剖析xmlDecoder反序列化
Posted 酒仙桥六号部队
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了剖析xmlDecoder反序列化相关的知识,希望对你有一定的参考价值。
这是 酒仙桥六号部队 的第 130 篇文章。
全文共计1727个字,预计阅读时长6分钟。
一直想写个代码审计的文章,和大腿们交流下思路,正好翻xxe的时候看到一个jdk自带的xmlDecoder反序列化,很具有代表性,就来写一下,顺带翻一下源码。
为什么选这个呢,因为ta让weblogic栽了俩跟头,其他都是手写了几个洞,被人发现了,weblogic是调用的东西存在一些问题,有苦没处说啊,下面剖析下xmlDecoder是怎么反序列化的。
前期准备
这次使用的是idea来调试代码,下面是用到一些快捷键:
Idea中用到的debug快捷键:
F7 进入到代码,
Alt+shift+F7 强制进入代码
Atl+F9 执行跳到下一个断点处
F8 下一步
代码中有提到invoke(class, method)方法:
拿例子说话:
methodName.invoke(owner,args)
其中owner为某个对象,methodName为需要执行的方法名称,Object[] args执行方法参数列表。
楼主使用的jdk版本:
1.8.0_151
敲黑板开始了
先整一个完整的xml文件,注意箭头的地方,后面会是个小坑。
使用java代码解析xml文件。
重点在Object s2 = xd.readObject();这行代码,打断点跟一下源码。
Debug模式启动:
进入方法,是个三目运算:
进入方法:
注:从这里开始,可以进行打断点,第一次跟不对的时候,下次再debug的时间alt+f9快速跳到断点处。
打个断点,进入方法:
SAXParserImpl中有一些配置,其中的xmlReader是前面已经设置过了,是接口对象new的实现类,我们看的是实现类,这里有idea可以自动进行跳入对应的实现类的方法。
父类:
注:Super:调用父类的写法,有super的类必定继承(extend)了其他类。
进入父类:
跟进:
继续跟进,跳到XML11Configuration的parse()方法:
一些配置:
F7继续跟进:会进入本类的parse方法。
进入XMLDocumentFragmentScannerImpl后,会看到有方法中进行了do{}while{}方法,其中的next方法是重点。
跟进,跳到XMLDocumentScannerImpl的next():
进入next()方法:
在do{}while{}里循环多次。
注:下面的显示台有变量的值,可以看到代码中变量值的变化。
继续跟进:
可以看到解析xml文件的时候有解析到calc字符,继续跟进。
ProcessBuilder这个类在xml文件中有申明,然后到了invoke,成功执行命令。
这一块代码建议亲自跟一下,会跟到很底层的东西,楼主在这一块卡了好长时间。
这次是借助了idea进行了代码的跟踪,待到能手点方法跟踪代码的那天就是楼主神功大成之日!嘎嘎嘎~
记得好多开发大牛说过,想进步,多看看jdk源码,看懂ta,打遍天下无敌手!(后面一句我吹的)
代码审计的时候不一定能搭的起环境来,基本功还是很重要的,看jdk源码就是一个很好的练习的方法。
用jdk自带的洞来练习代码审计的好处就是,可以使用idea帮助寻找跳转方法,不会有跟不下去的时候,门槛会降低很多;再有cms会有很多奇奇怪怪的写法,出现了洞的话最后还是一些基本的写法,楼主建议还是从基础的洞来入手,没有那么高的复杂度。
编辑利用程序
写一个方法,将xml文件拼接起来,还记得开头提到的小坑么
注:楼主最喜欢这种洞了,就像网站本身就给开了个后门一样。
Main方法调用,试试ping命令。
将方法中的代码放在jsp文件中,就可以接收请求参数了,楼主已经在用了,各位大佬可以定制下。
更近一步
数据不回显?
dnslog外带,这里有个坑,能带的字符串长度有限制,中间不能有特殊符号,可以在命令中对数据进行加密切割,分段传输。
防御方法:对doslog进行域名加黑,在攻击者探测阶段就失败。
绕过:自建dns。
在服务器开启nc监听,在目标服务器访问nc服务器的端口,进行nc通信,将信息外带出来。
防御方法:在服务器监听新开启的通信。
复写父类方法,使执行有输出(有难度)。
参考以上方法和冰蝎的方法可以编写定制化一个webshell工具。
结尾
想想类似的洞?嘿嘿嘿~
以上是关于剖析xmlDecoder反序列化的主要内容,如果未能解决你的问题,请参考以下文章
[Java安全]XMLDecoder反序列化漏洞解析流程分析