随笔分类 - java反序列化
摘要:文章首发在安全客: "https://www.anquanke.com/post/id/200892" 1、前言 最近出的回显文章内容毕竟多,linux下反序列化通杀回显,tomcat拿 类的response和request实现回显。之前就想过jndi注入能否实现回显,先看一遍jndi原理。 1.
阅读全文
摘要:文章首发在安全客: "https://www.anquanke.com/post/id/200860" 1、前言 上一篇文章jmx攻击利用方式,通过修改参数为gadget实现攻击,本文与上一篇原理很类似。在2月份的时候 0c0c0f师傅写的是动态替换rmi通讯时候函数参数的值,也就是老外实现的方法。
阅读全文
摘要:文章首发在安全客: "https://www.anquanke.com/post/id/200682" JMX(Java Management Extensions)。JMX可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议,灵活的开发无缝集成的系统、网络和服务管理应用。MBean也是Jav
阅读全文
摘要:文章首发在安全客: "https://www.anquanke.com/post/id/200384" 1、前言 欸欸欸,不想写论文,起床发现 "https://www.zerodayinitiative.com/blog/2020/3/5/cve 2020 2555 rce through a d
阅读全文
摘要:详细的AFM协议看这篇文章: "http://network.51cto.com/art/201006/207886.htm" 给出原始的demo 序列化数据封装到 中,generateUnicastRef函数相当与yso中的JRMPClient模块,只不过yso中的这个模块添加了代理的代码。实现效
阅读全文
摘要:一、CVE 2019 2725几种poc构造 CVE 2019 2725几种poc构造看我博客链接,解压密码都是afanti_ "CVE 2019 2725 二次反序列化jdk7u21 gadgets" "CVE 2019 2725 二次反序列化jndi注入分析" "CVE 2019 2725 二次
阅读全文
摘要:之前写过反序列化报错回显。 1、远程server放恶意jar包,服务器去远程server来请求恶意jar包 2、利用defineClass加载byte[]返回Class对象 从 "这里" 找到回显的poc,这个poc用的就是方法2. 详细POC如下: defineClass去加载com.supere
阅读全文
摘要:CVE 2019 2725二次反序列化EventData Gadget POC 构造MapMsgEntity POC时会爆如下错误,原因畅师傅已经说了,当前类不是public 具体想跟一下怎么报错的,可以这样操作,报错代码如下: java.lang.NoSuchMethodException: =C
阅读全文
摘要:先看下漏洞分析,最后给出POC构造。 通过T3协议发数据包: python2 exp.py t 127.0.0.1 p 7001 在WsrmServerPayloadContext类的readExternal方法下断点,调用父类的readExternal,父类的方法只是标准化一些格式。这里略过。 跟
阅读全文
摘要:POC如下: 除了FileSystemXmlApplicationContext这个类,还有com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext这个类跟他作用一样。 都是Abstr
阅读全文
摘要:前言 这个漏洞现在绕过补丁的poc,我知道有三种, 这篇文章主要分析第二个poc: 1. "UnitOfWorkChangeSet二次反序列化通过7u21 gadget触发rce" 2. UnitOfWorkChangeSet二次反序列化通过JtaTransactionManager实现jndi注入
阅读全文
摘要:在调试weblogic,以前导入jar包都是在weblogic目录搜索 .jar拷贝出来在导入IDEA.有时候会出现好多相同的jar包,调试的时候就会出问题,实际上导入以下俩个包就可以了。1、是module模块。 2、是server下的lib包 POC如下 漏洞是在weblogic.wsee.asy
阅读全文
摘要:攻击者通过构造恶意的MBean,调用 getMBeansFromURL 从远程服务器获取 MBean,通过MLet标签提供恶意的MBean对象下载。 前提条件: 允许远程访问,没有开启认证 (com.sun.management.jmxremote.authenticate=false) 能够远程注
阅读全文
摘要:下面是k8脚本。 发现漏洞是2628双反序列化,但是对ace..进行解码如下,并没有反序列化jrmp客户端,所以就有了下文: 定位到 这个类,明显存在任意文件写入,下面跟一下漏洞。 得到上传路径,仔细看上传路径jsp后门有一空格 实际空格是c080,截断后面路径 读入传进来的内容, 如果内容不为空就
阅读全文
摘要:weblogic之CVE 2018 3191漏洞分析 理解这个漏洞首先需要看这篇文章: "https://www.cnblogs.com/afanti/p/10193169.html" 引用廖新喜说的,说白的就是反序列化时lookup中的参数可控,导致 JNDI注入 AbstractPlatform
阅读全文
摘要:说一下复现CVE 2017 3248可以参考p牛的环境,p牛的环境CVE 2018 2628实际就是CVE 2017 3248,他漏洞编号这块写错了。 攻击流程就如下图,攻击者开启JRMPListener监听在1099端口,等待受害者链接,当受害者链接时,把gadgets返回给客户端: CVE 20
阅读全文
摘要:将反序列化的对象封装进了weblogic.corba.utils.MarshalledObject,然后再对MarshalledObject进行序列化,生成payload字节码。由于MarshalledObject不在WebLogic黑名单里,可正常反序列化,在反序列化时MarshalledObje
阅读全文
摘要:此漏洞是基于CVE 2015 4852漏洞进行黑名单的绕过,CVE 2015 4852补丁主要应用在三个位置上 所以如果能找到可以在其readObject中创建自己的InputStream的对象,并且不是使用黑名单中的ServerChannelInputStream和MsgAbbrevInputSt
阅读全文
摘要:首先说一下远程调试的配置,首先在weblogic的启动文件加入如下配置,开启服务器远程调试端口就是9999: 第二步,建立一个java的空项目。 第三步将weblogic的所有jar包拷出来,放到一个文件中。 第四步把jar包导入idea的lib配置中 第五步添加一个remote,端口修改为9999
阅读全文
摘要:• 使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。 • 在自定义类中,抛出异常,使其成功随着Jboss报错返回命令执行结果。 首先得通过代码执行将ErrorBaseExec写到服务器上。 第二步本地将ErrorBaseExe
阅读全文
浙公网安备 33010602011771号