apache-commons-collections7反序列化链分析

已于 2022-03-31 20:04:20 修改
阅读量240 收藏
点赞数 1
分类专栏: 代码审计 java安全 文章标签: apache java 开发语言
于 2021-12-02 23:47:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121689261
版权
本文分析了Apache Commons Collections 7的反序列化链问题,重点讨论了漏洞的背景知识、分析过程及总结。在复现环境中,通过JDK7和CommonsCollections1,揭示了LazyMap类的equals和hashCode方法在反序列化过程中的关键作用,以及如何构造payload以触发系统命令执行。最后,文章提到了构造序列化链后为何需要删除特定键值对的原因。
摘要由CSDN通过智能技术生成

apache-commons-collections7反序列化链分析

apache-commons-collections7反序列化链也是对ACC1链的变形利用罢了,倒是其中涉及一些hash知识

复现环境

JDK7+CommonsCollections1

前景知识

这里要在前面说一下的是Hashtable.put方法新增的元素,是存储在Hashtable$Entry这个内部类里面的,那么获取元素也是在这个内部类获取的,这个跟进一下Hashtable.put方法就能知道

LazyMap.put方法新增的元素,是调用LazyMap.map.put方法新增的,当map属性为HashMap对象的时候,新增的元素是存储在HashMap$Node内部类里面的,具体调试一下LazyMap.put方法便知,注意LazyMap类没有put方法,调用的是其父类的put方法

漏洞分析

看到CommonsCollections7类的getObject方法,前面是一样的,很熟悉的实例化ChainedTransformer对象,Transformer数组的构造也和前面的链一样,后面再通过反射进行赋值
image-20211202222839185
接下来实例化两个HashMap对象和两个

最低0.47元/天 解锁文章
0x6b79
关注
专栏目录
apache-commons-collections1反序列化链分析
11-30 471
apache-commons-collections1反序列化链分析 调试环境 commins-collections3.1 JDK7 漏洞分析 在InvokerTransformer类中的transform方法存在一组射方法执行 只要能控制参数input、iMethodName、iParamTypes和iArgs,就能调用Runtime.exec执行系统命令!iMethodName、iParamTypes和iArgs是通过构造方法赋值,很明显其值可控 现在要让input参数可控并且为Runtime对
[Java反序列化]—CommonsCollections7(CC完结篇)
Sentiment的博客
06-05 1216
CC7其实又跟CC5差不多,也是换了另一种方式来调用 流程 还是现根据链子先看下流程吧。中重写了,最后会调用 中,调用了方法— 所以就要看下哪里的()有问题,找到了类 最后还会retrun map.equals(object);,所以就要找下个,在中找到了 最后调用了方法,所以如果构造m为LazyMap对象,就可以成功向下执行 分析 在网上找了一些分析笔记但感觉分析的都不是很详细,而且这里涉及很多数据结构的内容,所以我这里也是尽可能的详细分析一下首先在执行readObject后,会在1173行对赋值,赋值后
Commons-Collections篇-CC7链
最新发布
鸣蜩十四的博客
07-09 1021
和CC5反序列化链相似,CC7也是后半条LazyMap执行命令链不变,但是中间过程通过AbstractMap.equals()触发LazyMap.get()方法。
Java安全—CommonsCollections7
XINO
08-17 524
Hashtable在调用put方法添加元素的时候会调用equals方法判断是否为同一对象,而在equals中会调用LazyMap的get方法添加一个元素(yy=yy),如果lazyMap2和lazyMap1中的元素个数不一样则直接返回false,那么也就不会触发漏洞。所以我们可以这样:在添加第二个元素后,lazyMap2需要调用remove方法删除元素。...
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 1975
Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
java--CommonsCollections7 学习
zyer
05-31 246
根据之前的学习,发现看cc7应该很简单了。(环境:JDK8u311) cc6使用了HashMap和HashSet,cc7使用的是Hashtable Hashtable 与 HashMap 十分相似,是一种 key-value 形式的哈希表,但仍然存在一些区别: HashMap 继承 AbstractMap,而 Hashtable 继承 Dictionary ,可以说是一个过时的类。 两者内部基本都是使用“数组-链表”的结构,但是 HashMap 引入了红黑树的实现。 Hasht
apache-commons-collections2反序列化链分析
12-01 696
apache-commons-collections2反序列化链分析 在审计完apache-commons-collections1反序列化链之后,继续审计apache-commons-collections系列的反序列化链,下面根据ysoserial工具生成CommonsCollections2反序列化链payload的思路一步步分析 前景知识 ysoserial工具生成payload的时候用到了动态生成类和PriorityQueue队列,之前也没接触过,下面简单记录一下 JAVAssite动态生成类 百
Java反序列化Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1503
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
commons-collections-3.2.2-
11-01
反序列化是将已序列化的对象状态还原为可执行对象的过程,如果这个过程没有得到适当的验证,攻击者可以构造恶意的序列化数据,导致安全问题。 为了修补这个漏洞,我们需要将WebLogic服务器中旧版本的Apache Commons...
【技术分享】Apache-Commons-Collections反序列化
weixin_44476888的博客
05-02 1216
上篇文章讲到了Spring-tx组件出现的问题,通过构造RMI和JNDI来供服务端下载恶意class并通过反序列化进行RCE,这次研究一下另外一种漏洞,利用Java射机制来执行任意命令,并且通过反序列化进行RCE。本次分析的漏洞是2015年出现的Apache-commons-collections组件出现的反序列化问题,这个包为Java提供了很多基础常用且强大的数据结构,方便开发。 0x0...
Apache Commons Collections
04-05
Apache Commons Collectionscommons-collections-3.2.1和commons-collections4-4.0,含jar包及源码和api文档。
Apache Commons Collections 4.0 API+jar包
06-26
这是在官网上下的,Apache的第三方api,和源码都有,
java7安全站点_Java安全之Commons Collections7分析
weixin_32323455的博客
02-26 191
Java安全之Commons Collections7分析0x00 前言本文讲解的该链是原生ysoserial中的最后一条CC链,但是实际上并不是的。在后来随着后面各位大佬们挖掘利用链,CC8,9,10的链诞生,也被内置到ysoserial里面。在该链中其实和CC6也是类似,但是CC7利用链中是使用Hashtable作为反序列化的入口点。0x01 POC分析package com.test;imp...
CommonsCollections 3~7分析
qq_31065143的博客
04-05 351
CommonsCollections 3~7分析 前言 看完了CC1和CC2后面的内容都简单的多了,所以就一起分析一下。 CC3 测试环境 jdk1.7 Commons Collections 4.0 漏洞分析 cc3和cc1和cc2蛮像的,就是cc1+cc2的变种,在cc3中引入了新的类TrAXFilter和InstantiateTransformer。在cc2中是利用InvokeTransform触发newTransFormer进行命令执行的,而在cc3中,则是通过TrAXFilter触发NewTr
Java代码审计——Commons Collections7 HashTable
王嘟嘟的博客
12-15 1182
0x00 前言 最后的这几条链基本上就都是第三段的利用方式了,基本上拼接到A和B就可以了。 0x01 HashTable 这里是通过HashTable来进行触发LazyMap的。首先肯定是要来看一下HashTable的readObject方法。 在HashTable中readObject方法中,调用了reconstitutionPut方法,在reconstitutionPut中最主要的是map,而map是Entry类型的,我们可以通过put方式进行赋值 poc: hashtable.put(lazyMa
apache-commons-collections5反序列化链分析
12-02 728
apache-commons-collections5反序列化链分析 apache-commons-collections5反序列化链就是ACC1 LazyMap攻击链的利用,都是学过的知识点 复现环境 JDK7+CommonsCollections1 漏洞分析 看到CommonsCollections5类的getObject方法,实例化transformerChain类,并进行占位,后面再射赋值为Transformer数组,Transformer数组很熟悉,构造跟ACC1链一样,Transform
apache-commons-collections3反序列化链分析
12-01 307
apache-commons-collections3反序列化链分析 调试环境 JDK7+commons-collections-3.1.jar apache-commons-collections3反序列化链其实利用的地方跟ACC1链一样,只是构造payload的方法有所不同罢了,apache-commons-collections3反序列化链的payload构造利用到了apache-commons-collections1、apache-commons-collections3反序列化链构造的知识点 下
Java安全』反序列化-CC7反序列化漏洞POP链分析_ysoserial CommonsCollections7 PoC分析
Ho1aAs‘s Blog
03-13 2921
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. AbstractMap.equals()调用m.get()3. AbstractMapDecorator.equals()调用this.map.equals4. HashTable反序列化触发e.key.equals(key)为什么最后要lazyMap2.remove("yy")?为什么多了一个键yy?为什么yy和zZ的hash相同?POP链完 前言 CC7是另一种
Java反序列化入门:URLDNS链与ysoserial利用
ysoserial是一个重要的工具,它在2015年因Apache Commons Collections库的反序列化远程命令执行漏洞而闻名。这个工具集成了多种Java反序列化payload,允许攻击者选择合适的利用链来构造恶意数据,然后通过发送这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值