By. Whoopsunix
🚀 记录贴 对照实战场景梳理较通用的 Java Rce 相关漏洞的利用方式或知识点
🚩 对于实际环境遇到过的组件如有必要会针对可利用版本进行一个梳理 慢更
🚧 长期项目 不定期学习后更新......
🪝 PPPRASP 项目中对本项目给出的漏洞实现防护(仅实现关键函数的 HOOK,不作进一步处理)
- 0x01 RceEcho & MemShell
- 0x02 命令执行
- 0x03 代码执行
- 0x04 表达式注入
- 0x05 JDBC Attack
- Mysql、PostgreSQL、H2database、IBMDB2、ModeShape、Apache Derby、Sqlite、dameng 达梦、Oracle、teradata
- 0x06 Serialization
- 0x07 文件读写 Demo
- 0x08 XXE 有回显测试 Demo
- 鸣谢
0x01 RceEcho & MemShell
命令执行回显目前是通过 java-object-searcher 工具写的,版本适配还没做,之后再优化,本项目主要给出反序列化 demo,jsp 的例子可以参考 Java-Rce-Echo。
对于内存马来说,请求处理接口 Servlet、Filter、Listener、Value 之类的请求处理接口都是通用的,变的其实是获取不同组件上下文的方式,因此可以将代码抽象为 注入器+功能实现 两部分来实现内存马。目前还没有将分开的例子给出来,还在写工具测试。
反序列化的测试可以直接用 Rest Client MemShell.http 发包,比较方便。
内存马这部分知识点推荐看 beichen 师傅的内存马Demo 写的很好,用到了动态代理的方式实现功能,很好的兼容了 javax 和 jakarta api 规范。
| Tomcat | ||
|---|---|---|
| 内存马类型 | Loader | 测试版本 |
| Filter | Thread | 6 7 8 9 |
| JMX | 7 8 9 | |
| WebApp | 8 9 | |
| Servlet | Thread | 7 8 9 |
| JMX | 7 8 9 | |
| WebApp | 8 9 | |
| Listener | Thread | 6-11 |
| JMX | 7 8 9 | |
| WebApp | 8 9 | |
| Executor | Thread | 8 |
| Valve | Thread | 8 |
| RceEcho | Thread |
| Springboot2 | ||
|---|---|---|
| 内存马类型 | Loader | 测试版本 |
| Controller | WebApplicationContext | [2.2.x, 2.7.x] |
| RceEcho | WebApplicationContext | [2.2.x, 2.7.x] |
| Jetty | ||
|---|---|---|
| RceEcho | Thread | 7.x、8.x、9.x、10.x 、11.x全版本 |
WildFly 默认容器用的 Undertow
| Undertow | ||
|---|---|---|
| 内存马类型 | Loader | 测试版本 |
| Listener | Thread | 2.2.25.Final |
| Filter | Thread | 2.2.25.Final |
| Servlet | Thread | 2.2.25.Final |
| RceEcho | Thread | 2.2.25.Final |
| Resin | ||
|---|---|---|
| 内存马类型 | Loader | 测试版本 |
| Listener | Thread | [4.0.52, 4.0.66] |
| Servlet | Thread | [4.0.52, 4.0.66] |
| Filter | Thread | [4.0.52, 4.0.66] |
| RceEcho | Thread | [4.0.52, 4.0.66] |
- windows
- linux
0x02 Command
命令执行是参考 javaweb-sec 项目复现的
- Runtime
- ProcessBuilder
- ProcessImpl
- ProcessImpl & UnixProcess
- ProcessImpl & UnixProcess by unsafe - Native
- Thread
- jni
- java.lang.StringBuilder
- java.io.ByteArrayOutputStream
- java.util.Scanner
- java.io.BufferedReader
- java.io.InputStream.readNBytes > JDK 9
- org.springframework:spring-core
- org.apache.commons:commons-io
0x03 Code
参考 Tri0mphe 师傅文章 https://forum.butian.net/share/487
0x04 Expression inject
表达式注入可以看 https://github.com/yzddmr6/Java-Js-Engine-Payloads ,这部分知识笔记比较分散,还没整理进来。
- 普通执行demo、jsEngine:get、set方式
- 有sout的回显 (Ps. 通过 Servlet 的回显移到 RceEcho 章节介绍)
- 明文
- 套一层base64加密
- 探测用Payload
- DNSLOG、HTTPLOG
- 延时
- runtime 回显
- jsEngine 回显
- Scriptlet 标记写法(放在这里对照)
- runtime 回显
- 探测用Payload
- DNSLOG、HTTPLOG
- 延时
- runtime
- js
0x05 JDBC Attack
JDBC 序列化的知识可以参考这些项目 JDBC-Attack 、pyn3rd blog 、A New Attack Interface In Java Applications 、 Deserial_Sink_With_JDBC
- Mysql
- 文件读取
- 反序列化
- statementInterceptors、detectCustomCollations
- PostgreSQL
- CVE-2022-21724 RCE
- AbstractXmlApplicationContext 实现类
- 文件写入
- loggerLevel / loggerFile
- 原始方式写入 EL
- 截断方式写入 jsp
- loggerLevel / loggerFile
- CVE-2022-21724 RCE
- H2database
- RUNSCRIPT 远程sql加载
- 代码执行
- INIT转义分号
- TriggerJS
- Groovy
- IBMDB2
- JNDI
- ModeShape
- JNDI
- Apache Derby
- Serialize
- Sqlite
- RCE
- dameng 达梦
- JDNI
- Oracle
- JNDI
- teradata
- JDBC RCE
0x06 Serialization
- AppClassLoader
- URLCLassLoader
- BCEL
- TransletClassLoader
- Unsafe
- ReflectUtils
- RhinoClassloader
- ScriptEngineDemo
- 命令执行 Runtime、ProcessBuilder、js
- 探测用Payload
- DNSLOG、SOCKETLOG
- 延时
- JNDI
- BCEL
- RemoteJar
通过构造方法触发RCE
- xml
- ScriptEngineManager
- c3p0
主要为 CVE 不具体展开,<= 1.4.17 的生成集成在 yso 项目中
0x07 文件读写 Demo
可用的文件读写方法,即 Java 数据流的各种操作方法
0x08 XXE 有回显测试 Demo
测试 JDK 原生的 XXE Demo 时最好将 pom 引入的依赖注释掉,idea 调试时容易出问题进不到想要的 hook 点
感谢师傅们的研究 带来了很大的帮助 :)