摘要:
CVE-2017-3248 & CVE-2018-2628 后面的漏洞就是2017-3248的绕过而已,所以poc都一样,只是使用的payload不同 本机开启JRMP服务端 -》利用T3协议发送payload使得weblogic反序列化后,开启JRMP客户端,并连接服务端 -》服务端发送exp给客 阅读全文
摘要:
weblogic漏洞分析之CVE-2016-0638 一、环境搭建: 这里使用前一篇文章的环境,然后打上补丁 上一篇文章:https://www.cnblogs.com/yyhuni/p/15137095.html 下载补丁p20780171_1036_Generic和p22248372_10360 阅读全文
摘要:
weblogic漏洞分析之CVE-2017-10271 一、环境搭建 1)配置docker 这里使用vulhub的环境:CVE-2017-10271 编辑docker-compose.yml文件,加入8453端口 version: '2' services: weblogic: image: vul 阅读全文
摘要:
weblogic漏洞初探之CVE-2015-4852 一、环境搭建 1. 搭建docker 这里用了vulhub的环境进行修改:https://vulhub.org/ 新建个文件夹,创建两个文件docker-compose.yml、DockerFile docker-compose.yml: ver 阅读全文
摘要:
JAVA反序列化的简单探究 本文主要是探究,在反序列化过程中是怎么调用到readObject、readResolve、readExternal方法的问题 新建一个需要被序列化的类ObjectA,写入readResolve和readObject方法: package com.yy.serialize. 阅读全文
摘要:
FastJson之autotype bypass 在1.2.25版本之后,添加了checkAutoType方法。在方法中引入了白名单(AutoType)、黑名单(denyList)和autoTypeSupport选项 checkAutoType方法 把ubuntu靶机的fastjson版本换到1.2 阅读全文
摘要:
看RMI漏洞时候,对其漏洞原理并不是很理解,所以简单调试了下源码加强下漏洞理解 由于要调试到RegistryImpl_Stub这种动态类,刚开始用的源码版本是JDK8u141,后来发现源码有些地方进行了修改,故此换回了JDK 7u80 以下是源码版本JDK 7u80的源码 创建注册中心 create 阅读全文
摘要:
Fastjson 1.2.22-24 反序列化漏洞分析(2) 1.环境搭建 我们以ubuntu作为被攻击的服务器,本机电脑作为攻击者 本机地址:192.168.202.1 ubuntu地址:192.168.202.129 JDK版本:jdk8u102 1.1 被攻击服务器 这里用ubuntu模拟被攻 阅读全文
摘要:
8u191后的JNDI注入利用 JNDI注入版本关系图,参考如下: 一、8u121之前 使用RMI + JNDI Reference利用 前面文章已经讲过了JNDI + RMI方式,直接利用marshalsec发布RMI服务到1099 java -cp marshalsec-0.0.3-SNAPSH 阅读全文
摘要:
Fastjson 1.2.22-24 反序列化漏洞分析(1) 前言 FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。 影响版本:1.2.22-24 官方通告:https://github.co 阅读全文
摘要:
Fastjson反序列化漏洞基础 FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。 0x0 简单使用 pom.xml加入FastJson <dependency> <groupId>com.a 阅读全文
摘要:
JNDI注入基础 一、简介 JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。 这些命名/目录服务提供者: RMI (JAVA远 阅读全文
摘要:
ysoserial exploit/JRMPClient 上一篇文章讲到,当服务器反序列化payloads/JRMPListener,即会开启端口监听。再使用exploit/JRMPClient模块发送payload,服务器就会把payload进行反序列化,从而完成进行攻击。 调用链分析 设置pay 阅读全文
摘要:
ysoserial payloads/JRMPClient 环境:JDK8u102 payloads/JRMPClient可以配合exploit/JRMPListener模块来使用 1.在自己服务器上使用exploit/JRMPListener来开启监听 2.把payloads/JRMPClient 阅读全文
摘要:
payloads/JRMPListener JRMPListener的攻击流程: 1.生成payloads/JRMPListener发送给服务器,当服务器反序列化payloads/JRMPListener后,即会开启一个端口进行监听。 2.使用exploit/JRMPClient模块发送payloa 阅读全文
摘要:
JNDI注入基础 一、简介 JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。 这些命名/目录服务提供者: RMI (JAVA远 阅读全文
摘要:
CC7也是一条比较通用的链了,不过对于其原理的话,其实还是挺复杂的。文章如有错误,敬请大佬们斧正 CC7利用的是hashtable#readObject作为反序列化入口。AbstractMap的equals来触发的LazyMap的get方法 POC分析 这条链太过于复杂,无法想象大佬们是怎么样的思维 阅读全文
摘要:
CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法。 TiedMapEntry#hashCode 在CC5中,通过的是TiedMapEntry的toString调用到的LazyMap的get方法,而CC6则是通过TiedMapEntry的hash 阅读全文
摘要:
我们知道,AnnotationInvocationHandler类在JDK8u71版本以后,官方对readobject进行了改写。 所以要挖掘出一条能替代的类BadAttributeValueExpException 在CC5中除了有一个新的类BadAttributeValueExpExceptio 阅读全文
摘要:
ysoserial CommonsColletions4分析 其实CC4就是 CC3前半部分和CC2后半部分 拼接组成的,没有什么新的知识点。 不过要注意的是,CC4和CC2一样需要在commons-collections-4.0版本使用,3.1-3.2.1版本不能去使用,原因是Transformi 阅读全文