告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下)

这篇具有很好参考价值的文章主要介绍了告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

0x01 前言

在前面的文章中介绍了基于CC链的反序列化利用方式,并且通过最终调用Runtime类的exec方法达到命令执行的效果。在CC链中还可以通过xalan来执行命令。

xalan是java操作xml的库,属于java内置的官方库之一,在CC链中主要用到的是com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl类。与上篇文章中提到的利用链不同,xalan最终是通过加载字节码来达到代码执行的效果,所以xalan更适合于执行语句的场景,利用xalan来植入内存马会比其他链更加方便。如果目标同时可以使用多条CC链,通常会更倾向于使用xalan相关的链。

往期推荐

1

告别脚本小子系列丨JAVA安全(1)——JAVA本地调试和远程调试技巧

2

告别脚本小子系列丨JAVA安全(2)——JAVA反编译技巧

3

告别脚本小子系列丨JAVA安全(3)——JAVA反射机制

4

告别脚本小子系列丨JAVA安全(4)——ClassLoader机制与冰蝎Webshell分析

5

告别脚本小子系列丨JAVA安全(5)——序列化与反序列化

6

告别脚本小子系列丨JAVA安全(6)——反序列化利用链(上)

7

告别脚本小子系列丨JAVA安全(7)——反序列化利用链(中)

0x02 Xalan链分析

java.lang.ClassLoader是java中负责类加载的抽象类,类中包含一个特别重要的方法defineClass,defineClass方法接受一组字节,然后将其具体化为一个Class类型实例,它一般从磁盘上加载一个文件,然后将文件的字节传递给JVM,通过JVM(native 方法)对于Class的定义,将其具体化,实例化为一个Class类型实例。目前流行的jsp的webshell冰歇和哥斯拉均是采用这种方式来传递的恶意代码。

在TemplatesImpl类的defineTransletClasses方法中,存在对defineClass方法的调用,如图2.1所示。并且传递的参数来源于类私有的属性_bytecodes。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图2.1 在defineTransletClasses方法中调用defineClass方法

除了通过defineClass来生成Class对象之外,还需要通过newInstance方法来生成类对应的实例。向上查找调用了defineTransletClasses方法的其他方法,如图2.2所示。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图2.2 在getTransletInstance方法中调用了目标方法,并进行实例化

由于getTransletInstance方法是private类型的方法,不利于在反序列化利用链中进行调用,继续向上查找调用了getTransletInstance方法的其他方法,如图2.3所示。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图2.3 通过newTransformer方法调用getTransletInstance方法

这里的newTransformer方法已经是一个public类型的方法了,可以直接在反序列化利用链中进行调用。但是在TemplatesImpl类中还存在对newTransformer方法调用的另外的方法,如图2.4所示。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图2.4 通过getOutputProperties方法调用newTransformer方法

在TemplatesImpl类中提供了通过defineClass动态加载字节码并进行实例化的方式,这是TemplatesImpl类能够在多种不同类型反序列化利用链中出现的根本原因。并且由于自身内部方法间相互调用的关系,可以总结只要满足下面表的条件之一,则可以达到通过TemplatesImpl类执行命令的效果。

表2.1 TemplatesImpl类提供的调用方式

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

在TemplatesImpl类中调用对应的方法,可以达到命令执行的效果,如图2.5所示。方法一和方法二均能达到一样的命令执行效果。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图2.5 通过TemplatesImpl来执行命令

0x03 基于Xalan的CC链

在CC3的利用链中最终是通过Xalan来执行命令,CC3的利用链和通过com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter类的构造方法来调用newTransformer方法,达到通过Xalan执行命令的效果,如图3.1所示。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图3.1 在TrAXFilter类的构造方法中调用newTransformer方法

下一步的关键是看如何调用TrAXFilter类的构造方法,ysoserial的作者并没有直接找TrAXFilter类的构造方法调用,而是通InstantiateTransformer类的transform方法中存在调用任意类的getConstructor方法来调用TrAXFilter类。如图3.2所示。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图3.2 在InstantiateTransformer类的transform方法中调用TrAXFilter类的构造方法 

剩下如何调用InstantiateTransformer类的transform方法与CC1利用链完全一致,如图3.3所示。这里不对其中完全一致的内容再做分析。

告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下),java,安全,jvm

图3.3 CC3利用链和CC1利用链对比

除了CC3的链以外,还有CC2、CC4、CB链均与Xalan有关,Xalan提供了一种执行复杂语句的方式,掌握Xalan链有助于编写高级复杂的反序列化利用代码。文章来源地址https://www.toymoban.com/news/detail-516462.html

到了这里,关于告别脚本小子系列丨JAVA安全(8)——反序列化利用链(下)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Java安全 反序列化(1) URLDNS链原理分析

    开始学习Java反序列化链–URLDNS 请提前了解Java序列化和反序列化,熟悉Java反射机制 1.判断是否存在反序列化的点 2.判断目标是否出网 先上payload 后进行分析 可以触发dns请求 1.新建HashMap类 什么是HashMap: 基于哈希表的实现的 Map 接口 HashMap是什么? 是键值对映射关系的集合,可

    2024年04月09日
    浏览(57)
  • Java安全研究——反序列化漏洞之CC链

    apache commons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修

    2024年02月04日
    浏览(59)
  • 不安全的反序列化(php&java)及漏洞复现

    A8:2017-不安全的反序列化 A08:2021-Software and Data Integrity Failures 为什么要序列化? 序列化, 将对象的状态信息转换为可以存储或传输的形式的过程 ,这种形式大多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写入到临时或永久性的存储区。以后,就可以通过从

    2024年02月09日
    浏览(55)
  • 【java安全】Log4j反序列化漏洞

    关于Apache Log4j Log4j是Apache的开源项目,可以实现对System.out等打印语句的替代,并且可以结合spring等项目,实现把日志输出到控制台或文件等。而且它还可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码,满足了大多数要求。 就是用来打印日志的 漏洞成因

    2024年02月11日
    浏览(47)
  • Java安全之反序列化回显与内存码

    import java.lang.reflect.Constructor; import java.lang.reflect.Field; import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Modifier; import java.util.ArrayList; @WebServlet(“/demoServlet”) public class demoServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletEx

    2024年04月15日
    浏览(35)
  • 【优化技术专题】「性能优化系列」针对Java对象压缩及序列化技术的探索之路

    序列化和反序列化 序列化就是指把对象转换为字节码; 对象传递和保存时,保证对象的完整性和可传递性。把对象转换为有字节码,以便在网络上传输或保存在本地文件中; 反序列化就是指把字节码恢复为对象; 根据字节流中保存的对象状态及描述信息,通过反序列化重建

    2024年01月22日
    浏览(57)
  • 【java安全】原生反序列化利用链JDK7u21

    前言 前面我们学习了使用第三方类: Common-Collections 、 Common-Beanutils 进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用链呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的版本 在使用这条利用链时,需要设置jdk为jdk7u21 原理 JDK7u21这条链利

    2024年02月14日
    浏览(42)
  • 小迪安全47WEB 攻防-通用漏洞&Java 反序列化&EXP 生成&数据提取&组件安全

    # 知识点: 1 、 Java 反序列化演示 - 原生 API 接口 2 、 Java 反序列化漏洞利用 -Ysoserial 使用 3 、 Java 反序列化漏洞发现利用点 - 函数 数据 4 、 Java 反序列化考点 - 真实 CTF 赛题 - 审计分析 # 内容点: 1 、明白 -Java 反序列化原理 2 、判断 -Java 反序列化漏洞 3 、学会 -Ysoserial 工具

    2024年04月10日
    浏览(64)
  • Unity——脚本与序列化

    数据序列化有以下几个主要的应用场景和目的: 1. 持久化存储:序列化可以将对象或数据结构转换为字节序列,使得其可以被存储在磁盘上或数据库中。通过序列化,我们可以将应用程序中运行时的数据持久化保存,以便在后续运行时重新加载和使用。 2. 数据传输:序列化

    2024年01月18日
    浏览(42)
  • WEB攻防-Java安全&原生反序列化&SpringBoot攻防&heapdump提取&CVE

    知识点: 1、Java安全-原生反序列化-3大类接口函数利用 2、Java安全-SpringBoot攻防-泄漏安全CVE安全 序列化是将Java对象转换成字节流的过程。而反序列化是将字节流转换成Java对象的过程,java序列化的数据一般会以标记( ac ed 00 05 )开头,base64编码的特征为 rO0AB 。 JAVA常见的序列化

    2024年02月03日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包