关于我学渗透的那档子事之Java反序列化-CB链

admin 2022年1月14日11:00:50代码审计评论18 views2557字阅读8分31秒阅读模式

关于我学渗透的那档子事之Java反序列化-CB链

前言

java反序列化cb链大家应该都玩过,我当初是通过看shiro无依赖了解到的,最近在重学基础,就手把手一点一点调试一遍。记得11月份自我反思之后,认为自己渗透的学习深度广度都太差,对漏洞的学习只是学了一层表面,老是这么搞可不行啊,花一两个月时间重新看了几百集java语言基础。这篇文章严格来说是我学java利用链的部分学习笔记,这也算自己部分学习的一小段总结吧,话不多说,直接开始。

一、利用链流程

关于我学渗透的那档子事之Java反序列化-CB链

画了一张流程图,供大家参考。如图所示,这里我将从下往上分为三部分来讲解利用链流程

TemplatesImpt类->调用恶意类

BeanComparator类->利用javabean调用getOutputProperties()

PriorityQueue类->反射调用PropertyUtils.getPropert

二、TemplatesImpt类

根据上面的流程图我们可以知道TemplatesImpt类的危险方法是getOutputProperties(),我们从头开始调试。

关于我学渗透的那档子事之Java反序列化-CB链跑到newTransformer().getOutputProperties(),我们跟进newTransformer()

关于我学渗透的那档子事之Java反序列化-CB链

一路跟进,进入getTransletInstance()

关于我学渗透的那档子事之Java反序列化-CB链

我们看到做了两个空判断,_null、_class,之后_class不为空执行defineTransletClasses(),继续跟进。

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

如图所示,这里defineClass从_bytecodes[]中还原出一个Class对象并放在_class中,我们回到getTransletInstance()处,此时_class不为空,继续往下走。

AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();

关于我学渗透的那档子事之Java反序列化-CB链

此时对还原的class做了一个实例化,到这里我们可以得知,在这里传入一个恶意类,通过静态代码块或者构造方法就可以执行恶意操作。

三、BeanComparator类

我们通过分析TemplatesImpt类已经得知该类可以恶意执行命令,那我们如何调用呢?

这里我们就要引入javabean这个概念了。而TemplatesImpl符合javabean的使用条件

PropertyUtils.getProperty(person,"name")

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

我们可以通过如上的形式去调用getOutputProperties()方法。接下来我们可以看看都什么函数调用了。

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

我们可以看到o1为我们传递的TemplatesImpt类,构造函数直接赋值,property为_outputProperties。接下来我们只需要找一个同名调用的compare,例如...CC4的优先队列。

四、PriorityQueue类

首先我们看一下PriorityQueue类,存在Serializable接口,readObject方法。

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

我们跟进readObject的heapify()方法

关于我学渗透的那档子事之Java反序列化-CB链

可以看到heapify方法做了一个循环,然后将queue数组传入siftDown方法。跟进siftDown

关于我学渗透的那档子事之Java反序列化-CB链

如果comparator不为空执行siftDownUsingComparator,进行跟进siftDownUsingComparator。

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

到这里,我们可以看到siftDownUsingComparator方法最终执行了comparator.compare,且comparator我们可以直接反射成BeanComparator。接下来我们只需要将queue添加TemplatesImpl类就可以了。我们看一下add方法。

关于我学渗透的那档子事之Java反序列化-CB链

跟进offer方法

关于我学渗透的那档子事之Java反序列化-CB链

这里我们如果直接传入一个类,会报int类型错误,这里我是先传数值,之后在通过反射改回来的。

//获取comparator属性,将声明的priorityQueue的comparator修改为beanComparator
Class c = PriorityQueue.class;
Field comparatorField = c.getDeclaredField("comparator");
comparatorField.setAccessible(true);
comparatorField.set(priorityQueue,beanComparator);

//对priorityQueue中的queue重新赋值
Field addField = priorityQueue.getClass().getDeclaredField("queue");
addField.setAccessible(true);
Object[] arr = (Object[]) addField.get(priorityQueue);
Array.set(arr,0,templates);
addField.set(priorityQueue,arr);
//System.out.println(Array.get(arr,0));

接下来我们的走向很清晰明了,首先我们通过add添加数据,之后做两步反射,最终执行BeanComparator.compare(TemplatesImpl,1),之后触发PropertyUtils.getProperty,通过写好的_name、_bytecodes执行TemplatesImpl的getOutputProperties()。

五、断点调试利用链

首先执行反序列化执行PriorityQueue类的readObject(),进入heapify

关于我学渗透的那档子事之Java反序列化-CB链

做两步反射,跳转到BeanComparator.compare,继续跟进

关于我学渗透的那档子事之Java反序列化-CB链

跳转到PropertyUtilsBean类,获取到_outputProperties的get方法。继续跟进

关于我学渗透的那档子事之Java反序列化-CB链

跳转到getOutputProperties方法,一路往下走,最终还原class,实例化恶意类。

关于我学渗透的那档子事之Java反序列化-CB链

关于我学渗透的那档子事之Java反序列化-CB链

成功触发恶意类执行命令

关于我学渗透的那档子事之Java反序列化-CB链

可爱小尾巴~~~

我只是个基础很差 技术很菜 脚本小子里面的小菜鸡,文章里面有什么写的不对的地方,望师傅们多加指正,我肯定狂奔加小跑的学。




END

关于我学渗透的那档子事之Java反序列化-CB链


原文始发于微信公众号(网络侦查研究院):关于我学渗透的那档子事之Java反序列化-CB链

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月14日11:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  关于我学渗透的那档子事之Java反序列化-CB链 https://cn-sec.com/archives/736878.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: