中文 | English
Web-Chains/Java-Chains 是一个 Java Payload 生成与漏洞利用 Web 平台,便于广大安全研究员快速生成 Java Payload,以及对
JNDI 注入、MySQL JDBC 反序列化、JRMP 反序列化等漏洞进行方便快速测试,能够在一定程度上提高测试效率。
我们站在巨人肩膀上,致力于打造最强的 Java 安全研究领域的瑞士军刀
Web-Chains 含有以下六大模块
JavaNativePayload: Java 反序列化原生 Payload 生成
HessianPayload: Hessian1 反序列化 Payload 生成,并支持 HessianServlet 格式反序列化数据
Hessian2Payload: Hessian2 反序列化 Payload 生成
ShiroPayload: Shiro Payload 生成,在某些特殊环境下方便手动进行生成与测试
- 支持自定义 AES KEY
- 支持 AES GCM 模式
- 支持插入 Base64 混淆字符
OtherPayload
-
CharsetJarConvet: 生成 charsets.jar 包,适用于 SpringBoot 下文件上传 RCE 场景 -
GroovyJarConvert: 生成 fastjson-groovy.jar 包,适用于 Fastjson 高版本下通过 Groovy 链加载特定格式 Jar 包实现 RCE) -
SnakeyamlJarConvert: 生成 snakeyaml.jar 包,适用于 SnakeYaml 通过 SPI 加载特定格式 Jar 包实现 RCE -
JDBCPayload: JDBC Payload 生成- H2 JDBC
- PostgresSQL
- ...
ExpressionPayload: 表达式 Payload 生成,本质上是将表达式加载字节码模板中的字节码部分进行替换,推荐手动实现
BcelConvert: BCEL 格式字节码生成JsConvert: Oracle Nashorn JS 表达式加载字节码VelocityConvert: Velocity 通过 bcel 来加载字节码- ...
BytecodePayload: 字节码生成
- 例如可生成执行命令字节码、Sleep字节码、DNSLog字节码,注入内存马字节码,回显字节码、中间件探测字节码、写文件字节码、下载文件字节码
- 支持自定义字节码版本
- 支持自定义字节码类名
- 支持生成 TemplatesImpl 字节码格式 - 实现 AbstractTranslet 接口
- 支持使用 Class-Obf 进行字节码混淆
XStreamPayload: XStream 数据生成,暂未全面测试,部分Payload无法使用
本平台生成的 Payload 支持的一些混淆情况如下:
| JavaNativePayload | HessianPayload | Hessian2Payload | |
|---|---|---|---|
| 随机集合脏数据填充 | ✅ | ✅ | ✅ |
| 垃圾类填充 | ✅ | ✅ | ✅ |
| UTF-8 Overlong Encoding | ✅ | ✅ | ✅ |
| TC_RESET 填充 | ✅ | ❌ | ❌ |
注:若想通过 UserCustomByteArrayFromXXX 提供自定义的Java序列化字节流数据来进行混淆,那么目前暂不支持使用随机集合与垃圾类插入混淆,这与混淆的实现有关,具体支持情况如下:
| JavaNativePayload(自定义序列化场景) | |
|---|---|
| 随机集合混淆 | ❌ |
| 垃圾类插入 | ❌ |
| UTF-8 Overlong Encoding | ✅ |
| TC_RESET 填充 | ✅ |
支持六种利用姿势,外加一个便于一键测试常见链的 ShowHand 链
JndiBasicPayload: LDAP 远程加载字节码
JndiDeserializationPayload: LDAP 中基于 javaSerializedData 字段实现的反序列化
JndiResourceRefPayload: LDAP 基于 BeanFactory 的 Tomcat EL、Groovy等利用
JndiReferencePayload: LDAP 基于其他 ObjectFactory 的Reference利用,例如各种DataSource JDBC利用
JndiRMIDeserializePayload: LDAP 高版本 JDK 绕过之RMI反序列化
JndiRefBypassPayload: LDAP 高版本 JDK 绕过之ReferenceBypass
JndiShowHandPayload: JNDI梭哈链,一键测试常规利用链,提高测试效率
FakeMysqlPayload: 经典 MySQL JDBC 反序列化利用姿势
FakeMysqlShowHandPayload: FakeMySQL梭哈链,一键测试常规反序列化链,提高测试效率
可配合 JRMPClient 反序列化链实现RMI低版本的绕过
一个简易的 TCP Server,可以将生成的Payload文件挂载到TCP端口服务上,访问该端口即可返回指定内容
适用于 Derby 反序列化 RCE 场景,可直接通过tcp端口获取反序列化数据
一个简易的HTTP服务器,将生成的Payload文件挂载到HTTP端口服务上,访问指定端口即可返回指定内容
适用于 postgresql 远程加载 SpringBeanXML 文件等场景
底层调用了 SerializationDumper,能够解析序列化数据,并能实现手动更改类的 serialVersionUID 字段
**特别注意:我们默认只对 8011 端口进行了随机密码的登陆保护。其他端口可能存在被反制的风险,使用完相关功能后记得及时关闭相应端口 **
你可以通过 docker 一条命令启动 web-chains 项目(这也是推荐做法)
docker run -d \
--name web-chains \
--restart=always \
-p 8011:8011 \
-p 58080:58080 \
-p 50389:50389 \
-p 50388:50388 \
-p 13999:13999 \
-p 3308:3308 \
-p 11527:11527 \
-p 50000:50000 \
-e CHAINS_AUTH=true \
-e CHAINS_PASS= \
javachains/webchains:1.3.0可通过环境变量配置鉴权或密码;
CHAINS_AUTH: true为开启鉴权,false为关闭鉴权,默认开启鉴权
CHAINS_PASS: 指定web密码,若该变量为空则随机生成密码,默认随机生成密码
备注:生成功能仅使用 8011 端口即可,其他端口为 exploit 模块使用
使用以下命令从docker中获取随机生成的强密码
docker logs $(docker ps | grep javachains/webchains | awk '{print $1}') | grep -E 'password'输出示例
11-12 06:59:53.301 INFO [main] c.a.c.w.c.SecurityConfig | | password: XSsWerJFGcCjB8FU
登录页面:http://your-ip:8011
使用 java -jar web-chains.jar 即可启动,每次启动后会打印出随机生成的密码
默认监听 0.0.0.0 ,登录页面:http://your-ip:8011 (使用这里的用户名密码登录)
可通过环境变量设置web登录密码,例如:
Linux:
export CHAINS_PASS=[your_password] && java -jar web-chains.jarWindows:
set CHAINS_PASS=[your_password] && java -jar web-chains.jar详细使用文档:https://www.yuque.com/shenjingwa-leuvd/wpqdhf/eekyvau9fcblzzt0
本工具的优势:
- 相较于命令行的各种工具,Web 界面上的操作更加简单易用,能够在很方便的生成 JNDI 注入、MySQL JDBC 等测试 Payload
- 将各种 Payload 进行解耦与复用,前端动态渲染参数输入框,方便拓展与维护
- 搜集整理并覆盖了较为全面的 Java、Hessian 等反序列化 Payload,集成了各种小 trick 以及混淆等姿势
劣势(同时也是待改进的点):
- 生成的某些冷门 Payload 组合无法正常使用。由于解耦会导致组合的复杂度上升,并且目前无法覆盖测试所有 Payload 组合。针对该情况,目前的缓解措施是通过 Payload 输出框上方的有个下拉选项【预设链】,提供了测试好的链子组合,可以提供一些参考。 生成冷门 Payload 组合建议提前测试一下,若发现无法正常运行的 Payload 可以提交 Issues 反馈
- 由于需要各种依赖去生成Payload,所以项目的 jar 包的体积较大 (200+MB)
- 比较冷门的以及实战价值比较低的 Payload 暂未集成
常见问题:
问:为什么用 Web,而不是 Java GUI?
答:各有优势,但是我认为 Web 适用场景较广,主要是很方便的在服务器上操作生成 JNDI 注入等 Payload
仅支持个人研究学习,切勿用于非法犯罪活动。
本项目的开发者、提供者和维护者不对使用者使用工具的行为和后果负责,工具的使用者应自行承担风险。
参考致谢:
- https://github.com/wh1t3p1g/ysomap
- https://github.com/qi4L/JYso
- https://github.com/X1r0z/JNDIMap
- https://github.com/Whoopsunix/PPPYSO
- https://github.com/jar-analyzer/class-obf
- https://github.com/4ra1n/mysql-fake-server
- https://github.com/jar-analyzer/class-obf
- https://github.com/mbechler/marshalsec
- https://github.com/frohoff/ysoserial
- https://github.com/H4cking2theGate/ysogate
- https://github.com/Bl0omZ/JNDIEXP
- https://github.com/kezibei/Urldns
- https://github.com/rebeyond/JNDInjector
- https://github.dev/LxxxSec/CTF-Java-Gadget
- https://github.com/pen4uin/java-memshell-generator
- https://github.com/pen4uin/java-echo-generator
- https://github.com/NickstaDB/SerializationDumper
- https://xz.aliyun.com/t/5381
- http://rui0.cn/archives/1408
