用 Goby 通过反序列化漏洞一键打入内存马【利用篇】

admin 2023年1月17日01:08:11用 Goby 通过反序列化漏洞一键打入内存马【利用篇】已关闭评论71 views字数 4268阅读14分13秒阅读模式

图片

图片


Goby社区第 22 篇技术分享文章

全文共:3734    预计阅读时间:10 分钟

图片 01 前言

在上一篇 Shell 中的幽灵王者-JAVAWEB 内存马【认知篇】中,我从理念上介绍了很多内存马的东西,并给出了我的判断:“大势所趋下,内存马技术将会像 SQL 注入、文件上传一样,是以后每位安全研究员都必须掌握的安全技术”。

内存马技术很好,很棒,大人小孩都爱用,但实际上,一个不可避免的问题是,能熟练修改、调试、使用内存马的技术门槛,相对较高,除了漏洞利用所需要的安全知识,还需要对框架、中间件的设计模式、源码实现相当了解,并且面对不同版本、不同环境、不同 JDK 等情况进行多种兼容,仅针对一个目标进行攻击,可能需要大量的研究与调试,编写代码,这对项目通常时间比较紧的大多数漏洞利用者来讲,不是性价比最高的方式。

试想一下,如果遇到一个反序列化漏洞,你需要测试 Gadget,生成反序列化 payload,原版的 ysoserial 提供的 payload 一般就执行命令,而命令执行后也无法看到结果,在环境不出网的情况下更加无法知道怎么继续利用。在情况允许的情况下,攻击者可以打入内存马,但是面对中间件的版本不同,内核使用的技术可能不同,如果没有提前准备或根据指定环境调试相关的代码,很难一次利用成功。

那该怎么解决呢?我认为,针对某种漏洞类型,能提供一个通用的利用框架,可以覆盖绝大多数的情况,让白帽子可以无视中间的技术,直接能够使用,才是最好的办法,如果针对每个漏洞,还能够提供最佳实践,让使用者点点点就可以了,岂不美哉?

所以,请观看如下视频:

感受到”点点点“的快乐了吗?我是脚本小子,我爱点点点,我喂自己袋盐。接下来简单介绍一下插件的使用。


图片 02 介绍

反序列化漏洞是什么?ysoserial 项目是什么在这里就不在赘述了,这里主要介绍的是这次融合在 Goby 中的插件的使用方式。

2.1 Gadget

说到反序列化漏洞,最重要的就是 Gadget,目标环境中,必须包含带有漏洞利用链的依赖,但是即使有了依赖,还可能因为依赖不全、版本不同等等各种原因,导致利用失败。

Goby 通过动态修改类字节码、反序列化流等手段,提供了不同依赖版本、不同利用方式等共计 65 条反序列化 Gadget,可以覆盖绝大多数的漏洞利用场景。

使用者可以按需选择自己想使用的 Gadget。

图片

2.2 内存马

本插件的重头戏,也是本篇文章想跟大家介绍的,其实是在对内存马的一键打入和利用上。

在反序列化利用中,有相当一部分利用链最终使用了 TemplatesImpl 实例化类字节码进行利用,在原版的 ysoserial 中,仅使用了 Runtime.getRuntime().exec() 执行系统命令,功能过于单一,在实战利用中,我们还可以利用其执行很多功能,比如命令执行回显、隧道类、执行任意自定义代码等。

当然也可以打入内存马,Goby 目前支持了 Spring、Tomcat、Resin、Jetty、Jboss、Websphere 等共计 20 种不同类型的内存马,也可以覆盖大多数的环境。

图片

内存马类型目前默认支持冰蝎、哥斯拉 raw、哥斯拉、以及 cmd 命令回显。

图片

选定了内存马类型后,可以为内存马设置地址、密码及用来校验的 Referer。

图片

除了 TemplatesImpl,最常见的利用 Gadget 还有 CC 中的  Transformer[] 数组,这是一条链式的反射调用,一般情况也是利用其进行调用 Runtime.getRuntime().exec(),那在这种利用方式是否能打入内存马呢?

答案是肯定的,除了可以使用远程类加载、bcel 等方式进行内存马的打入,Goby 还通过使用 ScriptEngineManager 执行类加载 JS 脚本的方式默认支持了内存马的打入,其实还可以通过 org.mozilla.javascript.DefiningClassLoader 进行类加载等诸多方式进行内存马的打入,但是考虑到实际环境不一定存在指定的依赖,因此相关的技术还需要进一步的打磨。

2.3 扩展选项

此外,本项目还提供了一些扩展选项进行额外的配置。

  • Inherit:对于 TemplatesImpl 方式触发的反序列化利用方式,恶意类是否需要继承 AbstractTranslet;

  • Obscure:提供一些反射调用 navtive 方法、unsafe 之类的混淆绕过方式;

  • Jboss:使用 JBossObjectOutputStream 格式输出;

  • Dirty-type:提供了三种在流量层面对反序列化 payload 进行混淆的方式;

  • Dirty-length:混淆的数据长度;

图片

使用者可以按需使用这些配置,默认状态下,可以无需进行配置。

2.4 总结

在全部配置完成后,点击生成,就可以将生成的反序列化 payload 进行保存了。

关于 Gadget、利用方式等相关信息的更多介绍,可以查看我开源项目的 ReadMe 或源代码。

项目地址:https://github.com/su18/ysoserial

图片 03 使用

使用其实非常简单,例如,我想使用 CC6 反序列化链生成一个 Tomcat Filter 类型的冰蝎内存马,内存马地址为 ”/bg.jpg“,密码为 “test”,内存马校验 Referer 地址为 https://google.com/,就可以进行如下配置:

图片

点击 Generate 生成即可。

图片 04 结合

说了这么多,只是用插件生成反序列化数据,好像没什么意思?我用命令行工具不行吗?之所以封装成为插件,主要有以下两点原因:

  • 命令行参数过于繁琐,用户体验较差,大家还是使用图形化页面更舒服点;

  • 考虑到实际漏洞利用环境可能没有 Java 环境,要生成反序列化 payload 还需要进行安装,过于繁琐,这里我们将 payload 的动态生成放在 GodServer 端,Goby 端无需存在 Java 环境。

第二个问题是,有了反序列化 payload,怎么使用?

当然,你可以把生成的 payload 数据复制粘贴在漏洞利用工具或者脚本中进行利用,或者使用 curl 直接对目标进行发包,但既然是在 Goby 中,为什么不跟 PoC 进行融合呢?

所以说,之前三章全是废话,一款好的产品真正要做的,是让使用者可以无需知道细节,也能无碍使用;但如果使用者想进行配置,也可以提供精细化、高级功能的配置。

所以这里我跟 Goby 同学将中间的细节全部打通,并写了一批可以与 Goby 插件联动使用的 PoC,将一些有代表性的反序列化漏洞、Shiro 系列的漏洞等进行编写,可以直接打入内存马,在这些 PoC 中,我事先内置了确保可以利用的若干参数,Goby 使用者无需任何配置,就可以一键打入内存马。

也就是文章开篇的视频。视频中联动了 Goby 的 ShellHub 插件,可以直接在 Goby 中对内存马进行管理,可以提供命令执行、文件管理、获取基础信息的功能,如果只是想简单获取一些信息,执行一些命令,那你根本没必要打开其他的 Webshell 管理软件,从资产探测、漏洞扫描、打入内存马到管理 Webshell,都可以直接由 Goby 完成。

当然,如果你对相关技术较为熟练,可以自行修改参数,进行定制化的利用。

由于时间问题,这批 PoC 我准备了 25 个,其中包括的是 Shiro 框架、产品如 Apache OFBiz、Apereo CAS、FineReport、Liferay Portal、ZOHO ManageEngine OpManager、ForgeRock AM 等。一般提供两种利用方式,一种是命令执行回显(这里用到了各种回显的技术),另一种是内存马的打入。这一批 PoC 将会作为试点给大家用来体验插件的功能,但并不局限,反序列化作为 Java 安全近几年讨论最多的漏洞利用类型,可以直接打内存马的漏洞数不胜数。

图片 05 汇总

以上基本上就是本篇文章的内容了,由于这篇主要是对 Goby 插件的介绍,很多技术上的细节没有覆盖完全,感兴趣的师傅可以私下交流。

除去反序列化漏洞,Java 还有诸多漏洞类型可以直接打入内存马,如 JNDI、Fastjson 等等,这些能力可能会逐渐集合在 Goby 上(我猜的),除去 Java,php / .NET 也都有内存马的利用手段,未来也可能会逐渐支持,大家可以期待一下。

目前,如果想使用这个插件生成的 PoC 进行内存马的打入,并联动 ShellHub 进行管理,需要按照指定格式编写 PoC,关于这个格式,后续将会详细更新在 Goby 的录入手册中,大家可以按照手册进行编写和利用。

本次 Goby 插件提供的能力,仅仅是开源项目中提供的一些能力,还有一些有趣的沉淀和成果没有完全提供出来,后续将会逐渐进行分享,帮助大家在内存马的利用上更加顺畅、门槛更低。

关于本文中涉及的所有技术及效果,将在 Goby 的下个版本进行发布,敬请期待。

往期推荐

【漏洞速递】禅道系统权限绕过与命令执行漏洞(附POC)
【漏洞速递】Clash最新远程代码执行漏洞(附POC)


[ 红队知识库 ] 常见WAF拦截页面

应急响应思维导图分享-mir1ce师傅

企业级-应急响应完整流程:启示录1

Fortify Static Code Analyzer_22.2-Windows&Linux&Mac 破解版

应急响应思维导图分享-mir1ce师傅

漏扫工具Invicti-Professional(原Netsparker)最新破解版

三款移动应用安全分析平台推荐

Ladon 10.2 2022.12.24

一次市hvv及省hvv的思路总结

Docker_Awvs15.x一键安装[支持版本更新]


最全应急响应流程-附命令和工具【建议收藏】

一款溯源取证工具——数千条规则、涵盖所有攻击类型检测并自动导出报告


适用于 2022 年红队行动的所有免费红队工具和模拟工具包

awvs 15.2破解版下载(Linux, Windows)

web安全手册(红队安全技能栈-下载)


APP漏洞挖掘(一)APP多种方式GetShell?

【宝藏】全网优秀攻防工具集成项

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日01:08:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用 Goby 通过反序列化漏洞一键打入内存马【利用篇】http://cn-sec.com/archives/1519191.html