Java内存shell：servlet

2020-09-27

最近在学习Java内存shell相关知识，总结沉淀几篇文章，权当学习笔记了。

Java内存webshell史

直接引用c0ny1师傅的总结，写的太好了

其实内存马由来已久，早在17年n1nty师傅的《Tomcat源码调试笔记-看不见的shell》中已初见端倪，但一直不温不火。后经过rebeyong师傅使用agent技术加持后，拓展了内存马的使用场景，然终停留在奇技淫巧上。在各类hw洗礼之后，文件shell明显气数已尽。内存马以救命稻草的身份重回大众视野。特别是今年在shiro的回显研究之后，引发了无数安全研究员对内存webshell的研究，其中涌现出了LandGrey师傅构造的Spring controller内存马。至此内存马开枝散叶发展出了三大类型：

1. servlet-api类
	filter型
	servlet型
2. spring类
	拦截器
	controller型
3. Java Instrumentation类
	agent型

内存马这坛深巷佳酒，一时间流行于市井与弄堂之间。上至安全研究员下至普通客户，人尽皆知。正值hw来临之际，不难推测届时必将是内存马横行天下之日。而各大安全厂商却迟迟未见动静。所谓表面风平浪静，实则暗流涌动。或许一场内存马的围剿计划正慢慢展开。作为攻击方向的研究人员，没有对手就制造对手,攻防互换才能提升内存马技术的发展。

more >>

ysoserial工具分析：TemplatesImpl链与代码执行

2020-09-25

ysoserial的payload只看过Groovy和CommonsCollections1，就一直以为ysoserial是简单的通过最终调用Runtime.getRuntime().exec(cmd)来实现各种利用链的命令执行的，太年轻。。。

本文以CommonsCollections2为例，主要介绍：

ysoserial通过TemplatesImpl实现的通用命令执行打包
如何实现代码执行（非命令执行）

more >>

RMI：绕过JEP290——下

2020-07-29

前文留了个坑，8u231之后还出现了限制与绕过，填个坑

本节的思路：

回顾JEP290 bypass的原理
8u231的限制，老的JRMP绕过方式为何不行了
An Trinh的绕过方式
8u241的限制

more >>

JNDI：JNDI-LDAP 注入及高版本JDK限制——上

2020-07-23

引用参考【1】

除了RMI服务之外，JNDI还可以对接LDAP服务，LDAP也能返回JNDI Reference对象，利用过程与上面RMI Reference基本一致，只是lookup()中的URL为一个LDAP地址：ldap://xxx/xxx，由攻击者控制的LDAP服务端返回一个恶意的JNDI Reference对象。并且LDAP服务的Reference远程加载Factory类不受上一点中 com.sun.jndi.rmi.object.trustURLCodebase、com.sun.jndi.cosnaming.object.trustURLCodebase等属性的限制，所以适用范围更广。

不过在2018年10月，Java最终也修复了这个利用点，对LDAP Reference远程工厂类的加载增加了限制，在Oracle JDK 11.0.1、8u191、7u201、6u211之后 com.sun.jndi.ldap.object.trustURLCodebase 属性的默认值被调整为false，还对应的分配了一个漏洞编号CVE-2018-3149。

不赘述JNDI相关背景，本节主要复现JNDI-LDAP注入，以及如何绕过高版本jdk上的限制

more >>

RMI：绕过JEP290——中

2020-07-16

本节主要解释前文留下的问题：

只是建立了恶意JRMP的连接，但是没执行bind，为什么可以打成功？

结论

流程比较复杂，先直接给结论，绕过JEP290的原理是

利用JEP290白名单内的类，覆盖掉registerRefs（此时未建立JRMP连接）
Registry 处理bind请求，最后会触发DGC逻辑，DGC向registerRefs里保存的Server发送dirty请求
DGC底层使用的是StreamRemoteCall.executeCall进行io的传输，executeCall发送完之后，会根据对方的反馈进行不同的操作，当对方返回一定条件时（初步判断是对方RMI Exception），会直接序列化InputStream，造成反序列化漏洞

more >>