手工编写简化版CommonsCollections6,带你实现Java8全版本反序列化利用

最新推荐文章于 2024-03-27 17:54:45 发布
最新推荐文章于 2024-03-27 17:54:45 发布
阅读量702 收藏
点赞数
文章标签: 字符串 java redis javascript jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asasd101/article/details/110252581
版权

这是代码审计知识星球中《Java安全漫谈》的第十二篇文章。

本文带大家编写一个简化版的CommonsCollections6利用链,代码量相比于ysoserial减少50%,能够让大家更好理解。

上一篇文章我们详细分析了CommonsCollections1这个利用链和其中的LazyMap原理。但是我们说到,在Java 8u71以后,这个利用链不能再利用了,主要原因是sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑变化了。

在ysoserial中,CommonsCollections6可以说是commons-collections这个库中相对比较通用的利用链,为了解决高版本Java的利用问题,我们先来看看这个利用链。

不过,本文我不会按照ysoserial中的代码进行讲解,原因是ysoserial的代码过于复杂了,而且其实用到了一些没必要的类。

我们先看下我这条简化版利用链:

/*
	Gadget chain:
	    java.io.ObjectInputStream.readObject()
            java.util.HashMap.readObject()
                java.util.HashMap.hash()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
                        org.apache.commons.collections.map.LazyMap.get()
                            org.apache.commons.collections.functors.ChainedTransformer.transform()
                            org.apache.commons.collections.functors.InvokerTransformer.transform()
                            java.lang.reflect.Method.invoke()
                                java.lang.Runtime.exec()
*/

我们需要看的主要是从最开始到org.apache.commons.collections.map.LazyMap.get()的那一部分,因为LazyMap#get后面的部分在上一篇文章里已经说了。所以简单来说,解决Java高版本利用问题,实际上就是在找上下文中是否还有其他调用LazyMap#get()的地方

我们找到的类是org.apache.commons.collections.keyvalue.TiedMapEntry,在其getValue方法中调用了this.map.get,而其hashCode方法调用了getValue方法:

package org.apache.commons.collections.keyvalue;


import java.io.Serializable;
import java.util.Map;
import java.util.Map.Entry;
import org.apache.commons.collections.KeyValue;


public class TiedMapEntry implements Entry, KeyValue, Serializable {
private static final long serialVersionUID = -8453869361373831205L;
private final Map map;
private final Object key;


public TiedMapEntry(Map map, Object key) {
this.map = map;
this.key = key;
    }


public Object getKey() {
return this.key;
    }


public Object getValue() {
return this.map.get(this.key);
    }


// ...


public int hashCode() {
        Object value = this.getValue();
return (this.getKey() 
最低0.47元/天 解锁文章
落沐萧萧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CommonsCollection6反序列化链学习
m0_56069948的博客
04-04 869
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 CommonsCollection6 1、前置知识 1.1、HashSet HashSet 基于 HashMap 来实现的,是一个不允许有重复元素的集合。继承了序列化和集合 构造函数参数为空的话创建一个HashMap(),有一个参数的情况下,要创建指定容量的初始数值的哈希集合。
weblogic反序列化版本漏洞利用工具
06-27
weblogic反序列化版本漏洞利用工具,可执行命令
[Java反序列化]—CommonsCollections6
Sentiment的博客
05-27 1046
前言 在开始前先回顾了一下之前的CommonsCollections1和URLDNS,因为本篇跟之前有一定联系,其次其实也是为了巩固下毕竟已经忘的差不多了。 接上篇,CC1的JDK版本需要低于8u71,AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以就需要找一个绕过高版本利用链—CommonsCollections6 分析 cc1的LazyMap链:readObject()->invoker()->get(
Commons-Collections6分析
Le1a's Blog
03-23 2124
Java反序列化
JavaCommonsCollections6
qq_52988816的博客
08-17 623
相比于CC1链,这个链子还是比较好跟的多少有点跟过的链子的影子(比如CC5),不过还是需要用心学习一下。里面还是有很多不太好懂的点的。
CommonsCollections6分析
笑花大王
01-02 369
CommonsCollections6 LazyMap的漏洞触发在get和invoke中,完没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#rea...
java反序列化利用程序UI版Beta1.1.rar
07-20
8. **Java反序列化工具**:如"java反序列化利用程序UI版Beta1.1"这样的工具,可能是为了帮助安研究人员测试和理解反序列化漏洞的工作原理,通过图形用户界面(GUI)提供了一种更直观的方式来实验和分析Java反序列...
Weblogic版本反序列化漏洞利用工具.jar
07-03
Weblogic版本反序列化漏洞利用工具.jar 是一个专门针对Oracle WebLogic服务器的漏洞利用工具。WebLogic是Oracle公司的一款企业级应用服务器,广泛应用于各类企业的业务系统开发和部署。这个.jar文件表明,该工具...
JAVA序列化和反序列化的底层实现原理解析
08-25
JAVA序列化和反序列化的底层实现原理解析 一、基本概念 JAVA序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是把对象转换成有序字节流,以便在网络上传输...
一文你彻底理解Java序列化和反序列化
09-07
Java序列化和反序列化Java开发中常用的技术,它允许我们将Java对象转换成字节流,以便于存储、在网络中传输或在不同时间点重建对象。这一过程对于实现某些关键功能至关重要,如持久化数据、分布式计算和跨进程通信...
Java漫谈 - 01.反射篇(1)1
08-03
Java漫谈 - 01.反射篇(1)1
Java漫谈 - 02.反射篇(2)1
08-03
不过,我们有时候在写漏洞利用方法的时候,会发现使用 newInstance 总是不成功,这时候原因可能是:1. 你使用的类没有无参构造函数2. 你使用的类构造函
Commons-Collections6 反序列化 从0开始手写exp
weixin_51458899的博客
04-11 2125
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
commons-collections6
最新发布
……
03-27 697
Java反序列化CommonsCollections6)
java--commoncollections6 反序列化利用学习
zyer
05-12 246
总结 上周花了一周的时间学习commoncollections1,对java反序列化利用好像有一丝丝的理解了。 暂时的思路就是:首先寻找存在对应方法的类,LazyMap-->get,TransformedMap-->setValue,put 从寻找一个存在readObject方法的类出发,通过寻找其它Object导致最后能触发上面的方法。 问题所在 从commoncollections1的学习发现,这条利用链对jdk版本有限制,高版本的jdk使用不了,具体原因就是在Java 8u71
apache-commons-collections6反序列化链分析
12-02 418
apache-commons-collections6反序列化链分析 apache-commons-collections6反序列化利用的也是通过TiedMapEntry.getValue方法调用一系列的transform方法执行系统命令的,下面就分析分析这条链 复现环境 JDK7+CommonsCollections1 漏洞分析 看到CommonsCollections6类的getObject方法,前面是很熟悉的Transformer数组构造,数组构造和ACC5也是一样的,这里直接在实例化Chained
java6安站点_JavaCommons Collections6分析
weixin_39611725的博客
02-27 188
JavaCommons Collections6分析0x00 前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。在CC6链中也和CC5的利用链类似,但是CC6链中使用的是HashSet去触发LazyMap的get方法。而在CC5中使用的是BadAttributeValueExpException。0x01 POC分析这里还是去简化一下...
JAVA反序列化之CommonCollections1利用
javaYY_的博客
07-08 209
之前简单学习了JAVA反序列化和URLDNS这条利用链,讲过的基础就不再赘述了,今天来学习CommonCollections这条利用链。由于这条链相对于URLDNS比较复杂,为了更容易理解,所以首先采用P牛精简后的一段DEMO来理解这条利用链:DEMO1 1package Commoncollections1; 2import org.apache.commons.collections.Transformer; 3import org.apache.commons.collections.funct
Java代码审计——Commons Collections6 HashSet
王嘟嘟的博客
12-15 1133
0x00 前言 cc6主要还是c部分的利用,就是触发LazyMap的问题。 0x01 HashSet cc6中最主要的就是将TiedMapEntry的调用。HashMap的put调用hash然后调用hashcode可以触发 TiedMapEntry的hashCode,然后调用HashMap.put从而触发整条链 1.HashMap 首先来看HashMap中的hashcode hashcode在hash方法中进行了调用 hash在多个方法中进行了调用,这里以put为例 那么我们的问题就是如何去触发这个pu
基于混合分析的Java反序列化利用链挖掘方法
05-14
"这篇学术文章探讨了一种基于混合分析的Java反序列化利用链挖掘方法,旨在解决Java应用中反序列化漏洞的安问题。作者来自上海交通大学网络空间安学院,他们在2022年4月发表于《网络与信息安学报》上。文章指出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值