0×01 前言

在上一篇《Shell中的幽灵王者—JAVAWEB 内存马【认知篇】》中，我从概念上介绍了很多内存马的东西，并给出了我的观点：“大势所趋下，内存马技术将会像 SQL 注入、文件上传一样，是以后每位安全研究员都必须掌握的安全技术”。

内存马技术很好，很棒，大人小孩都爱用，但实际上，一个不可避免的问题是，能熟练修改、调试、使用内存马的技术门槛，相对较高，除了漏洞利用所需要的安全知识，还需要对框架、中间件的设计模式、源码实现相当了解，并且面对不同版本、不同环境、不同 JDK 等情况进行多种兼容，仅针对一个目标进行攻击，可能需要大量的研究与调试，编写代码，这对项目通常时间比较紧的大多数漏洞利用者来讲，不是性价比最高的方式。

试想一下，如果遇到一个反序列化漏洞，你需要测试 Gadget，生成反序列化 payload，原版的 ysoserial 提供的 payload 一般就执行命令，而命令执行后也无法看到结果，在环境不出网的情况下更加无法知道怎么继续利用。在情况允许的情况下，攻击者可以打入内存马，但是面对中间件的版本不同，内核使用的技术可能不同，如果没有提前准备或根据指定环境调试相关的代码，很难一次利用成功。

那该怎么解决呢？我认为，针对某种漏洞类型，能提供一个通用的利用框架，可以覆盖绝大多数的情况，让攻击者可以无视中间的技术，直接能够使用，才是最好的办法，如果针对每个漏洞，还能够提供最佳实践，让使用者点点点就可以了，岂不美哉？

所以，请观看如下视频：

用 Goby 通过反序列化漏洞一键打入内存马【利用篇】

感受到"点点点"的快乐了吗？我是脚本小子，我爱点点点，我喂自己袋盐。接下来简单介绍一下插件的使用。

0×02 介绍

反序列化漏洞是什么、ysoserial 项目是什么在这里就不在赘述了，这里主要介绍的是这次融合在 Goby 中的插件的使用方式。

2.1 Gadget

说到反序列化漏洞，最重要的就是 Gadget，目标环境中，必须包含带有漏洞利用链的依赖，但是即使有了依赖，还可能因为依赖不全、版本不同等等各种原因，导致利用失败。

Goby 通过动态修改类字节码、反序列化流等手段，提供了不同依赖版本、不同利用方式等共计 65 条反序列化 Gadget，可以覆盖绝大多数的漏洞利用场景。

使用者可以按需选择自己想使用的 Gadget。

在这里插入图片描述

2.2 内存马

本插件的重头戏，也是本篇文章想跟大家介绍的，其实是在对内存马的一键打入和利用上。

在反序列化利用中，有相当一部分利用链最终使用了 TemplatesImpl 实例化类字节码进行利用，在原版的 ysoserial 中，仅使用了 Runtime.getRuntime().exec() 执行系统命令，功能过于单一，在实战利用中，我们还可以利用其执行很多功能，比如命令执行回显、隧道类、执行任意自定义代码等。

当然也可以打入内存马，Goby 目前支持了 Spring、Tomcat、Resin、Jetty、Jboss、Websphere 等共计 20 种不同类型的内存马，也可以覆盖大多数的环境。

在这里插入图片描述

内存马类型目前默认支持冰蝎、哥斯拉 raw、哥斯拉、以及 cmd 命令回显。

在这里插入图片描述

选定了内存马类型后，可以为内存马设置地址、密码及用来校验的 Referer。

在这里插入图片描述

除了 TemplatesImpl，最常见的利用 Gadget 还有 CC 中的 Transformer[] 数组，这是一条链式的反射调用，一般情况也是利用其进行调用 Runtime.getRuntime().exec()，那在这种利用方式是否能打入内存马呢？

答案是肯定的，除了可以使用远程类加载、bcel 等方式进行内存马的打入，Goby 还通过使用 ScriptEngineManager 执行类加载 JS 脚本的方式默认支持了内存马的打入，其实还可以通过 org.mozilla.javascript.DefiningClassLoader 进行类加载等诸多方式进行内存马的打入，但是考虑到实际环境不一定存在指定的依赖，因此相关的技术还需要进一步的打磨。

2.3 扩展选项

此外，本项目还提供了一些扩展选项进行额外的配置。

Inherit：对于 TemplatesImpl 方式触发的反序列化利用方式，恶意类是否需要继承 AbstractTranslet；
Obscure：提供一些反射调用 navtive 方法、unsafe 之类的混淆绕过方式；
Jboss：使用 JBossObjectOutputStream 格式输出；
Dirty-type：提供了三种在流量层面对反序列化 payload 进行混淆的方式；
Dirty-length：混淆的数据长度；

在这里插入图片描述

使用者可以按需使用这些配置，默认状态下，可以无需进行配置。

2.4 总结

在全部配置完成后，点击生成，就可以将生成的反序列化 payload 进行保存了。

关于 Gadget、利用方式等相关信息的更多介绍，可以查看我开源项目的 ReadMe 或源代码。

项目地址：https://github.com/su18/ysoserial

0×03 使用

使用其实非常简单，例如，我想使用 CC6 反序列化链生成一个 Tomcat Filter 类型的冰蝎内存马，内存马地址为 “/bg.jpg”，密码为 “test”，内存马校验 Referer 地址为 https://google.com/，就可以进行如下配置：

在这里插入图片描述

点击 Generate 生成即可。

0×04 结合

说了这么多，只是用插件生成反序列化数据，好像没什么意思？我用命令行工具不行吗？之所以封装成为插件，主要有以下两点原因：

命令行参数过于繁琐，用户体验较差，大家还是使用图形化页面更舒服点；
考虑到实际漏洞利用环境可能没有 Java 环境，要生成反序列化 payload 还需要进行安装，过于繁琐，这里我们将 payload 的动态生成放在 GodServer 端，Goby 端无需存在 Java 环境。

第二个问题是，有了反序列化 payload，怎么使用？

当然，你可以把生成的 payload 数据复制粘贴在漏洞利用工具或者脚本中进行利用，或者使用 curl 直接对目标进行发包，但既然是在 Goby 中，为什么不跟 PoC 进行融合呢？

所以说，之前三章全是废话，一款好的产品真正要做的，是让使用者可以无需知道细节，也能无碍使用；但如果使用者想进行配置，也可以提供精细化、高级功能的配置。

所以这里我跟 Goby 同学将中间的细节全部打通，并写了一批可以与 Goby 插件联动使用的 PoC，将一些有代表性的反序列化漏洞、Shiro 系列的漏洞等进行编写，可以直接打入内存马，在这些 PoC 中，我事先内置了确保可以利用的若干参数，Goby 使用者无需任何配置，就可以一键打入内存马。

也就是文章开篇的视频。视频中联动了 Goby 的 ShellHub 插件，可以直接在 Goby 中对内存马进行管理，可以提供命令执行、文件管理、获取基础信息的功能，如果只是想简单获取一些信息，执行一些命令，那你根本没必要打开其他的 Webshell 管理软件，从资产探测、漏洞扫描、打入内存马到管理 Webshell，都可以直接由 Goby 完成。

当然，如果你对相关技术较为熟练，可以自行修改参数，进行定制化的利用。

由于时间问题，这批 PoC 我准备了 25 个，其中包括的是 Shiro 框架、产品如 Apache OFBiz、Apereo CAS、FineReport、Liferay Portal、ZOHO ManageEngine OpManager、ForgeRock AM 等。一般提供两种利用方式，一种是命令执行回显（这里用到了各种回显的技术），另一种是内存马的打入。这一批 PoC 将会作为试点给大家用来体验插件的功能，但并不局限，反序列化作为 Java 安全近几年讨论最多的漏洞利用类型，可以直接打内存马的漏洞数不胜数。