apache-commons-collections3反序列化链分析

最新推荐文章于 2024-09-03 07:10:50 发布
最新推荐文章于 2024-09-03 07:10:50 发布
阅读量322 收藏
点赞数
分类专栏: 代码审计 java安全 文章标签: 安全漏洞 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121666202
版权
本文详细分析了Apache Commons Collections 3的反序列化链漏洞,包括漏洞环境、payload构造方法和执行过程。通过追踪 ysoserial 工具生成的payload,解释了如何利用ChainedTransformer和LazyMap等类来执行恶意代码,揭示了其与ACC1和ACC2链的关联和区别。
摘要由CSDN通过智能技术生成

apache-commons-collections3反序列化链分析

调试环境

JDK7+commons-collections-3.1.jar

apache-commons-collections3反序列化链其实利用的地方跟ACC1链一样,只是构造payload的方法有所不同罢了,apache-commons-collections3反序列化链的payload构造利用到了apache-commons-collections1、apache-commons-collections3反序列化链构造的知识点

下面根据ysoserial工具生成apache-commons-collections3反序列化链payload的代码进行分析,没了解过ACC1和ACC2链的可以先去把这两天链跟了,再来看这条链会比较好

漏洞分析

看到CommonsCollections3.getObject方法,这个方法调用Gadgets.createTemplatesImpl方法动态生成恶意的TemplatesImpl类,这里跟CommonsCollections2链是一样的,不了解的可以参考这篇文章,这里不再赘述
image-20211201210309982
然后实例化一个ChainedTransformer,分析过ACC1链的知道ChainedTransformer存在一组反射调用(具体可看ACC1链),实例化时里面的参数为Transformer数组,数组里面是一个ConstantTransformer对象,后面再反射赋值 iTransformers 为transformers变量
image-20211201210739450
这里去掉实例化ChainedTransformer时传入的参数,并且一开始就把transformers变量通过构造方法赋值给iTransformers也可以执行命令成功,那么这个传入的参数意义何在?下面是网上师傅的一个解释

后面反射赋值还是有意义的。如果在一开始就把transformers这个数组放入transformerChain,就会导致构造链的时候(而不是(调用readObject的时候)自己弹自己计算机

ACC3链的构造是基于LazyMap攻击链的,getObject方法中实例化了HashMap之后实例化LazyMap对象,并在实例化LazyMap对象的时候传入HashMap和ChainedTransformer对象,这个分析过ACC1 LazyMap攻击链的应该不陌生,这时候只要调用到LazyMap.get方法就可以反射调用到一组方法

当我们调用到LazyMap.get方法的时候会调用怎样的一组方法呢?这就要看赋值给ChainedTransformer对象的iTransformers属性的Transformer数组是怎么构造的了,payload构造中涉及到了TrAXFilter类和InstantiateTransformer类,下面一个个看
image-20211201213003549
ACC1链的时候分析过,ConstantTransformer.transform方法返回的就是实例化ConstantTransformer时传入的值,ACC1中传入的是Runtime.class,这里传入的是TrAXFilter.class
image-20211201213144880
看一下TrAXFilter类,这个类的构造方法执行了templates.newTransformer()方法,回顾ACC2链不就是通过newTransformer方法实例化恶意类时调用到静态代码块而执行系统命令的吗?那么这里只要让templates为动态生成的恶意类即可,这是transformers要实现的第一个点
image-20211201213535625
再看InstantiateTransformer类的transform方法,transform方法可以调用到input参数类的构造方法,那么只要构造input参数为TrAXFilter类即可调用TrAXFilter类的构造方法,这是transformers要实现的第二个点
image-20211201213948759
如下构造Transformer数组就可以满足第一个点和第二个点,仔细分析分析应该不难理解
image-20211201214106680
没分析过ysoserial生成ACC1链payload的过程,下面这初略的讲解应该很难听懂,可以先去跟一下ysoserial生成ACC1链payload的过程

只需要调用到LazyMap的get方法就可以完成这条链的构造了,这里利用的是ysoserial生成ACC2链的方法,通过生成LazyMap的动态代理对象(这个代理对象的处理器为AnnotationInvocationHandler对象,代理的接口为Map接口,当调用到Map接口中的方法时,就交给AnnotationInvocationHandler.invoke处理)

ysoserial最后构造的payload是AnnotationInvocationHandler这个对象的序列化数据,在反序列化AnnotationInvocationHandler对象的时候,会调用到AnnotationInvocationHandler.readObject方法,readObject方法会调用到this.memberValues.entrySet方法,这里的this.memberValues就是LazyMap的动态代理对象,而entrySet又是Map接口的方法,那么这时候就会交给AnnotationInvocationHandler.invoke处理,invoke方法会调用到this.memberValues.get方法,这里的this.memberValues为LazyMap对象(跟前面的不同,具体可以跟进getObject方法中的createMemoitizedProxy方法和createMemoizedInvocationHandler方法),这时候调用到LazyMap.get方法,实现反序列化构造,到这里就完成了ACC3这条链的构造了。

总结

跟过ACC1链、ACC2链基础和ysoserial生成ACC1链、ACC2链payload的应该很容易看懂这条ACC3链,用的都是ACC1和ACC2链的知识点

0x6b79
关注
专栏目录
apache-commons-collections1反序列化链分析
11-30 481
apache-commons-collections1反序列化链分析 调试环境 commins-collections3.1 JDK7 漏洞分析 在InvokerTransformer类中的transform方法存在一组反射方法执行 只要能控制参数input、iMethodName、iParamTypes和iArgs,就能调用Runtime.exec执行系统命令!iMethodName、iParamTypes和iArgs是通过构造方法赋值,很明显其值可控 现在要让input参数可控并且为Runtime对
apache-commons-collections2反序列化链分析
12-01 708
apache-commons-collections2反序列化链分析 在审计完apache-commons-collections1反序列化链之后,继续审计apache-commons-collections系列的反序列化链,下面根据ysoserial工具生成CommonsCollections2反序列化链payload的思路一步步分析 前景知识 ysoserial工具生成payload的时候用到了动态生成类和PriorityQueue队列,之前也没接触过,下面简单记录一下 JAVAssite动态生成类 百
apache-collections-commons-collections-3.1.jar.zip
07-18
标签:apache-collections-commons-collections-3.1.jar.zip,apache,collections,commons,collections,3.1,jar.zip包下载,依赖包
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 2083
Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
Apache Commons Collections 使用教程
gitblog_00725的博客
09-03 381
Apache Commons Collections 使用教程 commons-collectionsApache Commons Collections: 这是一个Apache Commons项目,用于提供一系列通用的Java集合类。这些类包括列表、集合、映射等,并提供了许多有用的方法来操作这些集合。适合用于需要使用Java集合类的开发者。特点包括高性能、线程安全和简单易用。项目地址:http...
【技术分享】Apache-Commons-Collections反序列化
weixin_44476888的博客
05-02 1230
上篇文章讲到了Spring-tx组件出现的问题,通过构造RMI和JNDI来供服务端下载恶意class并通过反序列化进行RCE,这次研究一下另外一种漏洞,利用Java的反射机制来执行任意命令,并且通过反序列化来进行RCE。本次分析的漏洞是2015年出现的Apache-commons-collections组件出现的反序列化问题,这个包为Java提供了很多基础常用且强大的数据结构,方便开发。 0x0...
Java工具库系列(十六):Apache Commons Collections
阿里渣渣java研发组-群主
06-13 1300
Apache Commons CollectionsApache Commons 项目的一部分,专注于提供增强的集合类和实用工具。新的集合类型(如BagMultiMapBidiMap高效的集合操作工具强大的集合装饰器Apache Commons Collections 是一个功能强大的工具库,通过提供丰富的集合类和实用方法,极大地简化了 Java 应用程序中的集合操作。在本篇文章中,我们介绍了 Commons Collections 的核心功能和使用方法。
Apache Commons Collections反序列化
why811的博客
08-17 208
Apache Commons Collections中有一个特殊的接口TransformerInvokerTransformer是实现了Transformer接口的一个类,这个类可以可以通过Java的反射机制来调用任意函数可以看到该InvokerTransformer类是实现Transformer接口的(Transformer接口主要用于转换并返回一个给定的Object对象),且其中的transform()方法采用反射机制进行任意函数调用,这就是漏洞点所在。
apache-commons-collections7反序列化链分析
12-02 251
apache-commons-collections7反序列化链分析 apache-commons-collections7反序列化链也是对ACC1链的变形利用罢了,倒是其中涉及一些hash知识 复现环境 JDK7+CommonsCollections1 前景知识 这里要在前面说一下的是Hashtable.put方法新增的元素,是存储在Hashtable$Entry这个内部类里面的,那么获取元素也是在这个内部类获取的,这个跟进一下Hashtable.put方法就能知道 LazyMap.put方法新增的元素,
Java反序列化Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1550
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
commons-collections-3.2.2-
11-01
反序列化是将已序列化的对象状态还原为可执行对象的过程,如果这个过程没有得到适当的验证,攻击者可以构造恶意的序列化数据,导致安全问题。 为了修补这个漏洞,我们需要将WebLogic服务器中旧版本的Apache Commons...
Apache Commons Collections
04-05
Apache Commons Collectionscommons-collections-3.2.1和commons-collections4-4.0,含jar包及源码和api文档。
apache-commons-collections
weixin_38842582的博客
12-14 3996
apache-commons-collections 【概要】 Commons Collections,又是一个重量级的东西,为Java标准的Collections API提供了相当好的补充。Collections当然有它存在的道理,能够把常用的数据结构归纳起来,以通用的方式去维护和访问,这应该说是一种进步,但是用起来似乎不够友好。这个时候我就会想,如果Java比现在做得更好用些,或者有一套第三方...
通过Apaache Common-collections分析Java反序列化
qq_43578872的博客
09-18 175
通过Apaache Common-collections分析Java反序列化 前言 本文将通过 Apache Commons-collections爆出的反序列化漏洞来作为例子进行原理分析。 漏洞成因 在这个Java反序列化漏洞的利用链主要由三个部分组成 1、可以执行恶意代码的对象(在这个例子中即为Commons-collection中的Transformer类) 2、一个被恶意对象“寄生的宿主”,通俗的来说就是,宿主对象反序列化的时候因为需要执行readObject方法,而readObject方法在可以被
apache-commons-collections5反序列化链分析
12-02 741
apache-commons-collections5反序列化链分析 apache-commons-collections5反序列化链就是ACC1 LazyMap攻击链的利用,都是学过的知识点 复现环境 JDK7+CommonsCollections1 漏洞分析 看到CommonsCollections5类的getObject方法,实例化transformerChain类,并进行占位,后面再反射赋值为Transformer数组,Transformer数组很熟悉,构造跟ACC1链一样,Transform
浅谈Commons-Collections1 反序列化
Le1a's Blog
03-23 636
Java CC链
JAVA 反序列化Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 2059
Apache Commons Collections 反序列化漏洞研究
Commons-Collections3
Le1a's Blog
03-23 653
Commons-Collections3 文章首发自: https://www.le1a.com/posts/fb41fa9a/ 前言 CC1和CC6都是用Runtime.exec()命令调用来执行命令。CC3、CC2、CC4这几个都是用的动态类加载来执行代码,动态类加载可以看之前发的文章: Java动态类加载 漏洞分析 使用动态类加载来执行代码,就需要用到defineClass类来处理字节码,将其处理为真正的Java类。但由于ClassLoader类里的defineClass都是protected属性,
如何利用Apache Commons Collection 6的反序列化链技术攻击Java应用?并请描述HashSet和HashMap在其中的作用。
最新发布
10-24
反序列化的过程中,如果应用加载了Apache Commons Collections库,那么恶意对象中的特定方法会被调用,从而允许攻击者执行任意代码。 HashSet在这一攻击中扮演的角色是作为攻击载荷的一部分。HashSet基于HashMap...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值