ysoserial exploit/JRMPClient
ysoserial exploit/JRMPClient
上一篇文章讲到,当服务器反序列化payloads/JRMPListener,即会开启端口监听。再使用exploit/JRMPClient模块发送payload,服务器就会把payload进行反序列化,从而完成进行攻击。
调用链分析
设置payloads/JRMPListener参数,端口号为1299,debug模式启动payloads/JRMPListener模块。
设置exploit/JRMPClient模块设置参数为127.0.0.1 1299 CommonsCollections7 "calc"
启动exploit/JRMPClient模块后,服务端的接收到请求,会用TCPTransport的handleMessages来处理请求
往下看,第277行,把连接对象传入了StreamRemoteCall对象中。
第278行把StreamRemoteCall对象传入了serviceCall方法中
跟进this.serviceCall方法
前面获取了ObjID对象,生成Target对象等操作,直接看到101行
此时的var6是UnicastServerRef,把Target对象(此时的Target对象是DGCImpl类型)和远程连接对象传入了dispatch方法
跟进UnicastServerRef的dispatch
继续跟进this.oldDispatch
此时的this.skel是DGCImpl_Skel类型
跟进DGCImpl_Skel的dispatch
对var3的值做了一个switch判断,而在case0或者1中都会进行反序列化,从而触发漏洞调用链
解读exploit
main方法中拿到传入的参数,构造出payload,并且传入了makeDGCCall方法中
makeDGCCall方法中,objOut.writeInt写入的值就是前面的var3的值,0或1都行
最后进行了writeObject序列化,flush发送数据到服务端
其实这个payload是在构造DGC请求,然后让服务端的DGCImpl_Skel处理请求,导致的反序列化
详细可以看看这个师傅写的文章:
https://www.anquanke.com/post/id/225137#h3-3
此篇参考:
