WebGoat JAVA反序列化漏洞分析复现

admin

102340
文章

87
评论

2022年1月9日11:43:57评论408 views字数 2486阅读8分17秒阅读模式

WebGoat JAVA反序列化漏洞分析复现

扫一扫关注公众号，长期致力于安全研究 WebGoat JAVA反序列化漏洞分析复现

0x01 前言

靶场部署的话在Linux中。附地址了

https://github.com/WebGoat/WebGoat

ysoserial准备一个即可。用来生成payload

后续需要自己写一个读取序列化的内容并进行base64加密。

0x02 实验部分

这里由于WebGoat用的jar包形式，所以需要用jd-gui反编译一下即可

经过反复寻找，最终定位到BOOT-INF.lib.insecure-deserialization-8.1.0.jar中org.owasp.webgoat.deserializtion.InsecureDeserializationTask方法。

WebGoat JAVA反序列化漏洞分析复现

该方法代码如下，首先第6行进行传参token，跟到第10行，在进行反序列化对象创建的时候，进行了base64解码并返回到ois变量。并在13行进行了读取序列化内容，之后在14行进行判断是否为vulnerableTaskHolder对象

@RestController@AssignmentHints({"insecure-deserialization.hints.1", "insecure-deserialization.hints.2", "insecure-deserialization.hints.3"})public class InsecureDeserializationTask extends AssignmentEndpoint {  @PostMapping({"/InsecureDeserialization/task"})  @ResponseBody  public AttackResult completed(@RequestParam String token) throws IOException {    long before, after;    String b64token = token.replace('-', '+').replace('_', '/');    try {      ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(Base64.getDecoder().decode(b64token)));      try {        before = System.currentTimeMillis();        Object o = ois.readObject();        if (!(o instanceof org.dummy.insecure.framework.VulnerableTaskHolder)) {          if (o instanceof String) {            AttackResult attackResult1 = failed(this).feedback("insecure-deserialization.stringobject").build();            ois.close();            return attackResult1;          }           AttackResult attackResult = failed(this).feedback("insecure-deserialization.wrongobject").build();          ois.close();          return attackResult;        }         after = System.currentTimeMillis();        ois.close();      } catch (Throwable throwable) {        try {          ois.close();        } catch (Throwable throwable1) {          throwable.addSuppressed(throwable1);        }         throw throwable;      }     } catch (InvalidClassException e) {      return failed(this).feedback("insecure-deserialization.invalidversion").build();    } catch (IllegalArgumentException e) {      return failed(this).feedback("insecure-deserialization.expired").build();    } catch (Exception e) {      return failed(this).feedback("insecure-deserialization.invalidversion").build();    }     int delay = (int)(after - before);    if (delay > 7000)      return failed(this).build();     if (delay < 3000)      return failed(this).build();     return success(this).build();  }}

跟进org.dummy.insecure.framework.VulnerableTaskHolder对象之后
在59行处执行了exec。参数为this.taskAction，所以直接往上跟该变量初始化发现了使用有参构造进行了赋值(因没动态分析,没搞懂t变量怎么赋值)

WebGoat JAVA反序列化漏洞分析复现

0x03 利用

进行简单分析一波之后，使用ysoserial生成序列化的payload，这里的话不做过多讲解，具体使用应该大家都会

WebGoat JAVA反序列化漏洞分析复现

由于靶场在Linux中，所以命令改成了touch 1.txt

打开之后确实是已经序列化了

WebGoat JAVA反序列化漏洞分析复现

但根据上面的代码分析也得知需要在提交之后，会进行base64解码，所以需要提前加密，但是像这种序列化数据直接copy出来并加密的话。很有可能就跑偏了。因为其中本身就是一些字节形式。为此写了加密的小工具。直接在公众号回复"反序列化" 即可获取，内有python和java两个版本

之后使用工具测试一下。可以看到序列化的数据成功加密

WebGoat JAVA反序列化漏洞分析复现

看一下当前目录，确实还不存在1.txt

WebGoat JAVA反序列化漏洞分析复现

直接提交刚才工具加密的payload即可

WebGoat JAVA反序列化漏洞分析复现

漏洞利用成功

WebGoat JAVA反序列化漏洞分析复现

11111

微信搜索关注 "安全族" 长期致力于安全研究

下方扫一下扫，即可关注 WebGoat JAVA反序列化漏洞分析复现

WebGoat JAVA反序列化漏洞分析复现

原文始发于微信公众号（安全族）：WebGoat JAVA反序列化漏洞分析复现

左青龙
微信扫一扫

右白虎
微信扫一扫

WebGoat JAVA反序列化漏洞分析复现

[代码审计] 某发卡系统首发0day

PHP反序列化代码审计|由浅入深

两年前的NET通用系统代码审计

Java安全-深入BeanValidation的RCE漏洞

某CMS漏洞审计记录

对最初站点的一次代码审计

[代码审计] 某多语言抢单刷单系统

geoserver代码审计

深入浅出解析Jackson反序列化

代审工具CodeQLpy的简单使用与Springblade SQL注入修复简析

发表评论