Xalan-J XSLT

CyanM0un 发布于

预备知识

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
ClassFile {
    u4             magic;                                // 魔术,识别 Class 格式 
    u2             minor_version;                        // 副版本号(小版本)
    u2             major_version;                        // 主版本号(大版本)
    u2             constant_pool_count;                  // 常量池计数器:用于记录常量池大小
    cp_info        constant_pool[constant_pool_count-1]; // 常量池表:0 位保留,从 1 开始写,所以实际常量数比 constant_pool_count 小 1
    u2             access_flags;                         // 类访问标识
    u2             this_class;                           // 类索引
    u2             super_class;                          // 父类索引
    u2             interfaces_count;                     // 接口计数器
    u2             interfaces[interfaces_count];         // 接口索引集合
    u2             fields_count;                         // 字段表计数器
    field_info     fields[fields_count];                 // 字段表
    u2             methods_count;                        // 方法表计数器
    method_info    methods[methods_count];               // 方法表
    u2             attributes_count;                     // 属性计数器
    attribute_info attributes[attributes_count];         // 属性表
}
1
2
3
4
cp_info {
    u1 tag;
    u1 info[];
}

constant_pool_count是2字节大小,所以如果其值大于0xffff时,多余的“常量”就会覆盖后续内容,从而控制类文件(XSLT 样式表中的 字符串(String) 以及 > 32767 的数值将存入到字节码的 常量池表(constant_pool) 中)

1
2
3
4
5
6
7
8
9
// org.apache.bcel.classfile.ConstantPool#dump
public void dump( final DataOutputStream file ) throws IOException {
    file.writeShort(constant_pool.length); // 对 constant_pool.length 进行了 short 截断
    for (int i = 1; i < constant_pool.length; i++) { // 依旧写入了 constant_pool.length 个数的常量
        if (constant_pool[i] != null) {
            constant_pool[i].dump(file);
        }
    }
}

例如,如果写入65536个常量,那么常量池表就为空(0x10000 & 0xFFFF = 0);如果写入65537个常量,此时常量表为1…以此类推,后面溢出的常量就覆盖了class文件

img

img

access_flags&this_class

image-20220928144740576

其实就是后续的内容还是要满足“常量”的格式

access_flags 的值决定了类的访问标识,如是否为 public ,是否为 抽象类 等等,如下为各个标识对应的 mask 值,当 与操作值 != 0 时则会增加相应的修饰符

img

编译后的字节码最终将得到 TemplatesImpl 对象,因此 由于需要实例化类对象,所以类不能为接口、抽象类,并且需要被 public 修饰,所以 access_flags 需满足如下条件:

  • access_flags.x1 & 任意修饰符 == 0
  • access_flags.x2 & ACC_PUBLIC(0x01) != 0

access_flags.x1=0x08:从1到16中选,但不选1的原因是utf8_info中有一项length,其值会影响bytes数量,进而后面就不太好控制

image-20220928150829782

this_class.x2=0x06:因为后面构造的都是Double_info的常量,所以tag为0x06

img

this_class.x1=0x01this_class 是一个指向常量池的 常量池索引,所以为了使得 截断后的常量池最小,所以这个值需要尽可能的小,由于 0x0006 已经占用了,

并不能选择常量池已有的这些 Class常量,原因在于这些 Class常量 是 XSLT 解析的过程中会使用到的类,而字节码最终会被 defineClass() 加载为 Class,将会导致类冲突问题

所以最终确定值为 this_class = 0x0106(262)

加载一些 XSLT 解析过程不会引用的类:因为类是懒加载的,只有在被使用到的时候才会被加载进 JVM,所以 defineClass() 调用时并不会存在 com.sun.org.apache.xalan.internal.lib.ExsltStrings,从而解决了类冲突的问题,之后通过在其之前填充一些常量

access_flags.x2=0x07:因为其值和this_class.x1共同组成了String_info的index,所以会间接控制常量池大小

后续发现需要大于0x0600,有一个0x06位域index的高位

又有前面的约束,所以暂且选0x07

supper_class

img

super_class 同样也需要指向 CONSTANT_Class_info 类型索引,并且因为 TemplatesImpl 的原因依旧需要继承 org.apache.xalan.xsltc.runtime.AbstractTranslet 抽象类,所以直接指向 #0006 即可

interfaces_count&fields_count

image-20220930090419765

method_count

image-20220930090509838

methods[0]

1
2
3
4
5
6
7
method_info {
    u2             access_flags;                 # 方法的访问标志
    u2             name_index;                   # 方法名索引
    u2             descriptor_index;             # 方法的描述符索引
    u2             attributes_count;             # 方法的属性计数器
    attribute_info attributes[attributes_count]; # 方法的属性集合
}

image-20220930091143850

image-20220930091242931

methods[0].attributes_count 表示当前方法体中 attribute 的数量,每个 attribute 都有着如下通用格式,根据 attribute_name_index 来决定使用的是哪种属性格式(如下表)

1
2
3
4
5
attribute_info {
    u2 attribute_name_index;     # 属性名索引
    u4 attribute_length;         # 属性个数
    u1 info[attribute_length];   # 属性集合
}

img

主要关注 Code 属性,其中存储着方法块中的字节码指令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Code_attribute {
    u2 attribute_name_index;                     # 属性名索引
    u4 attribute_length;                         # 属性长度
    u2 max_stack;                                # 操作数栈深度的最大值
    u2 max_locals;                               # 局部变量表所需的存储空间
    u4 code_length;                              # 字节码指令的长度
    u1 code[code_length];                        # 存储字节码指令
    u2 exception_table_length;                   # 异常表长度
    {   u2 start_pc;
        u2 end_pc;
        u2 handler_pc;
        u2 catch_type;
    } exception_table[exception_table_length];   # 异常表
    u2 attributes_count;                         # 属性集合计数器
    attribute_info attributes[attributes_count]; # 属性集合
}

eg:

img

image-20220930091724796

methods[1]

image-20220930100900850

attributes[0]

image-20220930101733056

attributes[1]

img

image-20220930102146981

Double 8 bytes

Code

img

img

image-20220930102643621

image-20220930103043095

image-20220930103111666

img

image-20220930103314207

方法:

  • JVM 会检查构造函数中 return 操作之前是否有调用 super() 方法,所以可以通过 return 前嵌入一个死循环即可解决这个问题
  • image-20220930103649068

attributes[2]

img

image-20220930103921394

payload

https://gist.github.com/thanatoskira/07dd6124f7d8197b48bc9e2ce900937f

https://ho1aas.blog.csdn.net/article/details/126986529

原文

http://noahblog.360.cn/xalan-j-integer-truncation-reproduce-cve-2022-34169/

CyanM0un

CyanM0un

青山见我应如是

13
4
0
TOC
  1. 1. 预备知识
  2. 2. access_flags&this_class
  3. 3. supper_class
  4. 4. interfaces_count&fields_count
  5. 5. method_count
    1. 5.1. methods[0]
    2. 5.2. methods[1]
  6. 6. payload
  7. 7. 原文
NOTICE

读书切戒在慌忙,涵泳工夫兴味长

CATEGORYS
TAGS