04 2022 档案
摘要:Tomcat通用回显学习 1、前置知识 1.1、正常的命令执行回显 整体流程就是通过request对象拿到我们要执行的命令,并作为参数带到执行命令的方法中,将命令结果作为InputStream,通过response对象的方法输出命令执行的结果,从而在页面获得回显 搭建环境 创建maven项目,导入依
阅读全文
摘要:Shiro550 shiro550和fastjson作为攻防演练的利器,前面学习了fastjson的相关利用和回显,本篇主要来学习一下shiro550的漏洞原理。 1、漏洞原因 在 Shiro ⇐ 1.2.4 中,AES 加密算法的key是硬编码在源码中,当我们勾选remember me 的时候 s
阅读全文
摘要:java反序列化回显 在很多不出网的情况下,一种是写webshell(内存嘛),另一种就是回显,本文先学习回显,回显的主要方式有一下几种。 defineClass RMI绑定实例 URLClassLoader抛出异常 中间件 写文件css、js dnslog 前面有多多少了解过ClassLoader
阅读全文
摘要:C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http base jndi hex序列化字节加载器 1、http base 1.1、漏洞复现 package ysoserial.test
阅读全文
摘要:Fastjson tomcat-dbcp链 这条链可直接回显,可以解决fastjson在内网的情况,因为很多实战的时候,fastjson的应用部署在内网,只映射一个端口出来,导致前面学习的jdbcRowImpl链的jndi利用不了,而TemplatesImpl链又因为有利用条件,用parseObje
阅读全文
摘要:JdbcRowSetImpl 接着继续学习fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体setter调用代码可以参考上篇文章调试的部分 1、漏洞复现 1.1、组件依赖版本 fastjson:1
阅读全文
摘要:FastJson利用链 Fastjson的版本在1.2.22-1.2.24主要有两条链利用TemplatsImpl和JdbcRowSetImpl利用链先来学习TemplatsImpl利用链,这个与前面jdk7u21所用的都是通过defineclass来实例化恶意字节码导致的任意代码执行。 1、漏洞复
阅读全文
摘要:Fastjson前置知识 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象 1、Fastjson基础用法 1.1、序列化与
阅读全文
摘要:JDK7u21 1、前置知识 jdk7u21是一条不依赖CommonsCollections库依赖的,看利用链所有知识其实跟CommonsCollections也有重复,我们来学习一下以前没学过的类或者方法。环境是jdk7u17。 LinkedHashSet 首先入口是LinkedHashSet的r
阅读全文
摘要:JNDI 1、概念 JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。包括Naming Service和Directory Service,允许客户端通过名称发现和查找数据、对象。这些对象可以存储在不同的命名或目录服务中,例如
阅读全文
摘要:RMI学习 1、RMI简介 RMI(Remote Method Invocation),远程方法调用方法,其实就是本地java虚拟机要调用其他java虚拟机的方法,两个虚拟机可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。 如果复现过fastjson漏洞就知道我们的payl
阅读全文
摘要:URLDNS URLDNS跟CommonsCollections比起来真是眉清目秀,该链主要用于验证漏洞,并不能执行命令,优点就是不依赖任何包。 1、利用链 * Gadget Chain: * HashMap.readObject() * HashMap.putVal() * HashMap.has
阅读全文
摘要:CommonsCollections7 1、前置知识 Hashtable Hashtable实现了Map接口和Serializable接口,因此,Hashtable现在集成到了集合框架中。它和HashMap类很相似,但是它支持同步,像HashMap一样,Hashtable在哈希表中存储键/值对。当使
阅读全文
摘要:CommonsCollection6 1、前置知识 1.1、HashSet HashSet 基于 HashMap 来实现的,是一个不允许有重复元素的集合。继承了序列化和集合 构造函数参数为空的话创建一个HashMap(),有一个参数的情况下,要创建指定容量的初始数值的哈希集合。 我们看到add方法会
阅读全文
摘要:CommonsCollection4 1、前置知识 由于cc4没有新的知识点,主要是用cc2,然后稍微cc3结合了,所以我们可以看ysoserial源码,自己尝试构造一下,把cc2通过获取InvokeTransformer()获取templatesImpl的newtransformer()方法,改成
阅读全文
摘要:CommonsCollection5 1、前置知识 1.1、前置知识 通过前面cc1、cc2和cc3的学习,发先cc5跟前面大同小异,他使用了一个新类TiedMapEntry TiedMapEntry 我们先来学习他的构造方法,第一个参数是Map类型,第二个是Object类型的key,然后发现其ge
阅读全文
