java安全(七) 反序列化3 CC利用链 TransformedMap版

原创 已于 2022-08-06 06:22:55 修改
· 3.7k 阅读 · 4 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全漏洞 #web安全 #java #反序列化 #cc利用链

于 2022-04-21 15:02:47 首次发布
本文介绍了Java反序列化中CommonCollections的TransformedMap利用链,通过图解和代码示例详细阐述了如何利用TransformedMap、Transformer、ConstantTransformer、InvokerTransformer和ChainedTransformer执行命令。简化后的demo展示了不依赖反射的CC利用链执行流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

给个关注?宝儿!
给个关注?宝儿!
给个关注?宝儿!

目录

众所周知,CommonCollections利⽤链是作为反序列化学习不可绕i过的一关

图解

先挂一张wh1te8ea的利用链图解,非常直观!
在这里插入图片描述

代码demo

分析:

代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解

demo代码:

package test.org.vulhub.Ser;



import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
import java.util.HashMap;
import java.util.Map;

public class CommonCollections1 {
   
    public static void main(String[] args) throws Exception {
   
        Transformer[] transformers = new Transformer[]
最低0.47元/天 解锁文章
Java反序列化利用篇 | CC6分析(通用CC
哦 卷!
09-21 1501
构造方法的第二个参数用不到,所以随意传入进行,但是重要的是它接受一个Object对象,而这个对象的类需要实现Serializable接口,如果不是,则后续的序列化不能成功。属性设置为空的map对象(除上面创建的lazyMap都行),则最终就不会触发到恶意代码 (当然其他的也行:只要保证整个子到不了恶意代码就行)。方法在反序列化的时候会被调用,因此我们只需要创建一个HashMap对象,然后序列化即可。第2步将map属性设置为一个空的map对象(除上面创建的lazyMap都行)对象中的内容不完整呢?
JAVA安全—FastJson反序列化&利用跟踪&autoType绕过
2301_76227305的博客
02-07 1669
目前主流公开的利用都进行了分析,后续如果有其它的条,再慢慢分析吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
JAVA反序列化之CommonCollections1利用
javaYY_的博客
07-08 325
之前简单学习了JAVA反序列化和URLDNS这条利用,讲过的基础就不再赘述了,今天来学习CommonCollections这条利用。由于这条相对于URLDNS比较复杂,为了更容易理解,所以首先采用P牛精简后的一段DEMO来理解这条利用:DEMO1 1package Commoncollections1; 2import org.apache.commons.collections.Transformer; 3import org.apache.commons.collections.funct
Java Shiro反序列化CommonsCollections利用分析
qq_44192006的博客
04-24 980
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
transform TransformedMap利用
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
01-25 625
引入环境: <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </dependency> <dependency> <groupId>commons-collectio
Java反序列化调用
GalaxySpaceX的博客
09-19 572
Java反序列化调用分析
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 1816
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
java安全 反序列化()
sechelper的博客
12-07 744
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
Java反序列化利用篇 | URLDNS
哦 卷!
09-21 996
如果一个序列化的hashMap对象中存在一个URL对象,则在进行反序列hashMap对象的时候,就会触发URL对象的hashCode()方法,进而触发DNS请求。在put时不触发url的hashCode方法,这个显然也不行,只要put执行,hash()会执行,hashCode()必然执行,(除非key为空,但是不现实)。原因其实很简单,反序列化之前,hashMap对象存在URL对对象,但是URL对象的hashCode不是-1,因此反序列化时,执行不到。如果调用了URL对象的hashCode,则会调用。
Java反序列化之URLDNS
m0_62466350的博客
05-28 922
URLDNSjava原生态的一条利用,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么本限制。不限制jdk本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用,只能发起DNS请求,并不能进行其他利用这条路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
C20220511的博客
06-24 1221
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。...
Apache commons-collections反序列化漏洞(TransformedMap利用)
qq_43936524的博客
04-10 650
文章目录Commons-collections概述InvokerTransformer反射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8) Commons-collections概述 官网对Commons-collections的说明 Java commons-collections是JDK 1.
Java原生反序列化漏洞利用(URLDNS)
m0_55994898的博客
08-03 425
反序列化漏洞指在代码中存在不安全反序列化操作(可控的序列化数据流入了反序列化方法中),在绝大多数编程语言中通常都有序列化/反序列化的功能(例如PHP,Java,Python),在序列化/反序列化的过程中通常会自动调用一些固定的方法,在PHP中序列化/反序列化时会调用对应类中的。
Java安全学习笔记--反序列化利用CC1(1)
m0_64685672的博客
01-16 1149
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 反射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
[Java反序列化]CommonsCollections1利用学习()
feng的博客
08-14 497
前言 白天学习了CommonsCollections1的TransformedMap,感觉打开了新世界的大门,所以晚上学习了LazyMap,感觉也没那么难理解,可能是因为我在看CC之前已经把基础知识都给过了一遍叭,所以才没那么困难。 环境 <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>com
6-java安全——java反序列化漏洞利用
网络安全
07-01 4633
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
Java反序列化利用篇 | CC1_全网最菜的分析思路【本系列文章的分析重点】
哦 卷!
08-30 2402
提前了解下,后面分析时不晕!!反序列化的AnnotationInvocationHandler对象中存在很多其他对象,存储在不同对象的属性中,反序列时会被使用。AnnotationInvocationHandler对象的属性Map memberValues的值为TransformedMapTransformedMap对象的属性Transformer valueTransformer的值为ChainedTransformer;
java安全】原生反序列化利用JDK7u21
leekos的博客,分享web安全相关知识~
08-03 3702
进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的本在使用这条利用时,需要设置jdk为jdk7u21。
Java安全学习笔记--反序列化利用CC7
m0_64685672的博客
01-27 1541
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 Hashtable 和HashMap很相似,使用地址法解决哈希冲突,线程安全 Cc7和cc6差不多,cc7使用Hashtable来触发LazyMap的get方法,比cc6的稍微复杂一些。 利用核心 final Transformer chainedTransformer= new ChainedTransformer(new Transformer[0]); Transfo
java CC 反序列化利用
最新发布
03-11
### Java Commons Collections 反序列化利用 CVE 漏洞分析 #### 背景介绍 Java中的反序列化功能允许对象在网络传输或者存储介质之间转换成字节流并恢复回原状。然而,如果应用程序在不受信任的数据源上执行反序列化操作,则可能被恶意构造的对象所利用,进而触发任意代码执行等问题。 #### Apache Commons Collections 漏洞概述 Apache Commons Collections 是一个广泛使用的第三方库,在本小于等于3.2.1时存在严重的反序列化漏洞[^2]。该漏洞使得攻击者能够创建特制的输入数据来操纵程序逻辑,最终实现远程代码执行的目的。 #### 关键类与调用条解析 针对`CommonsCollections`组件内的多个类可以构建出不同的gadget chain(工具),这些条通常涉及以下几种类: - **Transformers系列**:如 `ConstantTransformer`, `InvokerTransformer` 等用于定义特定行为变换器; - **TiedMapEntry**: 实现了 Map.Entry 接口,并且其getValue方法会触发之前设置好的transformer; - **LazyMap**: 当尝试获取不存在key对应的value时,它会自动计算这个值; 当上述组件按照一定顺序组合起来形成完整的调用路径之后就构成了所谓的“利用”。例如,在某些情况下可以通过精心设计的输入让 LazyMap 的 getValue 方法间接调用了 InvokerTransformer 中预设的方法名参数,从而达到控制目标进程的效果[^1]。 #### POC 构造思路 对于具体的 Proof Of Concept (POC),一般遵循如下模式: 1. 创建一系列必要的 Transformer 对象实例。 2. 使用 TiedMapEntry 将最后一个 transformer 和其他部分连接在一起。 3. 利用 HashMap 或 ArrayList 来承载整个结构体作为外部可见载体。 4. 最终将此复合型实体传递给待测系统的某个入口点完成实际攻击过程[^3]。 以下是基于以上描述的一个简单示例代码片段展示如何组装这样的payload: ```java // 定义所需的各种transfomer... Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}), ... }; // 构建tied entry关联到invoker transformer的结果 Map innerMap = new HashMap(); innerMap.put(key,value); Map outerMap = LazyMap.decorate(innerMap,new ChainedTransformer(transformers)); Map.Entry tiedEntry = Maps.immutableEntry(key,tiedValue); // 准备好用来发送出去的实际负载形式 Object payload = new HashMap(); ((Map)payload).put(tiedEntry,"whatever"); ``` 请注意这只是一个简化的概念证明演示,真实环境中还需要考虑更多细节因素才能成功实施此类攻击。 #### 影响范围及修复建议 受影响的产品和服务非常广泛,特别是那些依赖于旧本 commons-collections 库的应用程序都可能存在风险。官方已经发布新本解决了这个问题,因此强烈建议开发者尽快升级至最新稳定发行以消除安全隐患[^4]。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1gpig安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值