跳跳龙的博客

一个记录心情和技术的小地方

Fastjson反序列化漏洞分析 第二弹

前言 最近fastjson有火了,1.2.68再次出现安全问题。而且我大致浏览了一下,这次升级,不是简简单单的加了黑名单这么简单,而是我觉得会跟1.2.24,1.2.47一样,会成为fastjson的里程碑。截止到我正在写下这篇文章的时候,fastjson已经更新到了1.72。更新的好快啊。据我所知,应该1.2.69目前就是安全的版本了。大家可以在github上compare一下69和68,...

JRMPListener && JRMPClient使用小记

目前很多的反序列化的漏洞在利用的过程中都使用到了JRMPListener,JRMPClient。但实际上,在ysoserial项目中,exploit和payloads这2个单词意义是不同的。以前我一直都不怎么区分这2个概念。payloads偏向于一种静态的概念,可以是生成的二进制负载数据。exploit更偏向于一种主动的攻击程序。下面我用2个本地的简单的demo就能对比一下。2个demo分别...

Typecho反序列化分析

php的反序列化我觉得要比Java的简单的多,很大程度上我觉得源自于php语言的易用性。php反序列化和java本质上并无二异,但是在利用上来说,php基本要依靠魔法函数。php的众多魔法函数基本在CTF中反复被使用和考察。之前一直在分析java的调用链和利用过程,typecho这个问题是一个非常典型的反序列化案例,值得学习,之前我只是简单的更新到了github上的知识清单中,今天重新调试了...

phpcms sql注入漏洞分析

漏洞点:down.php 这个漏洞点需要你传入a_k变量,sys_auth函数对a_k变量解密。所以这里需要传入一个加密变量。这里的思路猥琐就在这里,我们如何去获取一个加密值,需要找到另外一个点,这个点传入我们的sql语句,然后返回回来加密的字符串即可,这里找到的点是swfupload_json函数。这个函数会在cookie里进行返回。 exp攻击三步走第一步: 首先先给siteid传...

JDK7U21调用链

JDK7u21 前面我们说的调用链基本都是围绕的是Java第三方包中的一些内容,但是随着JDK7U21的出现,彻彻底底的说明了反序列化根本不需要使用第三方库的支持。而且JDK7u21的利用过程十分精彩,使用HashSet,TemplatesImpl和AnnoationInvocationHandler,其中后两个前面的Collections调用链中基本都提到过。关于HashSet这个容器,...

spring JtaTransactionManager反序列化漏洞

JtaTransactionManager 在spring家族中,其中安全问题比较多的是SpEL表达式注入问题了。所以基本Spring的安全问题基本都会造成RCE。今天来分析一下Spring的一个反序列化问题,是一个标准的JNDI注入安全问题,也可以理解成是一个调用链。看你在什么场景下使用它罢了。国外的安全研究员在github上推了一个demo(https://github.com/zer...

记录一下jndi注入JdbcRowSetImpl

JdbcRowSetImpl 在Fastjson里最开始是用这个JdbcRowSetImpl这个类做JNDI注入的。攻击者搭建一个自己的恶意RMI服务。通过返回的Reference对象来指定location,达到加载恶意类的目的。 这个调用过程可以算上比较简单,我在idea搜索这个JdbcRowSetImpl这个类的时候没搜到,暂时还没想通。就用了报异常的方式,让idea主动打印出来。 ...

TemplatesImpl&&Collection2

TemplatesImpl TemplatesImpl这个调用链之前在Fastjson中就出现过了。除此之外,在Fastjson中也有利用JNDI注入做调用链的。今天主要是想记录一下CommonsCollection2调用链,发现里面也同样包含了TemplatesImpl的利用过程,先把TemplatesImpl调用链的利用过程画出来。实际上我们在Fastjson中是使用了他自己的默认调用...

我的2019年终总结

2019年已经快过去2个月了,拖延症这个东西真是神奇。一直心里总想总结一下过去的自己。是的,人嘛,不总结时间久了就想不起来曾经的模样了。今天翻了翻自己手机里的照片,还有自己的印象笔记。我这个人有个习惯,喜欢记录一下日记。说是日记,也只不过是简易的一个流水账了,况且叫它《云日记》吧,O(∩_∩)O哈哈~。 我觉得记日记是一个很有意思的事情,并非把每日的事情简简单单的罗列下来,更多的是在一段时...

读《嫌疑人X的献身》有感

相信很多人都有多少读过东野圭吾的小说,我是19年的时候突然之间喜欢读推理小说的,以前是单纯的喜欢看一些跟互联网,安全技术相关的书籍。除了推理小说,我也会看一些关于文学历史相关的优秀著作。但对于推理小说的那种喜欢,还是很奇怪的。以前就喜欢看一些推理的悬疑电影,今年我看的感觉比较好的是《误杀》这个真的是全程跪着看完。 说到《误杀》这个片子,是根据印度电影改编的。今年很可惜的是由于疫情的影响,导...