ROME反序列化-TemplatesImpl链子

最新推荐文章于 2024-12-19 20:22:33 发布
转载 最新推荐文章于 2024-12-19 20:22:33 发布 · 473 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/qOT2BFFjTaJKT6vn9rsnZg
文章标签:

#java #开发语言 #后端

本文详细探讨了一种通过HashMap调用导致的远程代码执行(RCE)漏洞,涉及对象的hashCode方法链,最终触发TemplatesImpl类的getOutputProperties方法。作者展示了利用过程,并使用ysoserial生成Windows计算器攻击示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言:

ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。

正题:

这个链子是通过HashMap调用ObjectBean的hashCode()方法来完成RCE。

这里放一下链子会用到的一些必要代码,接下来进行相应的调试

public int hashCode() {
   return this._equalsBean.beanHashCode();
}

当调用hashCode之后会调用beanHashCode(),之后调用到toString()

图片

public int beanHashCode() {
   return this._obj.toString().hashCode();
}

图片

public String toString() {
   Stack stack = (Stack)PREFIX_TL.get();
   String[] tsInfo = (String[])(stack.isEmpty() ? null : stack.peek());
   String prefix;
   if (tsInfo == null) {
       String className = this._obj.getClass().getName();
       prefix = className.substring(className.lastIndexOf(".") + 1);
   } else {
       prefix = tsInfo[0];
       tsInfo[1] = prefix;
   }

   return this.toString(prefix);
}

这里可以看到返回的prefix是TemplatesImpl

图片

private String toString(String prefix) {
   StringBuffer sb = new StringBuffer(128);

   try {
       PropertyDescriptor[] pds = BeanIntrospector.getPropertyDescriptors(this._beanClass);
       if (pds != null) {
           for(int i = 0; i < pds.length; ++i) {
               String pName = pds[i].getName();
               Method pReadMethod = pds[i].getReadMethod();
               if (pReadMethod != null && pReadMethod.getDeclaringClass() != Object.class && pReadMethod.getParameterTypes().length == 0) {
                   Object value = pReadMethod.invoke(this._obj, NO_PARAMS);
                   this.printProperty(sb, prefix + "." + pName, value);
               }
           }
       }
   } catch (Exception var8) {
       sb.append("\n\nEXCEPTION: Could not complete " + this._obj.getClass() + ".toString(): " + var8.getMessage() + "\n");
   }

   return sb.toString();
}

在调用完这里之后,我们就会调用TemplatesImpl的链子,这里可以注意到TemplatesImpl的getOutputProperties()是一个无参数的方法,所以刚好可以被调用

图片

这里直接使用ysoserial-master-8eb5cbfbf6-1.jar生成windows下弹计算器的exp并进行base64编码

图片

图片

Fastjson反序列化漏洞TemplateImpl利用条跟踪与分析
Armandhe的博客
11-04 678
Fastjson反序列化漏洞TemplateImpl利用条跟踪与分析
二次反序列化 看我一命通关
msbz7的博客
08-17 907
不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管小编把 CC 如何拆开组合,都没有办法绕过。就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上,从那以后我就对二次反序列化产生了莫名的渴望。小编开始详细学习时,发现没有二次反序列化比较系统的学习文章,那么,就自己总结一个。简单介绍下二次反序列化,顾名思义,就是反序列化两次,其主要意义是PS:本文用到的工具类会放在文末它,是下一个用于创建真实运行时对象的类,更具体地说,...
[Java反序列化]rome反序列化学习
feng的博客
11-09 1375
前言 也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战疫比赛遇到的rome反序列化给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。 分析 从网上找了利用TemplatesImpl.getOutputProperties() NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) NativeMethodAccessorImpl.invoke(Object, Object[])
[Java反序列化]—Rome反序列化
Sentiment的博客
04-28 661
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
Rome反序列化
01-22 764
Rome反序列化 Gadget /* * Gadget: * HashMap#readObject * ObjectBean#hashCode * EqualsBean#beanHashCode * ToStringBean#toString * TemplatesImpl#getOutputProperties * */ HashMap#readObject 可以调用到任意一个类的 hashCode 方法,这里调用到的是 Obje
ROME反序列化分析
Blazing-Angel的博客
03-29 714
title: ROME反序列化 categories: java反序列化 Rome Rome 就是为 RSS聚合开发的框架, 可以提供RSS阅读和发布器。 Rome 提供了 ToStringBean 这个类,提供深入的 toString 方法对JavaBean进行操作 Calc package bytecode; import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun.org.apache.xalan.internal.xs.
【Web】浅聊Hessian反序列化原生jdk利用与高版本限制绕过
最新发布
m0_74823595的博客
12-19 1047
上篇文章介绍了Hessian2异常触发toString,“触发toString方法便可生万物,而后打法无穷也”很容易想到常见的 Rome、XBean 等 toString,若目标环境没有这些依赖呢,有无原生jdk链子打呢???还真有,服辣服辣!?&下面一起来学习大佬的姿势??
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3921
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
初探Hessian利用为Dubbo-CVE占坑
Q54665642ljf的博客
09-12 394
Hessian 是caucho公司的工程项目,为了达到或超过 ORMI/Java JNI 等其他跨语言/平台调用的能力设计而出,在 2004 点发布 1.0 规范,一般称之为 Hessian ,并逐步迭代,在 Hassian jar 3.2.0 之后,采用了新的 2.0 版本的协议,一般称之为 Hessian 2.0。这是一种动态类型的二进制序列化和Web 服务协议,专为面向对象的传输而设计。
ROME 反序列化
2301_79700060的博客
07-11 801
ROME是主要用于解析RSS和Atom种子的一个Java框架。ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。他有个特殊的位置就是ROME提供了ToStringBean这个类,提供深入的toString方法对Java Bean进行操作。
Java安全』反序列化-Rome 1.0反序列化POP分析_ysoserial Rome payload分析
Ho1aAs‘s Blog
03-08 2114
文章目录前言版本代码审计 | 原理分析1. ToStringBean.toString()触发TemplatesImpl.getOutputProperties()手动调用ToStringBean.toString()示例代码2. EqualsBean.hashCode()触发toString()手动调用EqualsBean.hashCode()示例代码3. ObjectBean触发toString()或hashCode()手动调用ObjectBean.toString()和hashCode()示例代码4.
Javaweb安全——反序列化漏洞-Rome
weixin_43610673的博客
01-30 454
核心是 ToStringBean#toString()会调用其封装类的所有无参 getter方法
[Java反序列化]Java-CommonsCollections2TemplatesImpl利用分析
Y4tacker的博客
07-28 568
文章目录Java-CommonsCollections2TemplatesImpl利用分析完整代码 Java-CommonsCollections2TemplatesImpl利用分析 我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤,那这里是否可以实现呢,答案是是的,在这里的queue 现在开始正文,还是稍微详细说一下利用过程吧 现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码 T
【Web】浅聊Java反序列化Rome——EqualsBean&ObjectBean
uuzeray的博客
03-09 1125
ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。Rome 提供了这个类,提供深入的 toString 方法对JavaBean进行操作,这也是问我们用Rome反序列化的核心利用点。
Rome分析
Sk1y的博客
07-01 734
Rome分析 ysoserial BadAttributeValueExpException 简化
ysoserial代码分析-TemplatesImpl
GalaxySpaceX的博客
08-15 1061
ysoserial代码分析-TemplatesImpl
fastjson1.2.24TemplatesImpl利用源码分析
weixin_45682070的博客
12-28 876
构造恶意类 package org.example.fastjson.TemplatesImpl; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.Feature; import com.alibaba.fastjson.parser.ParserConfig; public class Test { public static void main(String[] args) { Parse
TemplatesImpl利用与Fastjson注入内存马
weixin_42508548的博客
01-31 1369
TemplatesImpl利用是一个非常重要的东西,要知道,CC可以用它,CB也用它,注入内存马还是用它。因为它可以加载java字节码并实例化。ClassLoader,类加载器,是JVM执行类加载机制的前提,其主要任务为根据一个类的全限定名来读取此类的二进制字节流到JVM内部,然后转换为一个与目标类对应的java.lang.Class对象实例。文章第四部分,了解了实例化类的时候,会自动执行static{}代码块,{}代码块,无参构造方法那么如何注入内存马呢,也是通过newInstance实现。
利用TemplatesImpl攻击shiro-Shiro550
Christ1na的博客
10-13 908
为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行Base64解密后,再使用aes密钥解密后的数据,进行反序列化。resolveClass 是反序列化中用来查找类的方法,简单来说,读取序列化流的时候,读到一个字符串形式的类名,需要通过这个方法来找到对应的 java.lang.Class 对象。也就是说,如果反序列化流中包含非Java自身的数组,则会出现无法加载类的错误。
深入探索rome-1.0.jar源码分析
根据您提供的文件信息,我们可以推断出您想要了解关于rome-1.0.jar和rome.jar这两个Java库以及它们的源码的相关知识点。因此,接下来的内容将详细介绍Rome项目,特别是其在Java应用中的作用,以及如何获取和使用这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值