java 7u21_java培训班 | JDK反序列化Gadgets-7u21

于 2021-03-04 07:48:04 发布
阅读量244 收藏
点赞数
文章标签: java 7u21
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28750663/article/details/114997872
版权

从fastjson1.24版本的反序列化利用方式知道有使用jdk7u21的版本利用链,ysoserial利用工具中也有7u21利用链。现在都是7u80版本了,这个漏洞真正直接利用,估计已经很难找到了。

但是这个利用链的构造有很多之前没接触过的java特性,就此好好学习一下,也算是fastjson的前置知识吧。

先去Oracle官网下载漏洞jdk版本7u21,漏洞影响7u25之前的版本,整条链poc貌似只适用于7u21以前。

之所以说这是JDK反序列化链,是因为这个链中所有利用类都是jdk自带的类,其中payload最终关键类是    com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl类。

我们从ysoserial源码中抠出7u21的利用代码来分析,具体代码由于比较长,不全部在此贴出,只截取需要的部分,所有代码已上传github。

jdk7u21.java是一个包含基础核心原理POC。(Gadgets类参考github,或者可以去ysoserial中取)

public static void main(String[] args) throws Exception {TemplatesImpl calc = (TemplatesImpl) Gadgets.createTemplatesImpl("calc");//生成恶意的calccalc.getOutputProperties();//调用getOutputProperties就可以执行calc}

请注意TemplatesImpl类的getOutputProperties函数是一个以get开头的函数,这是这个利用链在fastjson组件利用的关键。

跟踪getOutputProperties方法,来确认恶意TemplatesImpl类calc 需要的条件,先看调用栈:

2b85f2320a52a23cad84bc40bb1d3ca9.png

newInstance

从调用栈中,可见最后是obj.newInstance(obj是虚指)触发poc执行恶意代码,调用栈再往下之后就是java class类的newInsatance内部实现了,不细纠。

newinstance实例化会默认触发执行static方法,构造方法代码,如下:

a90289aa900830a5a5b9d7e7bdd67e0e.png

所以我们的payload需要放在最后执行的恶意类的static或构造方法中。知道这点后,我们从头开始慢慢寻找其他需要条件。

跟入TemplatesImpl类的getOutputProperties方法:

public synchronized Properties getOutputProperties() {        try {            return newTransformer().getOutputProperties();//我们进入newTransformer方法}        catch (TransformerConfigurationException e) {            return null;}}

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl#newTransformer方法

public synchronized Transformer newTransformer()throws TransformerConfigurationException    {TransformerImpl transformer;transformer = new TransformerImpl(getTransletInstance(), _outputProperties,_indentNumber, _tfactory);//此处没有啥限制条件,进入getTransletInstance()if (_uriResolver != null) {transformer.setURIResolver(_uriResolver);}        if (_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)) {transformer.setSecureProcessing(true);}        return transformer;}

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl#getTransletInstance方法

private Translet getTransletInstance()throws TransformerConfigurationException {        try {            //限制条件1:TemplatesImpl类中的_name变量!=nullif (_name == null) return null;           //限制条件2:TemplatesImpl类中的_class变量==nullif (_class == null) defineTransletClasses();//进入此处,查看其他限制条件// 漏洞触发代码就是下面这一行,_transletIndex是在defineTransletClasses()中赋值的,其实就是选取了一个特定条件的class获取它的实例。AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();...//这里之后的代码不重要,省略return translet;}        catch (InstantiationException e) {ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name);

在漏洞代码执行AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();前,

先经过com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl#defineTransletClasses方法

private void defineTransletClasses()throws TransformerConfigurationException {        //限制条件3:TemplatesImpl类中的_bytecodes变量!=nullif (_bytecodes == null) {ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);            throw new TransformerConfigurationException(err.toString());}        //引入加载器TransletClassLoader loader = (TransletClassLoader)AccessController.doPrivileged(new PrivilegedAction() {                public Object run() {                    return new//限制条件4:TemplatesImpl类中的_tfactory变量需要有一个getExternalExtensionsMap方法//           即需要是一个TransformerFactoryImpl类TransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());}});        try {            //以下主要做的事情是通过加载器从_bytecodes中加载类至_class。(bytecodes可以是一个数组转换为一个数组class)final int classCount = _bytecodes.length;_class = new Class[classCount];            if (classCount > 1) {_auxClasses = new Hashtable();}            for (int i = 0; i < classCount; i++) {                //转化。ClassLoader.defineClass() 会转载javabyte变为class类,但是不会执行static代码。_class[i] = loader.defineClass(_bytecodes[i]);                //获取转过来的class的父类final Class superClass = _class[i].getSuperclass(); // 对于读取进来的class的父类进行限制,满足条件才改变_transletIndex的值// 之后将获取class[_transletIndex]的实例// ABSTRACT_TRANSLET="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";// 限制条件5:_bytecodes的类必须是ABSTRACT_TRANSLET的子类if (superClass.getName().equals(ABSTRACT_TRANSLET)) {_transletIndex = i;}                else {_auxClasses.put(_class[i].getName(), _class[i]);}}            if (_transletIndex < 0) {ErrorMsg err= new ErrorMsg(ErrorMsg.NO_MAIN_TRANSLET_ERR, _name);                throw new TransformerConfigurationException(err.toString());}}        catch (ClassFormatError e) {ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_CLASS_ERR, _name);            throw new TransformerConfigurationException(err.toString());}        catch (LinkageError e) {ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name);            throw new TransformerConfigurationException(err.toString());}}

_tfactory 与jdk版本

其中的限制条件4 _tfactory 这个参数是有说法的,在其他人博客中有存在对于 _tfactory 的参数的说明:

因为代码中存在 _tfactory.getExternalExtensionsMap() 所以需要 _tfactory 进行赋值 不能为null。

但其实这跟jdk版本是有关的,1.7下不同的jdk版本这段代码是不同的。

1.7u80版本的com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl#defineTransletClasses中就是存在_tfactory.getExternalExtensionsMap()这句代码的。

d5d9d537d2dc4a72ce82ad75b5675f35.png

在1.7u80中,注释Gadgets类中添加 _tfactory这个字段的代码后(之后我们将详细分析Gadgets类),_tfactory=null就会发生null指针报错。

d600cc8df6a4e6c891d221006100f5dd.png

细心的同学可以注意到上面jdk1.7u80两个弹框成功不成功的下方都会null指针报错。

但是前者是在执行恶意代码AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();后

的translet.postInitialization();处报错。

而后者是在恶意代码执行之前的defineTransletClasses函数报错。即没有成功执行payload

在同样注释_tfactory这个字段的代码的情况下,使用jdk1.7u21的环境,却可以成功执行,因为jdk1.7u21的情况下并没有_tfactory.getExternalExtensionsMap()这句代码。

08290cedf6774a9ba07271a69d60a385.png

但是1.7u21也可以兼容给_tfactory赋值的情况,所以还是给 _tfactory 赋值比较好,可以兼容不同的版本。

TemplatesImpl恶意类的限制条件

至此总结我们构筑一个恶意的TemplatesImpl类,在调用这个恶意类的getOutputProperties方法时,需要满足的限制条件。即,构筑恶意TemplatesImpl类的需要条件。

1.TemplatesImpl类的 _name 变量 != null

2.TemplatesImpl类的_class变量 == null

3.TemplatesImpl类的 _bytecodes 变量 != null

4.TemplatesImpl类的_tfactory需要是一个拥有getExternalExtensionsMap()方法的类,使用jdk自带的TransformerFactoryImpl类

5.TemplatesImpl类的_bytecodes是我们代码执行的类的字节码。_bytecodes中的类必须是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的子类

6.我们需要执行的恶意代码写在_bytecodes 变量对应的类的静态方法或构造方法中。

注释:部分内容来自公众号雷神众测

见物思理
关注
jdk-7u21-windows-x64
05-15
jdk-7u21-windows-x64 凑字 :JDK(JavaDevelopmentKit)是整个Java的核心,包括了Java运行环境、Java工具和Java基础类库。
JavaSetup7u21
04-18
由于Android模拟器需要在Java环境才能运行,先下载Java安装吧
jdk-7u21-window-i586.exe
01-13
已经绝版的jdk7.0版本,如果你想要你就下载看看哈,个人感觉挺好的!
java7u21最新版本
05-31
Java语言恐怕是稳居网路应用程序语言的首选了,这都要归功于它高度的安全性以及跨平台的特性,几乎在目前所有的电脑平台上您都可以见得到Java的芳踪。过去很可能会有不少人抱怨Java虽然有著相当不错的跨平台以及安全防护等特性,但是它的执行速度远远不及C++等各种传统惯用的程序语言。不过这次Sun Microsystem可是有备而来的,不仅在执行速度上有大幅度的改革,而且在内容上也有做了一些修改以及增强。最新JAVA运行库,建立一个运行JAVA的环境。这一升级版对Java Plug-in进行了功能增强,提供了对Netscape 6 Open JVM整合支持等等。由于JRE新增的功能以及程序修正之处相当多,如果需要详尽资料的话不妨可以参考Sun的官方网页。 java se runtime environment包含java虚拟机,运行时类库,是用来运行java语言的必备和推荐环境,不包含开发和编译工具,如果需要这类工具请下载java se development kit
jdk-7u21-windows-x64.exe
01-24
java最常用的jdk版本,在windows下双击运行可直接安装,安装成功后,配上环境变量就可以使用。
jdk1.7.0_79下载jdk-7u79-windows-x64
04-02
1. 下载`jdk-7u79-windows-x64.exe`安装文件。 2. 运行安装程序,按照提示进行安装。 3. 配置系统环境变量,包括`JAVA_HOME`指向JDK安装目录,`PATH`包含`%JAVA_HOME%\bin`,确保命令行可以执行Java相关命令。 **5....
jdk1.7 64位官方版 jdk-7u79-linux-x64.tar.gz
10-14
1. 首先,下载名为“jdk-7u79-linux-x64.tar.gz”的压缩文件,这是针对Linux 64位系统的JDK 1.7的归档文件。 2. 使用解压命令(如tar -zxvf jdk-7u79-linux-x64.tar.gz)将内容解压到指定目录。 3. 设置环境变量,...
java-jdk-8u51-windows-x64.exe.zip
07-20
5. **安装过程**: "jdk-8u51-windows-x64.exe"是JDK的安装程序,双击运行后,用户可以选择安装路径、设置环境变量等,确保Java开发环境的正确配置。 6. **More.txt**:这个文件可能是安装指南、更新日志或者关于JDK...
jdk1.7 32位官方正式版 jdk-7u79-windows-i586 下载
06-02
jdk-7u79-windows-i586.exe JDK7 稳定版 源官方下载地址: http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html
jdk1.7 64位官方正式版 jdk-7u76-linux-x64.tar.gz
02-07
Java Development Kit (JDK) 1.7 64位官方正式版,即`jdk-7u76-linux-x64.tar.gz`,是Oracle公司为Linux 64位操作系统提供的Java开发工具集。这个版本的JDK对于开发和运行基于Java技术的应用程序至关重要,特别是当...
jdk-7u21-windows-i586.part1.rar
06-06
最新版jdk7.0,免费送上方便大家下载,分为2个部分,请大家都下载后在解压~~
jdk-7u21-windows-x64.part1
05-01
有两部分 windows-x64 目前最新的JDK
jre-7u21-windows-i586
03-02
jre-7u21-windows-i586
java 7u21_无法使用Java 7u21启动小程序
weixin_34379309的博客
02-13 101
因此,我们安装了Java 7u21版本,该版本应该加强小程序的安全性。不幸的是,它太紧了,以致我们的applet不再运行。不好。有趣的是,只有在我们使用JWS进行操作时,它才停止工作。如果我们从标准网页将其作为标准小程序启动,则一切正常。在JWS模式下,我们至少在反射和方面遇到了安全问题java.lang.Thread.setDefaultUncaughtExceptionHandler。证书看起...
java序列化_Java反序列化系列 ysoserial Jdk7u21
weixin_40003451的博客
11-17 326
0x01Jdk7U21漏洞简介谈到java反序列化,就绕不开一个经典的漏洞,在ysoserial 的payloads目录下 有一个jdk7u21,以往的反序列化Gadget都是需要借助第三方库才可以成功执行,但是jdk7u21Gadget执行过程中所用到的所有类都存在在JDK中,JRE版本<=7u21都会存在此漏洞0x02 Jdk7u21漏洞原理深入讲解漏洞执行流程整体的恶意...
java反序列化漏洞的一些gadget
whatday的专栏
08-07 2111
目录 0x00 URLDNS 0x01 Commons Collections 0x02 RMI的codebase任意代码执行 0x03 JNDI 0x04 LDAP 0x05 JDK7u21 首先说一下学习gadget的感受 首先是要理解利用的这个库到底是做什么用的,有什么API,参数大概是怎么样的,有能力的看文档或者源码去研究,看网络文章辅助,除非文章确实写的好 然后看网络上文章的话有些不是很容易利用的利用链的话虽然有很多文章分析,但是可能还是看不懂,以我的经验,主要原因是这条gadg
java 7u21_java – 认证需要窗口弹出7u21更新后
weixin_39760619的博客
02-23 120
我在过去6个月里一直在研究一个项目.对于这个项目,我有一个glassfish服务器实例,其中部署了Web服务.在客户端,我使用JavaFX2.2,它使用BASIC身份验证与Jersey(XML请求/响应,无JSON)进行REST请求.当用户启动程序(JWS / JNLP)时,通常只需在自己登录的窗口中输入凭据,按登录按钮开始工作.由于7u21,因为某些原因(可能是因为7u21的安全性改变),所以我...
Java反序列 Jdk7u21 Payload 学习笔记
weixin_44476888的博客
04-24 1669
0x00 简介 最近在看Java 反序列化的一些东西,在学习 ysoserial 的代码时,看到 payload list 中有一个比较特殊的 Jdk7u21,该 payload 不依赖第三方库,只需 JRE 即可完成攻击,影响 JRE versions <=7u21 的版本。在学习的过程中,觉得很有意思,这里记录一下的过程,如果有什么地方写的不准确或错误,欢迎指出 文章中的代码运行环境为...
jdk-7u21-windows-i586
weixin_34268753的博客
10-10 865
http://pan.baidu.com/s/1i5DwJmX 转载于:https://www.cnblogs.com/lnthz/p/7644797.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值