[Java反序列化]JDK7U21原生反序列化利用链分析

最新推荐文章于 2024-07-02 22:25:41 发布
最新推荐文章于 2024-07-02 22:25:41 发布
阅读量1.3k 收藏 1
点赞数 3
分类专栏: 安全学习 # Java代码审计 # 我的JAVA学习之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/119211849
版权

文章目录

写在前面

这段时间看了也跟踪了CC链,CB链,也跟踪调试了shiro的两个链子,XMLDecoder等,就用JDKK7U21原生反序列化利用链来暂时结束下最近的学习

利用链

LinkedHashSet.readObject()
  LinkedHashSet.add()
    ...
      TemplatesImpl.hashCode() (X)
  LinkedHashSet.add()
    ...
      Proxy(Templates).hashCode() (X)
        AnnotationInvocationHandler.invoke() (X)
          AnnotationInvocationHandler.hashCodeImpl() (X)
            String.hashCode() (0)
            AnnotationInvocationHandler.memberValueHashCode() (X)
              TemplatesImpl.hashCode() (X)
      Proxy(Templates).equals()
        AnnotationInvocationHandler.invoke()
          AnnotationInvocationHandler.equalsImpl()
            Method.invoke()
              ...
                TemplatesImpl.getOutputProperties()
                  TemplatesImpl.newTransformer()
                    TemplatesImpl.getTransletInstance()
                      TemplatesImpl.defineTransletClasses()
                        ClassLoader.defineClass()
                        Class.newInstance()
                          ...
                            MaliciousClass.<clinit>()
                              ...
                                Runtime.exec()

JDK7U21原生反序列化利用链分析

JDK7u21的核心点就是sun.reflect.annotation.AnnotationInvocationHandler,我们来看看AnnotationInvocationHandler这个方法

在这里插入图片描述

再看
在这里插入图片描述
可以很清楚的分析到equalsImpl这个方法
首先是利用反射获取this.type中的所有方法,之后进行遍历其中的方法并执行,如果我们把this.type赋为一个类,岂不是能调用里面的所有方法了,还记得那个TemplatesImpl对象么,我们就可以利用它来进行字节码的加载执行了
接下来我们发现在AnnotationInvocationHandler下面的invoke方法
在这里插入图片描述
这里我们其实发现,它实现了InvocationHandler
在这里插入图片描述
因此我们不难想到一个东西,动态代理,当调用equal方法时,就能实现完整的利用链,这里前辈们想到的是利用HashSet,因为HashSet中储存的对象不允许重复,所以在添加对象的时候,势必会涉及到比较操作。
可以看到在HashSetreadObject方法
在这里插入图片描述
这里调用了equal方法,但是从函数当中也能看出前提是他们的hash值相等
在这里插入图片描述
接下来我们就要让proxy对象的哈希值,等于TemplateImpl对象的哈希值,我们来看看hash的计算方法
我们来看看这里面的hash方法
在这里插入图片描述
这里我们发现主要是对象的hashCode方法
在这里插入图片描述
那我们就来看看这两个方法,首先是TemplatesImplhashcode方法,无法Debug调试跟踪,最后网上说是一个Native方法,难怪,但是我们不难发现每一次运行都在变,如何处理看后面分析
在这里插入图片描述
而看看我们代理的HashCode呢,会通过AnnotationInvocationHandlerinvoke ,进而调用到AnnotationInvocationHandlerhashCodeImpl
我们看看hashCodeImpl,它遍历memberValues中的每个keyvalue,计算 (127 * key.hashCode()) ^ value.hashCode()并求和

private int hashCodeImpl() {
        int var1 = 0;

        Entry var3;
        for(Iterator var2 = this.memberValues.entrySet().iterator(); var2.hasNext(); var1 += 127 * ((String)var3.getKey()).hashCode() ^ memberValueHashCode(var3.getValue())) {
            var3 = (Entry)var2.next();
        }

        return var1;
    }

再来看这个当只有一个keyvalue时,简化成 了(127 * key.hashCode()) ^ value.hashCode()在这里插入图片描述
因此不难想到当key.hashCode()等于0时,任何数异或0的结果仍是他本身,所以该哈希简化成value.hashCode()value 就是TemplateImpl对象时,这两个哈希就变成完全相等,因此我们只需要拿到一个hashCode是0的对象,网上给跑出来的是字符串f5a5a608

我们整理下利用思路

  1. 构造TemplatesImpl并将执行的字节码赋值
  2. 实例化一个HashMap,并添加keyf5a5a608,恶意构造好的TemplatesImpl加入到map中
  3. 利用反射实例化AnnotationInvocationHandler
  4. AnnotationInvocationHandler对象设置动态代理
  5. 实例化HashSet,并将TemplatesImpl设置的代理这两个对象放进去

流程跟踪

首先通过readObject调用,之后

在这里插入图片描述

跟进去看看,首先第一个对象Hash计算完添加

在这里插入图片描述

由于第二个对象hash与第一个相同,调用equal方法
在这里插入图片描述
通过动态代理触发equalsImpl的调用
在这里插入图片描述
接下来就是遍历Template里面的方法并通过反射执行,可以看到这里有执行newTransformer

在这里插入图片描述
调用getTransletInstance方法
在这里插入图片描述

继续跟踪调用defineTransletClasses方法
在这里插入图片描述

跟入defineClass
在这里插入图片描述
加载字节码
在这里插入图片描述
别忘了这里有一个验证加载的字节码的对象必须是class com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的子类哦

在这里插入图片描述
实例化
在这里插入图片描述
成功弹出计算器
在这里插入图片描述

参考文章

动态代理
JavaThings/JDK7u21
【技术分享】JDK7u21反序列化
jdk7u21反序列化调试

Y4tacker
关注
专栏目录
【项目实战】Java的序列化与反序列化
本本本添哥
04-18 254
Java代码进行序列化和反序列化, 除了使用Java内置的序列化API外,还可以使用Apache Commons Lang库中的SerializationUtils类。
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1003
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
JDK7u21反序列链学习
「 虚幻私塾」
04-12 597
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JDK7u21 1、前置知识 jdk7u21是一条不依赖CommonsCollections库依赖的,看利用链所有知识其实跟CommonsCollections也有重复,我们来学习一下以前没学过的类或者
JDK7u21原生反序列化链分析
12-05 893
JDK7u21原生反序列化链分析 前面分析的都是第三方的反序列化链,那么有没有JDK原生反序列化链呢?答案是有的,JDK7u21JDK8u20就是两条原生反序列化链!
CB链分析利用超详细
最新发布
2301_79700060的博客
07-02 1105
和 cc2 不同的是因为 cc2 最后是直接由 compare 调用的 transform 方法,而这里是通过 compare 去调用 getter 方法,所以还要控制 compare 方法的参数。Apache Commons Beanutils是Apache Common下的一个工具集下的另一个项目,提供对普通Java类对象(JavaBean)的一些操作方法。这里用到的 getProperty 和 setProperty 实际上就是调用的 javaBean 中的 getter 和 setter 方法。
[Java反序列化]JDK7u21反序列化链学习
feng的博客
08-30 801
前言 开始学习JDK7u21原生链,和CC链的逻辑比起来难了不少呜呜。 版本 JDK7u21及其之前都可以。当然这个之前是广义的,因为比如JDK7在更新,不代表JDK6就没有在更新。所以相对来说的可以认为是,JDK7u21这个版本以及之前时间发布的所有Java版本都有问题,之后的JDK6可能在某一段时间仍有问题,具体也不考究了。 <properties> <maven.compiler.source>7</maven.compiler.source&
jdk-7u21-windows-x64
05-15
jdk-7u21-windows-x64 凑字 :JDK(JavaDevelopmentKit)是整个Java的核心,包括了Java运行环境、Java工具和Java基础类库。
Java反序列 Jdk7u21 Payload 学习笔记
weixin_44476888的博客
04-24 1659
0x00 简介 最近在看Java 反序列化的一些东西,在学习 ysoserial 的代码时,看到 payload list 中有一个比较特殊的 Jdk7u21,该 payload 不依赖第三方库,只需 JRE 即可完成攻击,影响 JRE versions <=7u21 的版本。在学习的过程中,觉得很有意思,这里记录一下的过程,如果有什么地方写的不准确或错误,欢迎指出 文章中的代码运行环境为...
[Java反序列化]jdk原生链分析
JavaMonsterr的博客
05-21 297
JDK7u21 在很多链中,TemplatesImpl一直发挥着不可或缺的作用,它是位于jdk源码中的一段Gadget:getOutputProperties()->newTransformer()->getTransletInstance()->... templatesImpl利用回顾: com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 其中只要能触发上述任意一个函数的,都可以完成Templa.
java序列化与反序列化(2)------jdk原生序列化机制Serializable
远方和诗 的博客
10-03 1191
使用jdk原生的序列化机制,我们要把需要序列化的类实现Serializable接口,这是一个标记接口没有声明任何的方法。
六十一、JDK原生的序列化详解
I want to know a little more.
01-24 1115
相关接口及类 Java为了方便开发人员将Java对象进行序列化及反序列化提供了一套方便的API来支持。其中包括以下接口和类: java.io.Serializable java.io.Externalizable ObjectOutput ObjectInput ObjectOutputStream ObjectInputStream Serializable 接口 类通过实...
java7u21最新版本
05-31
Java语言恐怕是稳居网路应用程序语言的首选了,这都要归功于它高度的安全性以及跨平台的特性,几乎在目前所有的电脑平台上您都可以见得到Java的芳踪。过去很可能会有不少人抱怨Java虽然有著相当不错的跨平台以及安全防护等特性,但是它的执行速度远远不及C++等各种传统惯用的程序语言。不过这次Sun Microsystem可是有备而来的,不仅在执行速度上有大幅度的改革,而且在内容上也有做了一些修改以及增强。最新JAVA运行库,建立一个运行JAVA的环境。这一升级版对Java Plug-in进行了功能增强,提供了对Netscape 6 Open JVM整合支持等等。由于JRE新增的功能以及程序修正之处相当多,如果需要详尽资料的话不妨可以参考Sun的官方网页。 java se runtime environment包含java虚拟机,运行时类库,是用来运行java语言的必备和推荐环境,不包含开发和编译工具,如果需要这类工具请下载java se development kit
JavaSetup7u21
04-18
由于Android模拟器需要在Java环境才能运行,先下载Java安装吧
jre-7u21-windows-i586
03-02
jre-7u21-windows-i586
jdk-7u21-windows-x64.exe
01-24
java最常用的jdk版本,在windows下双击运行可直接安装,安装成功后,配上环境变量就可以使用。
jdk-7u21-windows-x64.part1
05-01
有两部分 windows-x64 目前最新的JDK
Java反序列化利用链挖掘之CommonsCollections
HongYu012的博客
02-25 426
本文继续分析CommonsCollections的相关反序列化利用链,这次主要分析CommonsCollections5,6,7,以及我找的一个新利用链,这里暂且将其称为10. 0x01 环境准备 jdk8,commons-collections:3.1 java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "open /System/Applications/Calculator.app" > commonscolle
【Web】Java原生反序列化jdk7u21——又见动态代理
uuzeray的博客
03-05 1249
【Web】Java反序列化之CC7链——Hashtable-CSDN博客【Web】Java反序列化之再看CC1--LazyMap-CSDN博客有相关的前置知识,跟起来还挺有意思。
jdk-7u21-windows-i586
weixin_34268753的博客
10-10 860
http://pan.baidu.com/s/1i5DwJmX 转载于:https://www.cnblogs.com/lnthz/p/7644797.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值