本文详细探讨了如何进行代码审计,特别是针对Java中的反序列化漏洞。通过分析`AnnotationInvocationHandler`类,揭示了如何构造一个反序列化调用链,涉及`ChainedTransformer`和`LazyMap`等数据结构。文章讲解了如何解决值不可控、不可序列化等问题,同时介绍了Java动态代理在漏洞利用中的角色,最终展示了如何构造一个完整的PoC来触发反序列化链。
1、首先已知恶意接口类Transformer、查看他的实现类,使用Crtl+H
2、查看InvokerTransformer类,在该类发现到如下问题代码,反射调用传入的任意类
方法,该方法源码如下所示。明显的反射调用,此时就需要定位该方法在那里被调用
3、查看到TransformedMap的三个方法transformKey、transformValue、checkSetValue三个函数进行了调用,但这三个方法是protected修饰的
4、到TransformedMap的构造函数,发现传入了一个map和两个Transformer,可以理解为接受一个map并对这个map的key和value做一些操作,因为这是一个保护方法, 我们继续找一下在哪里调用了这个方法。
5、找到静态代码decorate方法
6、这里就可以完成一个TransformedMap的构造了、这里就需要继续查看那里调用了checkSetValue方法
7、进入该方法,该方法在进行设置值时会触发调用链,构造最终调用链Poc
看到transformedMap的类型
调用后的变量情况
这个时候我们继续向上寻找调用链,看哪些类调用了setValue方法,按照流程,我应该能找到在AnnotationInvocationHandler这个类的readObject方法里面调用了setValue方法,可是找了一圈,并没有。。。我以为是我jdk版本的问题,于是在jdk下面查看,路径是rt.jar下面的sun.reflect.annotation,发现这个类不是源代码,所以查找调用的时候不会出现。设置jdk
AnnotationInvocationHandler
到目前为止,我们已经构造出了可以执行命令的恶意链,现在需要找可以进行序列化的链条。
到这一步,正常的代码审计过程中,会采取两种策略,一种是继续向上回溯,找transformKey、transformValue、checkSetValue这几个方法被调用的位置,另一种策略就是全局搜索readObject()方法,看看有没有哪个类直接就调用了这三个方法中的一个或者readObject中有可疑的操作,最后能够间接触发这几个方法。审计中,一般都会把两种策略都试一遍。
现在只要找到一个符合以下条件的类,并且服务端有反序列化的入口,就可以RCE了。
1.该可序列化的类重写了readObject方法;
2.该类在readObject方法中对Map类型的变量进行了键值修改操作,并且这个Map参数是可控的;
查找setValue调用发现在如下类中进行了调用
具体源码
首先由于该类是受保护得类,所以需要反射区调用
遇到的三个问题
第一个问题是setValue,在上面的例子中我们setValue的值直接传入的是一个Runtime对象,但是在AnnotationInvocationHandler类中,这个传入的值并不是我们可控的。
第二个问题是对于Runtime类,它并不是可序列化的,因为它没有继承Serializable接口,因此我们也需要通过反射来实现。
第三个问题、执行发现没有触发反序列化,查看对应类的readObject方法,需要满足俩个条件
1、AnnotationInvocationHandler构造函数的第⼀个参数必须是 Annotation的⼦类, 且其中必须含有⾄少⼀个⽅法,假设⽅法名是X;2、被TransformedMap.decorate的Map中必须有⼀个键名为X的元素
首先进行调试发现var7值为空不能触发
首先来分析第三个问题
我们首先来分析下var7为何为空值,这里需要对应源码来看、
var 7 =var3.get(var6) va3就是AnnotationInvocationHandler
最低0.47元/天 解锁文章
扫一扫
3687
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
