Java反序列化之commons-beanutils分析

TemplatesImpl类是一个可序列化的类,其中有一个属性_bytecodes,里面保存的数据在defineTransletClasses函数里将会被加载成类:
Java反序列化之commons-beanutils分析
Java反序列化之commons-beanutils分析

存在着这样一条调用链条:
Java反序列化之commons-beanutils分析
简单来说,只要是能调用到getOutputProperties函数,就能触发包含在_bytecodes里的类构造函数被执行(这个类是由攻击者来实现的)。

Payload第一部分:
Java反序列化之commons-beanutils分析
创建了一个BeanComparator对象,将其作为参数用来创建一个PriorityQueue,向queue对象中添加两个大整数对象(占位用)。
接着通过反射机制设置了comparator后面将会对比对象的属性为outputProperties。

Payload第二部分:
Java反序列化之commons-beanutils分析
通过反射机制修改queue中数组保存的对比对象为内置了攻击代码的templates。
返回queue,将其生成序列化数据。

漏洞触发逻辑:
反序列化的queue的时候,其对应的PriorityQueue类readObject函数会依次读取序列化数据中的元素,放入到队列中。然后,调用heapify函数进行排序操作。
Java反序列化之commons-beanutils分析
最终,会调用到siftDownUsingComparator函数,其中会调用comparator的compare方法:
Java反序列化之commons-beanutils分析
compare方法中将会调用被对比对象的对应属性get方法,这里的o1,o2就是之前传入的templates对象,this.property就是之前通过反射机制修改的outputProperties。因此,最终就调用了TemplatesImpl的getOutputProperties函数,触发POC代码执行:
Java反序列化之commons-beanutils分析

Java反序列化之commons-beanutils分析













本文转自fatshi51CTO博客,原文链接: http://blog.51cto.com/duallay/2050088,如需转载请自行联系原作者



上一篇:活动目录的灾难恢复操作指导之二


下一篇:Oracle存储过程