从某比赛题目ezgadgets复现看java反序列化

最新推荐文章于 2024-05-22 09:56:54 发布
最新推荐文章于 2024-05-22 09:56:54 发布
阅读量3.3k 收藏
点赞数 2
分类专栏: 代码审计 文章标签: memcached 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44687621/article/details/121616879
版权

我们平常在使用ysoserial这样的工具时,并不会太在意payload是如何生成的。反正工具一把梭就完事了,但是出题人总是想尽办法不让我们使用工具。所以没办法,只能自己写了。

题目复现给出源码结构如下

在这里插入图片描述

controller作为控制器,并且只有一个class,那么漏洞点肯定在这里面。给出代码如下

在这里插入图片描述

readObject是典型的java反序列化,这里的输入流可控。我们传入data后,会将数据直接存放到ObjectInputStream对象中。

这里直接使用ysoserial,很容易发现存在一个问题,就是这里不但有反序列化,还有如下语句。

String name = objectInputStream.readUTF();
int year = objectInputStream.readInt();
if (name.equals("gadgets") && year == 2021)

这里要求我们传入的流必须包含两个正确的信息,只有两个信息正确才能进行反序列化。

那么这里就需要自己去构造了。既然有readUTF,那么就有writeUTF,只要按顺序写入就行。那么如何构造呢?

要利用readObject,首先想到使用TemplateImpl类来构造POC,但本人尝试未成功。

            PriorityQueue.readObject()
                PriorityQueue.heapify()
                    PriorityQueue.siftDown()
                        PriorityQueue.siftDownUsingConparator()
                            TransformingComparator.compare()
                                InvokerTransformer.transform()
                  TemplatesImpl.newTranformer()
                    Method.invoke()
                                     Runtime.exec()

于是换了一个利用链,就是CC5的BadAttributeValueExpException利用链,调用栈如下

         BadAttributeValueExpException.readObject()
                TiedMapEntry.toString()
                    LazyMap.get()
                        ChainedTransformer.transform()
                            ConstantTransformer.transform()
                              InvokerTransformer.transform()
                                    Runtime.exec()

先使用反射获取类来调用calc

class Poc2 {
   
    public static void main(
最低0.47元/天 解锁文章
一睡12点
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
东华杯2021 ezgadget复现
Sk1y的博客
04-01 998
东华杯2021 ezgadget复现 文章目录东华杯2021 ezgadget复现环境搭建源码分析exp参考链接 环境搭建 题目给了ezgadget附件,需要自取 链接:https://pan.baidu.com/s/1mZt_aorU_kZDo-GJH4wwxQ 提取码:tmng 运行(需要有java环境) java -jar ezgadget.jar 源码分析 我们把附件扔进jd-gui,文件不是很多 mark一下:我在本地复现的时候,用idea创建的一个maven项目,没有用模板,然后将jd-gui
2021年全国大学生网络安全邀请赛暨第七届“东华杯“上海市大学生网络安全大赛Writeup
Le1a's Blog
11-01 9391
2021年全国大学生网络安全邀请赛暨第七届"东华杯"上海市大学网格全大赛Writeup Misc checkin 题目给了+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0- 是UTF-7编码,解码得到flag flag为: flag{dhb_7th} project 下载附件,解压之后发现这是道工控题目,但是解压之后里面有一个压缩包problem_bak.zip 解压得到你来了~ 这里面一共有三段数据,第一段是base64编码 6KGo5oOF5YyF5paH5YyW77y
[东华杯2021] ezgadget
Sentiment的博客
06-07 1047
运行 访问127.0.0.1:8888即可是一个jar包,所以都是class文件,我这里是通过,反编译源码,之后放到IDEA的maven项目中,再将文件中的包导入进去其实主要的文件就三个,, 该类继承了,所以直接可以想到动态加载字节码,并且在方法中,看到了,之后try中又有个,所以只要控制的值,就可以任意代码执行。(defineClass直接加载字节码之前分析过不清楚可以看一下)这里的ClassByte值就是我们需要执行命令的字节码文件,先构造一下。(Windows环境无法反弹shell,所以用calc代替
aezwidget:EZ-Widget 提供一种简单的方法来创建 android 小部件
05-29
小工具 这在很大程度上是 Android EZ-Widget (aezwidget) 的 alpha 版本,因为它非常粗糙(它甚至没有图标),但功能强大。 它旨在使用您自己的休息端点或遵循默认小部件格式的休息端点轻松创建 android 小部件。 通过将内容布局与小部件大小分离,它允许在大小上具有极大的灵活性; 也就是说,您可以定义要垂直和水平显示的项目数量,并允许小部件大小为您想要的任何大小。 对于文本,小部件会自动分割所有小部件之间的小部件空间,对于图像,它会在水平方向上正确分割,但您应该为垂直属性定义一个大小,否则大小将是任意的(图像在一个小部件而不是文本)。 主应用程序允许用户定义将返回兼容小部件布局的服务器。 该项目使用 Spring for Android 来简化 REST 实现,因此您只需使用与其余端点将返回的对象相匹配的对象来定义文件。 一个典型的流程如下: 用户使
[2021东华杯]Web Writeup
feng的博客
11-01 3560
EzGadget 给了源码,IDEA打开看看,有个反序列化的点: @ResponseBody @RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model) throws Exception { byte[] b = Tools.base64Decode(data); I
shiro反序列化复现.zip
08-03
"shiro反序列化复现.zip"这个压缩包很可能是为了帮助开发者或者安全研究人员理解并重现Apache Shiro中的反序列化漏洞。 反序列化漏洞通常发生在程序接收来自不可信源的序列化对象时,如果这个对象包含了恶意构造的...
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-反序列化之PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHP和JAVA平台上的反序列化漏洞。反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
Java “后反序列化漏洞” 利用思路1
08-03
Java "后反序列化漏洞"是指在程序进行反序列化操作之后,恶意构造的序列化对象能够触发非预期的行为,通常包括执行任意代码。这种漏洞常见于Java平台,因为Java的序列化机制允许对象状态的持久化,但也为攻击者提供...
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
CVE-2020-9484的根源在于错误配置和`org.apache.catalina.session.FileStore`组件中的本地文件包含(LFI)以及反序列化问题。当Tomcat配置使用`org.apache.catalina.session.PersistentManager`作为会话管理器,并且...
一个简单的Gadget
03-09
一个简单的Gadget
Gadgets开发实例及教程
06-09
自己为了方便查找联系人写的一个边栏小工具,主要是查询Win7的联系人,在Win7环境下测试通过,因为Gadget的资料较少,所以给大家分享一下,另外没有做美工。 此工具是结合C#来写,C#实现后台的查询和返回工作,结果显示使用Ajax和GadgetsAPI。 项目是使用VS2010开发的,自己在部署时,先创建虚拟目录,指向Publish,里面的Default.htm是我调试用的,可以删除。另外Win7的联系人目录(X:\XXX\XXXX\Contacts)的权限要进行设置,IIS_USERS一定要有读取和运行的权限,不然会报错。GetContacts.gadget在指定目录解压,在小工具里添加到桌面上就可以用了。 资源除原码外,还有自己在网上找的一些Gadgets开发的资料,一起分享给大家,希望能有些帮助。
Java反序列化 C3P0 GadGets3利用链记录(字节码读取)
LTianHang的博客
02-07 217
Java反序列化 C3P0 GadGets3利用链记录
探索Java安全边界:Gadgets - 漏洞复现与研究的宝库
最新发布
gitblog_00035的博客
05-22 420
探索Java安全边界:Gadgets - 漏洞复现与研究的宝库 项目地址:https://gitcode.com/fynch3r/Gadgets 项目介绍 Gadgets 是一个专注于Java安全的研究项目,它详细地记录了已知的漏洞复现过程,特别关注于Java反序列化利用链的开发。通过这个项目,开发者和安全研究员可以深入了解这些潜在的安全威胁,并学习如何预防它们。项目维护者定期更新以覆盖新的漏洞和...
Java ObjectInputStream readUTF()方法(带示例)
cumtv80668的专栏
07-06 1013
ObjectInputStream类readUTF()方法 (ObjectInputStream Class readUTF() method) readUTF() method is available in java.io package. readUTF()方法在java.io包中可用。 readUTF() method is used to read the string in an u...
Java反序列化 C3P0 GadGets1利用链记录(URLClassLoader)
LTianHang的博客
02-06 252
Java反序列化 C3P0 GadGets1利用链记录分析
fastjson 序列化 不包括转义字符_Java 反序列化工具 gadgetinspector 初窥 (上)
weixin_39899021的博客
11-20 300
作者:Longofo@知道创宇404实验室时间:2019年9月4日起因一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。看了几遍作者在Black Hat上的演讲视频[1]与PPT[2],想从作者的演讲与PPT中获取更多关于这个工具的原理性的东西,可是...
python构造类的方法_python中类的构造和构析魔法方法
weixin_39603799的博客
12-15 229
__new__()方法(构造方法):class Foo(object):def __new__(cls,*args,**kwagrs):print('cls的值是:',cls)print('cls的类型是:',type(cls))return super().__new__(cls,*args,**kwagrs)a=Foo()cls的值是: cls的类型是: 该方法第一个参数cls是当前正在实例化...
JAVA反序列化漏洞学习
qq_36495104的博客
08-31 326
拖了很久,迟早是要学的 配置Maven windows下安装配置Maven 下载地址: https://archive.apache.org/dist/maven/maven-3/ 参考链接里,作者说不建议下载太高版本,经笔者测试,3.6.3 idea报错,解决方案就是降版本。我用的eclipse没问题。 解压后,在conf目录找到settings.xml,修改local repo以及换镜像 <mirror> <id>alimaven</id>
fastjson反序列化复现
08-12
Fastjson的反序列化漏洞是指在反序列化过程中,攻击者可以构造恶意的JSON字符串,通过利用Fastjson的特性和漏洞来执行任意代码。具体的复现过程如下: 1. 构造恶意的JSON字符串,其中包含需要执行的代码。可以利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值