ysoserial学习之CommonsBeanutils1

前言

CommonCollections系列的gadgets我们在反序列化利用中用的很多,下面剖析一下ysoserial中CommonsBeanutils1的调用链和原理。

实验环境:jdk1.8.0_211、commons-beanutils:commons-beanutils:1.9.2、commons-collections:commons-collections:3.1、commons-logging:commons-logging:1.2

代码分析

关键调用链

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
at com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.defineTransletClasses
	  at com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.getTransletInstance
	  at com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.newTransformer
	  at com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.getOutputProperties
	  at java.lang.reflect.Method.invoke
	  at org.apache.commons.beanutils.PropertyUtilsBean.invokeMethod
	  at org.apache.commons.beanutils.PropertyUtilsBean.getSimpleProperty
	  at org.apache.commons.beanutils.PropertyUtilsBean.getNestedProperty
	  at org.apache.commons.beanutils.PropertyUtilsBean.getProperty
	  at org.apache.commons.beanutils.PropertyUtils.getProperty
	  at org.apache.commons.beanutils.BeanComparator.compare
	  at java.util.PriorityQueue.siftDownUsingComparator
	  at java.util.PriorityQueue.siftDown
	  at java.util.PriorityQueue.heapify
	  at java.util.PriorityQueue.readObject

调用链复制了到TemplatesImpl.defineTransletClasses部分,再后面的部分之前在CommonCollections的调用链中分析过了,在这里是一样得。

入口是熟悉的PriorityQueue.readObject,改变的只是PriorityQueue实体类中comparator参数的值,之前cc链中使用的是TransformingComparator,在CommonsBeanutils中改成了BeanComparator。接下来使用断点调试看BeanComparator.compare做了什么工作。

断点直接打在com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.defineTransletClasses中,然后顺着堆栈看不清楚的方法操作。

调用了PropertyUtils.getProperty(01,this.property)

跟入

继续跟入

调用了this.getSimpleProperty(bean, name),跟入方法

贴出该方法全部代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
public Object getSimpleProperty(Object bean, String name) throws IllegalAccessException, InvocationTargetException, NoSuchMethodException {
       if (bean == null) {
           throw new IllegalArgumentException("No bean specified");
       } else if (name == null) {
           throw new IllegalArgumentException("No name specified for bean class '" + bean.getClass() + "'");
       } else if (this.resolver.hasNested(name)) {
           throw new IllegalArgumentException("Nested property names are not allowed: Property '" + name + "' on bean class '" + bean.getClass() + "'");
       } else if (this.resolver.isIndexed(name)) {
           throw new IllegalArgumentException("Indexed property names are not allowed: Property '" + name + "' on bean class '" + bean.getClass() + "'");
       } else if (this.resolver.isMapped(name)) {
           throw new IllegalArgumentException("Mapped property names are not allowed: Property '" + name + "' on bean class '" + bean.getClass() + "'");
       } else if (bean instanceof DynaBean) {
           DynaProperty descriptor = ((DynaBean)bean).getDynaClass().getDynaProperty(name);
           if (descriptor == null) {
               throw new NoSuchMethodException("Unknown property '" + name + "' on dynaclass '" + ((DynaBean)bean).getDynaClass() + "'");
           } else {
               return ((DynaBean)bean).get(name);
           }
       } else {
           PropertyDescriptor descriptor = this.getPropertyDescriptor(bean, name);   //从这里开始及之后代码是关键
           if (descriptor == null) {
               throw new NoSuchMethodException("Unknown property '" + name + "' on class '" + bean.getClass() + "'");
           } else {
               Method readMethod = this.getReadMethod(bean.getClass(), descriptor);
               if (readMethod == null) {
                   throw new NoSuchMethodException("Property '" + name + "' has no getter method in class '" + bean.getClass() + "'");
               } else {
                   Object value = this.invokeMethod(readMethod, bean, EMPTY_OBJECT_ARRAY);                  //下一步入口
                   return value;
               }
           }
       }
   }

从上面标注的关键部分开始读起

首先获取了bean类的名为name的属性的PropertyDescriptor,如果descriptor为空抛出错误bean类中无该属性。若存在调用getReadMethod对bean和descriptor进行处理,从抛出异常来看,该方法是获取bean类中name属性的getter方法。接下来的this.invokeMethod(readMethod, bean, EMPTY_OBJECT_ARRAY)从函数名来看,应该是反射调用了name属性的getter方法,具体还要跟进入看,跟入this.invokeMethod。

果不其然直接反射调用了bean类钟name属性的getter方法,并且该方法的参数为EMPTY_OBJECT_ARRAY也就是new Object[]{}也就是无参的getter方法。

而exp中填入的bean为填充了恶意代码的org.apache.xalan.xsltc.trax.TemplatesImpl,name为outputProperties,所以outputProperties的getter方法为getOutputProperties。getOutputProperties代码如下

1
2
3
4
5
6
7
8
public synchronized Properties getOutputProperties() {
        try {
            return newTransformer().getOutputProperties();
        }
        catch (TransformerConfigurationException e) {
            return null;
        }
    }

上面调用了我们乐意看到的org.apache.xalan.xsltc.trax.TemplatesImpl的newTransformer方法,触发了代码执行。

而在于exp构造方面,作者也使用了一些技巧。

1、一开始BeanComparator的参数为什么是lowestSetBit,queue.add中的参数为什么是BigInteger类型?

首先我们知道在PriorityQueue的第二次add中会调用到PriorityQueue实体类的compare属性的compare函数造成提前触发,这个在cc4解析中说过。因此我们需要做的事情是让这个提前触发不会抛出异常,以让我们后面的代码还能继续执行。在执行BeanComparator的compare时会调用queueArray中内容的类的属性,属性名为BeanComparator的property参数,按照作者的写法最后会找到的BigInteger的lowestSetBit属性,并调用getLowestSetBit

我们可以看到getlowestSetBit是存在的因此不会报错,顺利的执行下去,而如果我们乱填的话,就会抛出异常,所以这里add的Biginteger和lowestSetBit作为参数都是有意义的,并不是随便写的。

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

huahua<br><br>虚心学习,不断进步。