GadgetInspector原理分析

最新推荐文章于 2024-05-08 09:34:19 发布
最新推荐文章于 2024-05-08 09:34:19 发布
阅读量387 收藏
点赞数
文章标签: java jvm servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JAVAQXQ/article/details/126057390
版权
是在上发布的一个自动化反序列化链挖掘工具,它通过对字节码形式的JAVA项目进行污点分析,挖掘可能存在的反序列化链。我们从GadgetInspector的源代码进行分析。六个部分层层递进,最终完成反序列化链挖掘。...
摘要由CSDN通过智能技术生成

GadgetInspector 是 JackOfMostTrades 在 2018 BLACKHAT USA 上发布的一个自动化反序列化链挖掘工具,它通过对字节码形式的JAVA项目进行污点分析,挖掘可能存在的反序列化链。

我们从GadgetInspector的源代码进行分析。根据源代码的逻辑结构,可以看出其分成六个部分:

ClassResourceEnumerator 读取类文件,保存到自定义的数据结构里
MethodDiscovery         分析类文件包含的的类、方法信息
PassthrougthDiscovery   对方法进行局部污点分析
CallGraphDiscovery  枚举污点边
SourceDiscovery         枚举源点
GadgetChainDicovery 生成反序列化链

六个部分层层递进,最终完成反序列化链挖掘。

0x11 ClassResourceEnumerator

GadgetInspector的核心入口类是 GadgetInspector 这个类。它的main方法根据输入参数的区别,可以生成war包或者jar包对应的 ClassLoader ,并利用 ClassLoader 作为参数构造 ClassResourceEnumerator 对象

        final ClassLoader classLoader;
        if (args.length == argIndex+1 && args[argIndex].toLowerCase().endsWith(".war")) {
            Path path = Paths.get(args[argIndex]);
            classLoader = Util.getWarClassLoader(path);
        } else {
            final Path[] jarPaths = new Path[args.length - argIndex];
            for (int i = 0; i < args.length - argIndex; i++) {
                Path path = Paths.get(args[argIndex + i]).toAbsolutePath();
                jarPaths[i] = path;
            }
            classLoader = Util.getJarClassLoader(jarPaths);
        }
       final ClassResourceEnumerator classResourceEnumerator = new ClassResourceEnumerator(classLoader);

ClassResourceEnumerator 对象主要的作用就是获取用于分析的类文件,我们看一下它的主要方法 getAllClasses 。可以看到首先调用 getRuntimeClasses 获取JDK中的类文件,然后使用刚才创建的 ClassLoader 读取作为分析对象的JAVA项目的类文件

    public Collection<ClassResource> getAllClasses() throws IOException {
        Collection<ClassResource> result = new ArrayList<>(getRuntimeClasses());
        for (ClassPath.ClassInfo classInfo : ClassPath.from(classLoader).getAllClasses()) {
            result.add(new ClassLoaderClassResource(classLoader, classInfo.getResourceName()));
        }
        return result;
    }

在读取了类文件以后,GadgetInspector通过5个阶段的discovery来获取反序列化链,它们的实现框架大致相同:都是根据上一个阶段的分析结果,进行进一步分析,然后保存这个阶段的分析结果。

        // Perform the various discovery steps
        if (!Files.exists(Paths.get("classes.dat")) || !Files.exists(Paths.get("methods.dat"))
                || !Files.exists(Paths.get("inheritanceMap.dat"))) {
            MethodDiscovery methodDiscovery = new MethodDiscovery();
            methodDiscovery.discover(classResourceEnumerator);
            methodDiscovery.save();
        }

对应到具体的方法就是 discover 和 save 方法。这里先仔细分析MethodDiscovery部分的 discover 方法。

这里使用上一步创建的 ClassResourceEnumerator 对象获取类输入流

    public void discover(final ClassResourceEnumerator classResourceEnumerator) throws Exception {
        for (ClassResourceEnumerator.ClassResource classResource : classResourceEnumerator.getAllClasses()) {
            try (InputStream in = classResource.getInputStream()) {
                ClassReader cr = new ClassReader(in);
                cr.accept(new MethodDiscoveryClassVisitor(), ClassReader.EXPAND_FRAMES);
            }
        }
    }

注意这里的 ClassReader 和 MethodDiscoveryClassVistor 用到JAVA中的ASM技术,用来读取类文件并进行分析。

ASM是一种JAVA字节码操作,读取,增强技术。它直接分析类文件中的各种信息,例如常量池,操作码,要求其使用者对于JAVA类文件的结构有一定了解。其主要的类操作API为ClassVisitor类。使用者对ClassVisitor进行个性化实现,满足自己的需求。例如下面这一段代码就是ClassVisitor的API的使用步骤

java public static void main(String[] args) throws Exception{ //实现一个自己的ClassVistor类型的对象 ClassVisitor classVisitor=new ClassVisitor(Opcodes.ASM9) { //重载一个回调方法,当访问字段时会打印字段名称 @Override public FieldVisitor visitField(int access, String name, String desc, String signature, Object value) { System.out.println(name); return super.visitField(access, name, desc, signature, value); } }; //获取一个类文件,这里是Hello这个测试类 ClassLoader classLoader= VisitClass.class.getClassLoader(); String path= Hello.class.getCanonicalName().replace(".","/")+".class"; InputStream inputStream=classLoader.getResourceAsStream(path); //使用类文件构造一个ClassReader类型的对象 ClassReader classReader=new ClassReader(inputStream); //使用自定义的ClassVisitor类型的对象并解析ClassReader里面保存的对象流 classReader.accept(classVisitor,0); }

编译运行以后就会打印 Hello 这个类的所有字段名称

ASM主要的方法操作API为MethodVisitor类,使用者对MethodVisitor进行个性化实现,可以进一步解析类方法。MethodVisitor的用法下面再介绍

我们需要知道的就是 cr.accept 接收一个 ClassVistor 类型的对象,并且在分析类文件过程中回调式地触发 ClassVistor 类型的对象实现的各种方法。那么我们继续查看 MethodDiscoveryClassVistor 。里面两个关键的方法如下

    @Override
    public FieldVisitor visitField(int access, String name, String desc,
                                       String signature, Object value) {
            if ((access & Opcodes.ACC_STATIC) == 0) {
                Type type = Type.getType(desc);
                String typeName;
                if (type.getSort() == Type.OBJECT || type.getSort() == Type.ARRAY) {
                    typeName = type.getInternalName();
                } else {
                    typeName = type.getDescriptor();
                }
                // 记录成员信息
                members.add(new ClassReference.Member(name, access, new ClassReference.Handle(typeName)));
            }
            return super.visitField(access, name, desc, signature, value);
        }

        @Override
        public MethodVisitor visitMethod(int access, String name, String d
最低0.47元/天 解锁文章
JAVAQXQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用动态代理,抽取Service公共代码
IF
04-12 979
原业务层代码: AccountServiceImpl_OLD.java public class AccountServiceImpl_OLD implements AccountService { private AccountDao accountDao; private TransactionManager transactionManager; // 实现se...
java一阶段笔试题-gadgetinspector:用于在Java应用程序中查找反序列化小工具链的字节码分析
06-17
java一阶段笔试题小工具...请注意,分析可能是内存密集型的(到目前为止,小工具检查器还没有经过优化以减少内存贪婪)。 对于小型库,您可能希望分配至少 2GB 的堆大小(即使用-Xmx2G标志)。 对于较大的应用程序,您
Gadget Inspector: ClojureScript Data Browser-crx插件
04-02
语言:English 浏览ClojureScript数据的内容,浏览和还原历史原子状态。 小工具检查器是devtools扩展,它添加了一个面板,您可以在其中浏览通过`gadget.inspector / inspect`传递的正在运行的应用程序中的任何数据-伴随库中的函数-https://github.com/cjohansen/gadget -检查员。
java inspector_Gadgetinspector:一款针对Java应用程序库的字节码分析工具
weixin_39954569的博客
02-17 113
原标题:Gadgetinspector:一款针对Java应用程序库的字节码分析工具 GadgetinspectorGadgetinspector是一款针对Java应用程序/库的字节码分析工具,它可以帮助研究人员寻找和分析Java应用程序中的反序列化小工具链(Gadget Chain)。该项目可以检查Java代码库和类路径中的Gadget链,而Gadget链可以被用来构造针对反序列化漏洞的漏洞利用技...
探秘Java安全:强大而实用的GadgetInspector
最新发布
gitblog_00079的博客
05-08 297
探秘Java安全:强大而实用的GadgetInspector 项目地址:https://gitcode.com/5wimming/gadgetinspector 在网络安全的世界里,对于Java应用的安全性审查从未停止。今天,我们向你推荐一个令人瞩目的开源项目——GadgetInspector。这个项目专注于Java库的深度分析,能够帮助开发者发现并预防序列化漏洞,通过自动化的方式构造exploi...
gadgetinspector学习
公众号shadow sock7
10-30 542
参考threedr3am大佬的讲解: 改造gadgetinspector篇-自动化挖掘Fastjson gadget chain git clone https://github.com/threedr3am/gadgetinspector cd gadgetinspector ./gradlew shadowJar # 执行 java -jar build/libs/gadget-inspector-all.jar --config fastjson /c/Users/Administrator/.
使用gadgetinspector挖掘漏洞
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
05-15 494
说明 抽空二次改造了一下gadgetinspector,参考我前面写的文章 1、gadget inspector 挖掘利用链 2、gadgetinspectot改造 改造后的源码见github,欢迎star,不定期更新该工具。目前更新如下: 1、修复了一些bug,如漏洞类的子类无法被挖掘等。 2、优化了一些功能,如slink点、利用链等。 3、增加了一些功能,识别函数注解、参数注解等。 4、增加了web项目扫描模块,可以用来扫描web项目的漏洞,source点为路由入口。 使用???? 然后使用该工具的we
基于Java ASM技术和GadgetInspector原理,尝试实现一个自动Java代码审计工具。目前做到了可控.zip
03-23
Java ASM技术是Java字节码操纵和分析框架,它允许开发者动态生成类或者增强已有类的功能。ASM提供了一种低级别的、高效的访问类文件结构的方式,使得开发人员能够深入理解并操控字节码,这对于创建元编程框架、字节...
基于混合分析的Java反序列化利用链挖掘方法
05-14
该方法的实现工具GadgetSearch在Ysoserial、Marshalsec、Jackson历史CVE和XStream历史CVE四个数据集上的表现优于现有工具GadgetInspector,具有更低的误报率和漏报率,并且成功发现了多条未公开的利用链。...
Gadget Inspector 源码解析
Elegant Coding
10-14 144
推广博客: Gadget Inspector 源码解析
一个简单的ClassLoader
03-22
一个简单的ClassLoader,用于加载指定位置的字节码文件
GadgetInspector源码分析
Dokii_i的博客
01-17 456
GadgetInspector是2018年blackhatusa上面发布的一个自动化链子挖掘工具,通过asm的方法来对字节码进行静态的分析,以污点传播的方式来挖掘可能存在的链子,考虑到项目大多获取的都是war,jar包的形式原始的GadgetInspector是不能用来挖掘漏洞的,只能找出source(入口点)→sink链在学习整个项目前,需要读者有asm的基础和字节码的基础,否则比较难看懂。
gadgetinspectot改造
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-28 389
接上一篇 gadget inspector 挖掘利用链 这便主要是对gadget inspectot进行了一些改造: 1、修改gadgetinspector.GadgetChainDiscovery#JNDISlink函数,增加满足条件,主要针对函数lookup的条件 private boolean JNDISlink(Handle method, InheritanceMap inheritanceMap) { if ((inheritanceMap.isSubclassOf(method.g
java中的ClassLoader详解
ss810540895的博客
05-04 5479
原文 本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布 ClassLoader翻译过来就是类加载器,普通的java开发者其实用到的不多,但对于某些框架开发者来说却非常常见。理解ClassLoader的加载机制,也有利于我们编写出更高效的代码。ClassLoader的具体作用就是将class文件加载到jvm虚拟机中去,程序就可以正确运行了。但是,jvm启动的时候,并不会一次性加载所有的class文件,而是根据需要去动态加载。想想也是的,一次性加载那么多jar包那么多class,那内存不崩溃。
Datax之自定义线程ClassLoader
恐龙弟旺仔的博客
11-11 877
前言: 学习源码好处多多。最近在学习datax的源码时,碰到一个骚操作,自定义实现URLClassLoader加载器,可以加载指定路径下的jar包。 这个很普通,没什么大不了。关键在于后面的操作,将这个自定义的URLClassLoader设置给创建的Thread中,这样就实现了不同的Thread在执行任务时,使用到了不同的URLClassLoader加载的不同的jar包。我们先一起来看下。 1.自定义URLClassLoader /** * 提供Jar隔离的加载机制,会把传入的路径、及其子路
jar包冲突之URLClassLoader加载指定jar
Nirvana_lss的博客
04-28 2189
Jar包冲突之URLClassLoader加载指定jarJar包冲突场景Jar包冲突解决解决方案一解决方案二解决方案三解决方案四总结 Jar包冲突场景 最近项目中用到了SM4加密,发现 bcprov-jdk15on-1.59.jar 和 BJCA-JCE2.jar 两个jar包中存在有两个包路径相同的类: import org.bouncycastle.jce.provider.BouncyCastleProvider; import org.bouncycastle.util.encoders.Hex;
动态加载一个或多个jar文件
荏苒夕阳的博客
04-21 771
1,使用 public class ClassLoad { static URLClassLoader loader = null; /** * * 在默认的目录加载jar * * * @return * */ public static URLClassLoader getClassLoad() { //Configuration.getRoot

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值