12章 函数式编程: 匿名函数、高阶函数、装饰器
物资合同管理台账.docx
07-13
物资合同管理台账.docx
项目管理策划编写模板.docx
07-13
项目管理策划编写模板.docx
fastjson 序列化包括转义字符_FastJson实现JSON字符串、JSON对象及JavaBean的相互转换...
05-15
fastjson 序列化时默认会对字符串中的转义字符进行转义,如果不想转义可以使用 SerializerFeature 来设置: ```java String json = JSON.toJSONString(obj, SerializerFeature.DisableEscapeHtml); ``` 其中,DisableEscapeHtml 参数表示禁用转义字符,可以根据具体需求设置不同的 SerializerFeature 参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值