apache-commons-collections6反序列化链分析

已于 2022-03-31 20:06:48 修改
阅读量418 收藏
点赞数
分类专栏: 代码审计 java安全 文章标签: apache java 开发语言
于 2021-12-02 19:01:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121684010
版权

apache-commons-collections6反序列化链分析

apache-commons-collections6反序列化链利用的也是通过TiedMapEntry.getValue方法调用一系列的transform方法执行系统命令的,下面就分析分析这条链

复现环境

JDK7+CommonsCollections1

漏洞分析

看到CommonsCollections6类的getObject方法,前面是很熟悉的Transformer数组构造,数组构造和ACC5也是一样的,这里直接在实例化ChainedTransformer对象的时候把Transformer数组作为参数传入了,而不是通过反射传入,不过问题都不大
image-20211202170054941
然后实例化HashMap、LazyMap对象,并把这两个对象作为参数实例化TiedMapEntry对象,这里也很熟悉,经过这些实例化操作,TiedMapEntry对象的this.map值为LazyMap对象,
image-20211202170240999
这时候只要调用到TiedMapEntry.getValue方法就可以调用一系列的transform方法执行系统命令了,至此,前面的都和ACC5链一样,那么下面看看怎么构造才能调用到TiedMapEntry.getValue方法
image-20211202170343158
实例化一个容量为1的HashSet对象,并把foo字符串添加进去占位,再通过反射获取HashSet对象的map属性的Field对象,并赋值到f变量,然后通过get方法获取到属性值并赋值到innimpl变量
image-20211202171941180
HashSet对象的map属性为一个HashMap对象,所以innimpl变量就是一个HashMap对象
image-20211202170657886
之后反射获取HashMap的table属性的Field对象,并赋值给f2变量
image-20211202171535849
HashMap的table属性字段为Node类,Node是HashMap的一个内部类
image-20211202171605101
再反射获取Entry属性赋值到node变量,也就是node变量就是HashMap$Node内部类
image-20211202172714716
反射获取HashMap$Node内部类的key字段的Field对象,并把这个字段的key属性赋值为TiedMapEntry对象,最后返回的是HashSet对象
image-20211202172858042
上面的一系列操作就是把HashSet对象中的map属性对象(这属性是一个HashMap对象)里面的Node内部类的key属性赋值为TiedMapEntry对象(当HashSet对象中的map属性为HashMap对象时,HashSet.add方法中添加的元素就是存储在HashMap对象的key属性中的)

跟进HashSet.readObject方法,先调用默认的defaultReadObject方法保证反序列化操作的正常进行,然后实例化一个HashMap对象赋值给map变量,再for循环用map.put方法对map变量赋值。
image-20211202173539328
跟进put方法,注意put方法的参数e是内部Node类的key属性,也就是TiedMapEntry对象,put方法调用hash方法对TiedMapEntry对象进行处理。这里为什么参数e是内部Node类的key属性呢?跟进一下HashSet.writeObject方法中的,得知在调用HashSet.writeObject方法序列化对象的时候通过s.writeObject写入的就是TiedMapEntry对象,那么反序列化时s.readObject当然读取到的也就是TiedMapEntry对象
image-20211202173802744
跟进hash方法,其调用k.hashCode方法,也就是调用TiedMapEntry.hashCode方法
image-20211202174242507
跟进TiedMapEntry.hashCode方法,其调用getValue方法。自此,就调用到TiedMapEntry.getValue方法了,进而调用一系列transform方法执行系统命令
image-20211202183332857

总结

在这条链中要注意的地方有两个

当HashSet的map属性为HashMap对象时,HashSet.put方法添加的元素是存储在HashSet的map属性对象的内部Node类的key属性中的,所以在HashSet.readObject方法中,map.put的参数e为key属性,也就是构造payload时指定的TiedMapEntry对象

HashSet对象的map属性是transient修饰符修饰的,但是HashSet对象的writeObject方法和readObject方法手工读取和写入了map属性,所以可以成功序列化和反序列化

0x6b79
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化(八)Common Collection 6分析
Vicl1fe的博客
09-26 312
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 java.io.Objec
CommonsCollection6反序列化链学习
m0_56069948的博客
04-04 868
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 CommonsCollection6 1、前置知识 1.1、HashSet HashSet 基于 HashMap 来实现的,是一个不允许有重复元素的集合。继承了序列化和集合 构造函数参数为空的话创建一个HashMap(),有一个参数的情况下,要创建指定容量的初始数值的哈希集合。
Commons-Collections6 反序列化 从0开始手写exp
weixin_51458899的博客
04-11 2124
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
Common-Collections 6
Christ1na的博客
09-26 335
这个利⽤链可以在Java 7和8的⾼版本触发,没有版本限制,所以通用性较强
CommonsCollections6分析
笑花大王
01-02 369
CommonsCollections6 LazyMap的漏洞触发在get和invoke中,完全没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#rea...
[Java反序列化]—CommonsCollections6
Sentiment的博客
05-27 1045
前言 在开始前先回顾了一下之前的CommonsCollections1和URLDNS,因为本篇跟之前有一定联系,其次其实也是为了巩固下毕竟已经忘的差不多了。 接上篇,CC1的JDK版本需要低于8u71,AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以就需要找一个绕过高版本的利用链—CommonsCollections6 分析 cc1的LazyMap链:readObject()->invoker()->get(
commons-collections4-4.1
11-01
Apache Commons Collections 3.2.0及更早版本中存在这样一个漏洞,因为该库包含了一些不安全的反序列化方法,使得攻击者可以通过精心构造的输入来触发代码执行。 在Apache Commons Collections 4.1中,这个问题得到...
commons-collections-3.2.2-
11-01
反序列化是将已序列化的对象状态还原为可执行对象的过程,如果这个过程没有得到适当的验证,攻击者可以构造恶意的序列化数据,导致安全问题。 为了修补这个漏洞,我们需要将WebLogic服务器中旧版本的Apache Commons...
Commons Collections反序列化
最新发布
12-15
6. **安全编码最佳实践**:避免直接反序列化未经验证的数据,尤其是在处理网络输入时。 总结来说,了解和防范Apache Commons Collections反序列化漏洞是Java开发人员必备的安全知识。通过遵循最佳实践和及时更新库...
commons-collections-3.2.jar
09-29
10. **工具类**:包含一些通用的实用工具,如集合的深度拷贝、序列化和反序列化、对象的克隆等。 在实际开发中,"commons-collections-3.2.jar"可以被广泛应用于数据处理、数据结构优化和算法实现等领域。只需将此...
commons-collections-3.2.2-bin.zip
02-03
7. **集合的序列化与反序列化**:提供了一种方便的方式来序列化和反序列化集合,这对于数据存储和网络传输非常有用。 8. **泛型支持**:Collections库在3.2.2版本中已经支持Java泛型,这使得代码更具类型安全性和...
java--commoncollections6 反序列化利用学习
zyer
05-12 245
总结 上周花了一周的时间学习commoncollections1,对java反序列化利用好像有一丝丝的理解了。 暂时的思路就是:首先寻找存在对应方法的类,LazyMap-->get,TransformedMap-->setValue,put 从寻找一个存在readObject方法的类出发,通过寻找其它Object导致最后能触发上面的方法。 问题所在 从commoncollections1的学习发现,这条利用链对jdk版本有限制,高版本的jdk使用不了,具体原因就是在Java 8u71
Commons-Collections6分析
Le1a's Blog
03-23 2123
Java反序列化
CommonCollections6链分析
Demodd的博客
03-20 4199
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
Java反序列化7-CommonsCollections6利用链分析
weixin_43263451的博客
07-30 344
利用hashSet.readobject触发hashmap.put()从而触发tiedmap.hashcode从而调用getvalue从而调用lazymap.get进而进入ChainedTransformer.tranform。ysoserial是利用hashset.readobject触发hashmap.put(),其实在hashmap.readobject中也会触发hashmap.put(),所以这里用的hashmap而不是hashset。hashset.add其实就是给其hashmap赋了个值。...
java--commoncollections6 续
zyer
05-12 128
上篇文章我们使用了HashSet作为反序列化函数的出发点,其实HashSet也可以作为出发点,我们使用HashSet构造payload package com.zyer; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.Co
手工编写简化版CommonsCollections6,带你实现Java8全版本反序列化利用
离别歌
07-24 701
这是代码审计知识星球中《Java安全漫谈》的第十二篇文章。本文带大家编写一个简化版的CommonsCollections6利用链,代码量相比于ysoserial减少50%,能够让大家更好...
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1936
要是你是妹子就更好了~
Java代码审计——Commons Collections6 HashSet
王嘟嘟的博客
12-15 1132
0x00 前言 cc6主要还是c部分的利用,就是触发LazyMap的问题。 0x01 HashSet cc6中最主要的就是将TiedMapEntry的调用。HashMap的put调用hash然后调用hashcode可以触发 TiedMapEntry的hashCode,然后调用HashMap.put从而触发整条链 1.HashMap 首先来看HashMap中的hashcode hashcode在hash方法中进行了调用 hash在多个方法中进行了调用,这里以put为例 那么我们的问题就是如何去触发这个pu
存在反序列化漏洞的框架有哪些
07-11
2. Apache Commons CollectionsApache Commons Collections是一个常用的Java工具库,在较旧的版本中存在反序列化漏洞,如CVE-2015-7501。 3. Java RMI(远程方法调用):Java RMI是Java中的远程调用机制,也存在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值