apache-commons-collections6反序列化链分析

已于 2022-03-31 20:06:48 修改
阅读量459 收藏
点赞数
分类专栏: 代码审计 java安全 文章标签: apache java 开发语言
于 2021-12-02 19:01:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121684010
版权

apache-commons-collections6反序列化链分析

apache-commons-collections6反序列化链利用的也是通过TiedMapEntry.getValue方法调用一系列的transform方法执行系统命令的,下面就分析分析这条链

复现环境

JDK7+CommonsCollections1

漏洞分析

看到CommonsCollections6类的getObject方法,前面是很熟悉的Transformer数组构造,数组构造和ACC5也是一样的,这里直接在实例化ChainedTransformer对象的时候把Transformer数组作为参数传入了,而不是通过反射传入,不过问题都不大
image-20211202170054941
然后实例化HashMap、LazyMap对象,并把这两个对象作为参数实例化TiedMapEntry对象,这里也很熟悉,经过这些实例化操作,TiedMapEntry对象的this.map值为LazyMap对象,
image-20211202170240999
这时候只要调用到TiedMapEntry.getValue方法就可以调用一系列的transform方法执行系统命令了,至此,前面的都和ACC5链一样,那么下面看看怎么构造才能调用到TiedMapEntry.getValue方法
image-20211202170343158
实例化一个容量为1的HashSet对象,并把foo字符串添加进去占位,再通过反射获取HashSet对象的map属性的Field对象,并赋值到f变量,然后通过get方法获取到属性值并赋值到innimpl变量
image-20211202171941180
HashSet对象的map属性为一个HashMap对象,所以innimpl变量就是一个HashMap对象
image-20211202170657886
之后反射获取HashMap的table属性的Field对象,并赋值给f2变量
image-20211202171535849
HashMap的table属性字段为Node类,Node是HashMap的一个内部类
image-20211202171605101
再反射获取Entry属性赋值到node变量,也就是node变量就是HashMap$Node内部类
image-20211202172714716
反射获取HashMap$Node内部类的key字段的Field对象,并把这个字段的key属性赋值为TiedMapEntry对象,最后返回的是HashSet对象
image-20211202172858042
上面的一系列操作就是把HashSet对象中的map属性对象(这属性是一个HashMap对象)里面的Node内部类的key属性赋值为TiedMapEntry对象(当HashSet对象中的map属性为HashMap对象时,HashSet.add方法中添加的元素就是存储在HashMap对象的key属性中的)

跟进HashSet.readObject方法,先调用默认的defaultReadObject方法保证反序列化操作的正常进行,然后实例化一个HashMap对象赋值给map变量,再for循环用map.put方法对map变量赋值。
image-20211202173539328
跟进put方法,注意put方法的参数e是内部Node类的key属性,也就是TiedMapEntry对象,put方法调用hash方法对TiedMapEntry对象进行处理。这里为什么参数e是内部Node类的key属性呢?跟进一下HashSet.writeObject方法中的,得知在调用HashSet.writeObject方法序列化对象的时候通过s.writeObject写入的就是TiedMapEntry对象,那么反序列化时s.readObject当然读取到的也就是TiedMapEntry对象
image-20211202173802744
跟进hash方法,其调用k.hashCode方法,也就是调用TiedMapEntry.hashCode方法
image-20211202174242507
跟进TiedMapEntry.hashCode方法,其调用getValue方法。自此,就调用到TiedMapEntry.getValue方法了,进而调用一系列transform方法执行系统命令
image-20211202183332857

总结

在这条链中要注意的地方有两个

当HashSet的map属性为HashMap对象时,HashSet.put方法添加的元素是存储在HashSet的map属性对象的内部Node类的key属性中的,所以在HashSet.readObject方法中,map.put的参数e为key属性,也就是构造payload时指定的TiedMapEntry对象

HashSet对象的map属性是transient修饰符修饰的,但是HashSet对象的writeObject方法和readObject方法手工读取和写入了map属性,所以可以成功序列化和反序列化

0x6b79
关注
专栏目录
CommonsCollection6反序列化链学习
m0_56069948的博客
04-04 888
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 CommonsCollection6 1、前置知识 1.1、HashSet HashSet 基于 HashMap 来实现的,是一个不允许有重复元素的集合。继承了序列化和集合 构造函数参数为空的话创建一个HashMap(),有一个参数的情况下,要创建指定容量的初始数值的哈希集合。
java--commoncollections6 反序列化利用学习
zyer
05-12 293
总结 上周花了一周的时间学习commoncollections1,对java反序列化利用好像有一丝丝的理解了。 暂时的思路就是:首先寻找存在对应方法的类,LazyMap-->get,TransformedMap-->setValue,put 从寻找一个存在readObject方法的类出发,通过寻找其它Object导致最后能触发上面的方法。 问题所在 从commoncollections1的学习发现,这条利用链对jdk版本有限制,高版本的jdk使用不了,具体原因就是在Java 8u71
CommonsCollections6分析
笑花大王
01-02 415
CommonsCollections6 LazyMap的漏洞触发在get和invoke中,完全没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#rea...
Commons-Collections6分析
Le1a's Blog
03-23 2168
Java反序列化
[Java反序列化]—CommonsCollections6
Sentiment的博客
05-27 1079
前言 在开始前先回顾了一下之前的CommonsCollections1和URLDNS,因为本篇跟之前有一定联系,其次其实也是为了巩固下毕竟已经忘的差不多了。 接上篇,CC1的JDK版本需要低于8u71,AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以就需要找一个绕过高版本的利用链—CommonsCollections6 分析 cc1的LazyMap链:readObject()->invoker()->get(
apache-commons-collections1反序列化链分析
11-30 481
apache-commons-collections1反序列化链分析 调试环境 commins-collections3.1 JDK7 漏洞分析 在InvokerTransformer类中的transform方法存在一组反射方法执行 只要能控制参数input、iMethodName、iParamTypes和iArgs,就能调用Runtime.exec执行系统命令!iMethodName、iParamTypes和iArgs是通过构造方法赋值,很明显其值可控 现在要让input参数可控并且为Runtime对
apache-commons-collections2反序列化链分析
12-01 707
apache-commons-collections2反序列化链分析 在审计完apache-commons-collections1反序列化链之后,继续审计apache-commons-collections系列的反序列化链,下面根据ysoserial工具生成CommonsCollections2反序列化链payload的思路一步步分析 前景知识 ysoserial工具生成payload的时候用到了动态生成类和PriorityQueue队列,之前也没接触过,下面简单记录一下 JAVAssite动态生成类 百
apache-commons-collections7反序列化链分析
12-02 251
apache-commons-collections7反序列化链分析 apache-commons-collections7反序列化链也是对ACC1链的变形利用罢了,倒是其中涉及一些hash知识 复现环境 JDK7+CommonsCollections1 前景知识 这里要在前面说一下的是Hashtable.put方法新增的元素,是存储在Hashtable$Entry这个内部类里面的,那么获取元素也是在这个内部类获取的,这个跟进一下Hashtable.put方法就能知道 LazyMap.put方法新增的元素,
Java反序列化Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1533
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
commons-collections-3.2.2-
11-01
反序列化是将已序列化的对象状态还原为可执行对象的过程,如果这个过程没有得到适当的验证,攻击者可以构造恶意的序列化数据,导致安全问题。 为了修补这个漏洞,我们需要将WebLogic服务器中旧版本的Apache Commons...
CommonCollections6链分析
Demodd的博客
03-20 4247
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
Commons-Collections6 反序列化 从0开始手写exp
weixin_51458899的博客
04-11 2162
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
Java反序列化7-CommonsCollections6利用链分析
weixin_43263451的博客
07-30 392
利用hashSet.readobject触发hashmap.put()从而触发tiedmap.hashcode从而调用getvalue从而调用lazymap.get进而进入ChainedTransformer.tranform。ysoserial是利用hashset.readobject触发hashmap.put(),其实在hashmap.readobject中也会触发hashmap.put(),所以这里用的hashmap而不是hashset。hashset.add其实就是给其hashmap赋了个值。...
手工编写简化版CommonsCollections6,带你实现Java8全版本反序列化利用
离别歌
07-24 718
这是代码审计知识星球中《Java安全漫谈》的第十二篇文章。本文带大家编写一个简化版的CommonsCollections6利用链,代码量相比于ysoserial减少50%,能够让大家更好...
Apache Commons Collections 反序列化详细分析学习总结
weixin_30345055的博客
09-20 232
0x01.环境准备: Apache Commons Collections 3.1版本,下载链接参考: https://www.secfree.com/a/231.html jd jui地址(将jar包转化为java源码文件): https://github.com/java-https://www.secfree.com/a/231.html/jd-gui/releases...
Common-Collections 6
Christ1na的博客
09-26 374
这个利⽤链可以在Java 7和8的⾼版本触发,没有版本限制,所以通用性较强
java6安全站点_Java安全之Commons Collections6分析
weixin_39611725的博客
02-27 219
Java安全之Commons Collections6分析0x00 前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。在CC6链中也和CC5的利用链类似,但是CC6链中使用的是HashSet去触发LazyMap的get方法。而在CC5中使用的是BadAttributeValueExpException。0x01 POC分析这里还是去简化一下...
java--commoncollections6 续
zyer
05-12 167
上篇文章我们使用了HashSet作为反序列化函数的出发点,其实HashSet也可以作为出发点,我们使用HashSet构造payload package com.zyer; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.Co
Java反序列化(八)Common Collection 6分析
Vicl1fe的博客
09-26 355
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 java.io.Objec
如何利用Apache Commons Collection 6的反序列化链技术攻击Java应用?并请描述HashSet和HashMap在其中的作用。
最新发布
10-24
在深入理解如何利用Apache Commons Collection 6的反序列化链技术攻击Java应用之前,建议先阅读相关资料:《 CommonsCollection6反序列化链学习:HashSet和HashMap实现机制》。这份资料详细介绍了HashSet和HashMap的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值