WebGoat JAVA反序列化漏洞分析复现

admin 2022年1月9日11:43:57代码审计评论18 views2486字阅读8分17秒阅读模式

WebGoat JAVA反序列化漏洞分析复现

扫一扫关注公众号,长期致力于安全研究WebGoat JAVA反序列化漏洞分析复现




0x01 前言

靶场部署的话在Linux中。附地址了

https://github.com/WebGoat/WebGoat

ysoserial准备一个即可。用来生成payload

后续需要自己写一个读取序列化的内容并进行base64加密。


0x02 实验部分


这里由于WebGoat用的jar包形式,所以需要用jd-gui反编译一下即可

经过反复寻找,最终定位到BOOT-INF.lib.insecure-deserialization-8.1.0.jar中org.owasp.webgoat.deserializtion.InsecureDeserializationTask方法。

WebGoat JAVA反序列化漏洞分析复现


该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。并在13行进行了读取序列化内容,之后在14行进行判断是否为vulnerableTaskHolder对象

@RestController@AssignmentHints({"insecure-deserialization.hints.1", "insecure-deserialization.hints.2", "insecure-deserialization.hints.3"})public class InsecureDeserializationTask extends AssignmentEndpoint {  @PostMapping({"/InsecureDeserialization/task"})  @ResponseBody  public AttackResult completed(@RequestParam String token) throws IOException {    long before, after;    String b64token = token.replace('-', '+').replace('_', '/');    try {      ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(Base64.getDecoder().decode(b64token)));      try {        before = System.currentTimeMillis();        Object o = ois.readObject();        if (!(o instanceof org.dummy.insecure.framework.VulnerableTaskHolder)) {          if (o instanceof String) {            AttackResult attackResult1 = failed(this).feedback("insecure-deserialization.stringobject").build();            ois.close();            return attackResult1;          }           AttackResult attackResult = failed(this).feedback("insecure-deserialization.wrongobject").build();          ois.close();          return attackResult;        }         after = System.currentTimeMillis();        ois.close();      } catch (Throwable throwable) {        try {          ois.close();        } catch (Throwable throwable1) {          throwable.addSuppressed(throwable1);        }         throw throwable;      }     } catch (InvalidClassException e) {      return failed(this).feedback("insecure-deserialization.invalidversion").build();    } catch (IllegalArgumentException e) {      return failed(this).feedback("insecure-deserialization.expired").build();    } catch (Exception e) {      return failed(this).feedback("insecure-deserialization.invalidversion").build();    }     int delay = (int)(after - before);    if (delay > 7000)      return failed(this).build();     if (delay < 3000)      return failed(this).build();     return success(this).build();  }}

跟进org.dummy.insecure.framework.VulnerableTaskHolder对象之后
在59行处执行了exec。参数为this.taskAction,所以直接往上跟该变量初始化发现了使用有参构造进行了赋值(因没动态分析,没搞懂t变量怎么赋值)

WebGoat JAVA反序列化漏洞分析复现


0x03 利用


进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会

WebGoat JAVA反序列化漏洞分析复现

由于靶场在Linux中,所以命令改成了touch 1.txt


打开之后确实是已经序列化了

WebGoat JAVA反序列化漏洞分析复现


但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。很有可能就跑偏了。因为其中本身就是一些字节形式。为此写了加密的小工具。直接在公众号回复"反序列化" 即可获取,内有python和java两个版本


之后使用工具测试一下。可以看到序列化的数据成功加密

WebGoat JAVA反序列化漏洞分析复现


看一下当前目录,确实还不存在1.txt

WebGoat JAVA反序列化漏洞分析复现


直接提交刚才工具加密的payload即可

WebGoat JAVA反序列化漏洞分析复现


漏洞利用成功

WebGoat JAVA反序列化漏洞分析复现

11111
微信搜索关注 "安全族" 长期致力于安全研究


下方扫一下扫,即可关注WebGoat JAVA反序列化漏洞分析复现

WebGoat JAVA反序列化漏洞分析复现






原文始发于微信公众号(安全族):WebGoat JAVA反序列化漏洞分析复现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月9日11:43:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  WebGoat JAVA反序列化漏洞分析复现 http://cn-sec.com/archives/729021.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: