Java反序列化利用链挖掘之CommonsCollections3

最新推荐文章于 2024-04-24 19:39:21 发布
最新推荐文章于 2024-04-24 19:39:21 发布
阅读量419 收藏 2
点赞数
文章标签: java 开发语言 后端

前面分析了ysoserial的CommonsCollections1,熟悉了一点Java反序列化。本文将继续分析ysoserial的利用,今天的主角是CommonsCollections3.

0x01 环境准备

首先由于override的原因,环境使用的是jdk7u80。利用ysoserial生成payload,并载入调试。

java -jar ysoserial-master-30099844c6-1.jar CommonsCollections3 "open /System/Applications/Calculator.app" > commonscollections3.ser

0x02 基础知识

在分析开始前,先补充一下基础知识

public class StaticBlockTest {
}

public class Cracker {

    public static byte[] generate(){
        try {
            String code = "{java.lang.Runtime.getRuntime().exec(\"open /System/Applications/Calculator.app\");}";
            ClassPool pool = ClassPool.getDefault();
            CtClass clazz = pool.get(StaticBlockTest.class.getName());
            clazz.setName("demo");
            clazz.makeClassInitializer().insertAfter(code);
            return clazz.toBytecode();
        // ...
    }
    public static void main(String[] args) {
        byte[] clazz = generate();
        DefiningClassLoader loader = new DefiningClassLoader();
        Class cls = loader.defineClass("demo",clazz);// 从字节数组中恢复类
        try {
            cls.newInstance(); // 实例化该类时会自动调用静态块内的代码
        } 
      	// ...
    }
}

通过上面这个例子,我们可以获得的知识点主要为两点:

​ a. defineClass可以从byte数组中恢复一个Class

​ b. static initializer在类载入时将自动执行(静态块内的代码)

Java中动态调用的另一种方式是 defineClass

Java提供了ClassLoader从bytes数组中还原Class的方法,defineClass函数就是完成这一过程的函数。

理论上,如果代码中使用了这种方式,且byte数据的内容可控,我们可以执行任意Java代码。为什么呢?

这里就用到了Java类的另一个特性,static block在类载入时自动执行块内的代码。我们可以通过javassist对静态块注入任意代码,该类被恢复并载入时会调用注入的代码,后文的利用链主要就是用到了这两个知识点。

0x03 利用链分析

1. 前景回顾

这里选择CommonsCollections3是因为他的前半段触发的利用链跟CommonsCollections1是一样的,所以这里只需要分析后半段命令执行的构造即可。回顾一下前半段利用链

sun.reflect.annotation.AnnotationInvocationHandler.readObject()
	-> memberValues.entrySet()
	-> AnnotationInvocationHandler.invoke()
	-> memberValues.get() => LazyMap.get()
	-> factory.transform() => ChainedTransformer.transform()
	-> iTransformers[].transform()

CommonsCollections1中ChainedTransformer.transform()会循环调用iTransformers数组里的对象的transform函数。CommonsCollections1用的是InvokerTransformer的transform,因为该函数实现了反射调用任意类的功能。那么除了使用InvokerTransformer还有没有其他的方法?答案当然是肯定的!

2. 新的命令执行利用链

来看一下CommonsCollections3的payloads构造

Object templatesImpl = Gadgets.createTemplatesImpl(command);

// real chain for after setup
final Transformer[] transformers = new Transformer[] {
      new ConstantTransformer(TrAXFilter.class),
      new InstantiateTransformer(
            new Class[] { Templates.class },
            new Object[] { templatesImpl } )};
// 后续类似 省略

ConstantTransformer 上一篇已经说过了,其 transform 会返回构造时的对象,这里就是 TrAXFilter.class 对象。

我们重点来看 InstaniateTransformer 的 transform 函数

简单来看,该函数对输入的input(这里就是TrAXFilter.class)做实例化的操作。这里看起来,其实有点像php中找对应的__constructs,在Java里我们就去找构造函数里做了危险操作的class。

来看一下 TrAXFilter 类的构造函数

这里的 templates 就是上面exp中构造的 templatesImpl .

继续看TransformerImpl的newTransformer函数

org.apache.xalan.internal.xsltc.trax.TemplatesImpl.java:newTransformer:481

继续看 getTransletInstance

再继续 defineTransletClasses

看到这里是不是有点熟悉,没错,这里用到了0x02中的两个基础知识。 defineTransletClasses 还原出类, getTransletInstance 进行实例化。那么我们只需要构造一个合适的 _bytecodes 即可执行任意Java代码。

下面补充一下,在构造exp时需要满足的条件:

  1. 植入的 templates 为 TransformerImpl 类,从而调用后续的 newTransformer 函数
  2. 植入的 templates 实例, _name 不为 null , _class 为 null
  3. 植入的 templates 实例, _bytecodes 不为 null , _tfactory 为 TransformerFactoryImpl 对象
  4. 植入的 templates._bytecodes 数组,其最终还原的对象父类为 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet

那么怎么才能满足这些条件呢?这里神奇的javassist又要上场啦!

来看一下ysoserial的操作

上面的代码不做省略,我们应该好好学习一下javassist的基本操作,代码可以在 Gadgets.createTemplatesImpl 找到!

这里框了两个框,第一个框是通过javassist注入静态块,静态块的内容就是我们需要执行的命令。第二个框是ysoserail框架自己封装的一个反射工具类,通过这个类我们可以动态的操作 templates 实例的类属性内容。这里主要就是在满足上述的几个条件。

这里有一点可以提一下,该利用链的作者在填充 _bytecodes 时,额外填充了一个无关的类(上图第130行)。这个类主要用于满足 _auxClasses ,让这个 getTransletInstance 函数能正常走完。

经过上面的分析,其实我们可以知道 getTransletInstance 的第408行,对 _class 做实例化时我们想要执行的代码就已经执行了。所以这里额外填充的类其实是可有可无的。

0x04 总结

到这里,整一个CommonsCollections3就分析结束了。

CommonsCollections3主要利用了可控的byte数组从defineClass函数中还原出恶意构造的Class。并且在后续的调用中,这个Class被注入到内存中,从而执行了注入的静态块的代码,实现了任意Java代码执行。

到这篇为止,我们已经知道了两种Java的任意代码执行的构造方式

  1. 利用可控的反射机制。具体的Class、Method等均可控时,利用反射机制,可以构造出任意的类调用、类函数调用
  2. 利用可控的defineClass函数的byte数组。构造恶意的Class字节码数组,常于静态块注入恶意代码

20191104 补充

前面的分析并没有提到3.2.2版本发生了啥事,导致了利用链的失效,这里简单提一下

3.2.2版本对InvokerTransformer增加了readObject函数,并且做了是否允许反序列化的检查,在 FunctorUtils.checkUnsafeSerialization 函数内。

这里UNSAFE_SERIALIZABLE_PROPERTY的值默认为false,如果需要为true,需要在运行时指定。

所以在使用InvokerTransformer作为反序列化利用链的一部分时,会throw一个exception。除了InvokerTransformer类外,还有CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer,

PrototypeCloneFactory, PrototypeSerializationFactory, WhileClosure。所以在3.2.2版本以上,基本上利用链都已经废了。

当然,这种方法治标不治本,如果可以在这些类以外,构造一个利用链同样可以达到前面的效果。

Java面试那些事儿
关注
Java代码审计】反序列化漏洞篇
大河之犬的博客
03-25 1020
发送方必须将要发送的 Java 对象序列化为字节流,接收方则需要将字节流再反序列化,还原得到 Java 对象,才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时,就会造成一系列的安全问题。在 Java 原生的API 中,序列化的过程由类的方法实现,反序列化过程由类的方法实现。将字节流还原成对象的过程都可以称作反序列化,例如,JSON 串或 XML 串还原成对象的过程也是反序列化的过程。同理,将对象转化成 JSON 串或 XML 串的过程也是序列化的过程。
java反序列化漏洞的漏洞原理,如何防御此漏洞?如何利用此漏洞?
DXfighting_的博客
04-15 2771
漏洞原理: 如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。 漏洞防御: a. 代码审计 反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘或DB存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否可控,如下: 同时也要关注第三jar包是否提供了一些公共的反序列化操作接口,如果没有相应的安全校验如白名单校验方案,且输入可控的话就
忆享科技戟星安全实验室|渗透测试中java反序列化利用挖掘思路
m0_61431042的博客
08-30 959
忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等。
java反序列化自动化挖掘_Java反序列化之与JDK版本无关的利用挖掘
weixin_29865183的博客
03-08 276
一、前言:总感觉年纪大了,脑子不好使,看过的东西很容易就忘了,最近两天又重新看了下java反序列化漏洞利用相关技术,并尝试寻找新的利用,最后找到commons-collections中的类DualHashBidiMap能够触发利用,不依赖于JDK,然后对比了ysoserial代码,暂未发现使用DualHashBidiMap类的触发的方式,遂记之。二、环境准备JDK1.8IDEAcommons...
[Java反序列化]CommonsCollections3利用学习
Y4tacker的博客
07-25 574
文章目录利用思路 利用思路 绕过了对InvokerTransformer的利用,替代方法是这⾥⽤⼀个新的 Transformer,org.apache.commons.collections.functors.InstantiateTransformer,通过利⽤ InstantiateTransformer来调⽤到TrAXFilter 的构造⽅法,再利 ⽤其构造⽅法⾥的 templates.newTransformer() 调⽤到 TemplatesImpl⾥的字节码 ...
java反序列化利用工具香草,Java反序列化之与JDK版本无关的利用挖掘
weixin_42234168的博客
03-10 606
//使用ChainedTransformer组合利用Transformer transformerChain = newChainedTransformer(transformers);MaplazyMap = LazyMap.decorate( newHashMap, transformerChain);TiedMapEntry entry = newTiedMapEntry(lazyMap,...
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1181
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
xnxqwzy的博客
09-12 351
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。反序列化利用是整个反序列化利用过程中最关键的一环,通常反序列化利用需要借助常用的第三方jar包,其中最有名的就是CommonCollections利用(简称CC)。
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 966
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
Java反序列化之URLDNS
m0_62466350的博客
05-28 821
URLDNSjava原生态的一条利用,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用,只能发起DNS请求,并不能进行其他利用这条路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
Java反序列化漏洞——CommonsCollections3分析
Thunderclap的博客
02-17 947
CC1中我们是通过调用Runtime.getRuntime.exec()来执行系统命令,而另一个方向我们可以通过TemplatesImpl加载字节码的类,通过调⽤其newTransformer() 方法,即可执⾏这段字节码的类构造器,我们在类构造器中加入恶意代码,即可执行任意命令。利⽤InstantiateTransformer 来调⽤到TrAXFilter 的构造⽅法,再利⽤其构造⽅法⾥的templates.newTransformer() 调⽤到TemplatesImpl ⾥的字节码。
java反序列化之URLDNS分析
weixin_45682070的博客
11-23 600
readObject()方法 Java反序列化会调用对应的readobject方法 比如我创建一个类test。序列化test类就会调用writeobject方法, 反序列化就会调用test类的readobject方法。默认是存在的。可以重写readobject方法 在HashMap类中,恰恰存在readobject方法 利用ysoserial项目的利用 * Gadget Chain: * HashMap.readObject() * HashMap.putVal()
ysoserial反序列化gadget原理-part3:CommonsCollections3/2/4
mole_exp的博客
02-11 3062
上一篇文章,笔者收集汇总了Java中动态加载字节码的方法,其中之一就是利用TemplatesImpl去加载类的字节码。而ysoserial中CommonsCollections 3/2/4这三条利用就用到了TemplatesImpl。
6-java安全——java反序列化漏洞利用
网络安全
07-01 4250
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
Java反序列化调用
GalaxySpaceX的博客
09-19 421
Java反序列化调用分析
Java Shiro反序列化CommonsCollections利用分析
最新发布
qq_44192006的博客
04-24 771
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
Commons-Collections3
Le1a's Blog
03-23 646
Commons-Collections3 文章首发自: https://www.le1a.com/posts/fb41fa9a/ 前言 CC1和CC6都是用Runtime.exec()命令调用来执行命令。CC3、CC2、CC4这几个都是用的动态类加载来执行代码,动态类加载可以看之前发的文章: Java动态类加载 漏洞分析 使用动态类加载来执行代码,就需要用到defineClass类来处理字节码,将其处理为真正的Java类。但由于ClassLoader类里的defineClass都是protected属性,
java怎么调用另一个类的方法_Java反序列化利用分析之CommonsCollections3
weixin_39715513的博客
11-17 209
0x00 前言前面分析了ysoserial的CommonsCollections1,熟悉了一点Java反序列化。本文将继续分析ysoserial的利用,今天的主角是CommonsCollections3.0x01 环境准备首先由于override的原因(下一篇将分析该原因),环境使用的是jdk7u80,commons-collections:3.1。利用ysoserial生成payloa...
Java反序列化利用挖掘:混合分析方法
"这篇学术文章探讨了一种基于混合分析的Java反序列化利用挖掘方法,旨在解决Java应用中反序列化漏洞的安全问题。作者来自上海交通大学网络空间安全学院,他们在2022年4月发表于《网络与信息安全学报》上。文章指出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值