JAVA反序列化深入学习(三):CommonsCollections1

原创 已于 2025-03-24 23:01:09 修改 · 1.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #网络 #安全 #反序列化

于 2025-03-24 20:18:22 首次发布

Apache Commons Collections 是一个扩展了 Java 标准库里的 Collection 结构的第三方基础库,它提供了很多强有力的数据结构类型并实现了各种集合工具类。作为 Apache 开源项目的重要组件,被广泛运用于各种 Java 应用的开发。

目录

JAVA环境

依赖版本

检查依赖配置

资源下载

前置知识

AbstractMapDecorator

TransformedMap

decorate

transformKey/transformValue

put

使用实例

LazyMap

decorate

get

使用实例

Transformer

InvokerTransformer - sink

transform

利用实例

ChainedTransformer - chain

transform

ConstantTransformer

攻击构造

sink & chain

kick-off

AnnotationInvocationHandler

构造方法

readObject

构造恶意Payload

基于TransformedMap

反序列化流程分析

基于LazyMap

总结

利用说明

Gadget 总结

调用链展示

基于TransformedMap

基于LazyMap

拓展知识点:动态代理

1. 动态代理的核心组件

2. 动态代理的工作流程

JAVA环境

java version "1.8.0_66"

Java(TM) SE Runtime Environment (build 1.8.0_66-b18)

Java HotSpot(TM) 64-Bit Server VM (build 25.66-b18, mixed mode)

Apache Commons Collections 依赖版本:Commons Collection 3.2.1

依赖版本

  • commons-collections : 3.1 - 3.2.1
  • TransformedMap - jdk < 8u71

检查依赖配置

确认项目中是否正确引入了 Apache Commons Collections 的依赖。如果使用的是 Maven,可以在 pom.xml 文件中添加以下依赖:

<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.2.1</version>
</dependency>

资源下载

前置知识

AbstractMapDecorator

首先 CC 库中提供了一个抽象类org.apache.commons.collections.map.AbstractMapDecorator,这个类是 Map 的扩展,并且从名字中可以知道,这是一个基础的装饰器,用来给 map 提供附加功能

被装饰的 map 存在于该类的属性中,并且将所有的操作都转发给这个 map

这个类有很多实现类,各个类触发的方式不同,重点关注:

  • TransformedMap
  • LazyMap
TransformedMap

org.apache.commons.collections.map.TransformedMap 类可以在一个元素被加入到集合内时

  1. 自动对该元素进行特定的修饰变换
  2. 具体的变换逻辑由 Transformer 来定义
  3. TransformerTransformedMap 实例化时作为参数传入

接下来看一下几个重点方法

decorate

TransformedMap 通过 decorate 函数将自定义的转换逻辑Transformer装饰到传入的map 中,Transformer分为keyTransformervalueTransformer,分别对应key和value的转换逻辑

public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    return new TransformedMap(map, keyTransformer, valueTransformer);
}

protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    super(map);
    this.keyTransformer = keyTransformer;
    this.valueTransformer = valueTransformer;
}
transformKey/transformValue

transformKey/transformValue方法中,会调用keyTransformer/valueTransformertransform方法,实际进行转换

protected Object transformKey(Object object) {
    if (keyTransformer == null) {
        return object;
    }
    return keyTransformer.transform(object);
}

protected Object transformValue(Object object) {
    if (valueTransformer == null) {
        return object;
    }
    return valueTransformer.transform(object);
}
put

调用 TransformedMapput 方法时,会触发transformKey/transformValue方法,从而触发transform方法,实际进行转换

public Object put(Object key, Object value) {
    key = transformKey(key);
    value = transformValue(value);
    return getMap().put(key, value);
}

当 TransformedMap 内的 key 或者 value 发生变化时,就会触发相应参数的 Transformertransform 方法,这里以put方法举例

使用实例
public static void main(String[] args) throws Exception {

    // 创建基础HashMap对象
    HashMap<Object, Object> map = new HashMap<>();
    map.put(1, "a");
    System.out.println("初始化map: " + map);

    // 创建一个Transformer对象,将输入的key转换为key + 1
    Transformer keyTransformer = input -> (Object) ((int) input + 1);
    // 创建一个Transformer对象,将输入的value转换为value + "1"
    Transformer valueTransformer = input -> input + "1";

    // 使用TransformedMap包装原始map对象
    Map transformedMap = TransformedMap.decorate(map, keyTransformer, valueTransformer);

    // 使用put触发transform()方法
    transformedMap.put(2, "b");
    System.out.println("transformedMap1: " + transformedMap);
    transformedMap.put(1, "c");
    System.out.println("transformedMap2: " + transformedMap);
    transformedMap.remove(1);
    System.out.println("transformedMap3: " + transformedMap);
}

LazyMap

org.apache.commons.collections.map.LazyMapTransformedMap 类似,差异在于

  • 调用get()方法时如果传入的 key 不存在,则会触发相应参数的Transformertransform()方法。

org.apache.commons.collections.map.DefaultedMapLazyMap 具有相同功能,同样是 get() 方法会触发 transform()方法

decorate

LazyMap 通过 decorate 函数将自定义的转换逻辑Transformer装饰到传入的map 中,Transformer只有factory,不分keyTransformervalueTransformer

public static Map decorate(Map map, Transformer factory) {
    return new LazyMap(map, factory);
}
protected LazyMap(Map map, Transformer factory) {
    super(map);
    if (factory == null) {
        throw new IllegalArgumentException("Factory must not be null");
    }
    this.factory = factory;
}
get

调用 LazyMap 的 get 方法时,如果装饰的 map 中不存在传入的key,会触发factorytransform方法,实际进行转换

public Object get(Object key) {
    // create value for key if key is not currently in the map
    if (map.containsKey(key) == false) {
        Object value = factory.transform(key);
        map.put(key, value);
        return value;
    }
    return map.get(key);
}
使用实例
public void test() {

    // 创建基础HashMap对象
    HashMap<Object, Object> map = new HashMap<>();
    map.put(1, "a");
    System.out.println("初始化map: " + map);
    
    // 创建一个Transformer对象,将输入的key转换为key + 1
    Transformer factory = input -> (Object) ((int) input + 1);

    // 使用TransformedMap包装原始map对象
    Map lazyMap = LazyMap.decorate(map, factory);

    System.out.println("LazyMap: " + lazyMap);
    System.out.println("LazyM
最低0.47元/天 解锁文章

200万优质内容无限畅学
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3869
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
Java小程序开发实例!docker和tomcat的区别
m0_57285455的博客
07-23 663
1部分:基础篇 第2部分:开发篇 第3部分:优化篇 第4部分:管理维护篇 感受: 其实我投简历的时候,都不太敢投递阿里。因为在阿里一面前已经过了字节的次面试,投阿里的简历一直没被捞,所以以为简历就挂了。 特别感谢一面的面试官捞了我,给了我机会,同时也认可我的努力和态度。对比我的面经和其他大佬的面经,自己真的是运气好。别人8成实力,我可能8成运气。所以对我而言,我要继续加倍努力,弥补自己技术上的不足,以及与科班大佬们基础上的差距。希望自己能继续保持学习的热情,继续努力走下去。 也祝愿各位
Java的commons-collections反序列化漏洞
午夜安全
04-29 3096
Java的commons-collections反序列化漏洞 开始正文之前,我们的口号是:代码很有趣,安全很重要。 1.漏洞描述 在Java开发中,我们经常会使用到commons-collections这个jar包,当它的版本小于或等于3.2.1时,存在反序列化和远程代码执行的漏洞。 2.漏洞详情 TransformedMap这个类的decorate函数可以将一个普通的Map转换为一个T...
Java Shiro反序列化CommonsCollections利用链分析
qq_44192006的博客
04-24 1006
本文主要分析CC1利用链,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用链的入口点)个步骤,讲述利用链的构建。纸上得来终觉浅,绝知此事要躬行。
Java反序列化漏洞Apache CommonsCollections分析
洋洋的小黑屋
05-17 609
Java反序列化漏洞Apache CommonsCollections分析 cc链,既为Commons-Collections利用链。此篇文章为cc链的第一条链CC1。而CC1目前用的比较多的有两条链,LazyMap和TransformedMap。在ysoserial工具中,利用的是LazyMap链,而我们此篇分析的则是TransformedMap链。 1.本文所需前置知识 java反序列化基础...
JAVA反序列化深入学习(九):CommonsCollections7与CC链总结
最新发布
Neolock的博客
03-29 1276
CC7 依旧是寻找 LazyMap 的触发点 CC6使用了 HashSet 而CC6使用了 Hashtable
JAVA反序列化深入学习(六):CommonsCollections4
Neolock的博客
03-28 1014
CC4 是 CC2 的一个变种: 用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer 再利用 InstantiateTransformer 实例化 TemplatesImpl 排列组合了属于是
JAVA反序列化深入学习(七):CommonsCollections5
Neolock的博客
03-28 1032
CC5跟之前几个CC链有点类似 依旧是 LazyMap 加 ChainedTransformer 的触发模式 但不再使用 AnnotationInvocationHandler 的动态代理来触发 LazyMap 的 get
JAVA反序列化深入学习(五):CommonsCollections3
Neolock的博客
03-27 684
CC3 官方描述为 CC1 的变种,其中能看到 CC1 和 CC2 的部分影子,但是部分技术细节并不相同
CommonCollections1反序列化利用链分析
道阻且长,行则将至
07-30 1411
文章目录前言CC1利用链CC1环境部署Java命令执行 前言 在前面的文章 JAVA代码审计之Shiro反序列化漏洞分析 中介绍了 Java 反序列化漏洞原理、并通过 IDEA 动态调试分析了 CVE-2016-4437 Apache Shiro 反序列化漏洞的程序存在可被用户控制的序列化数值的形成( RememberMe 字段使用的 Cookie = Base64(AES(Serializable(用户ID))))。 反序列化漏洞的成因在于应用程序把其他格式的数据(如字节流,XML 数据、JSON 格
JAVA反序列化之CommonCollections1利用链
javaYY_的博客
07-08 330
之前简单学习JAVA反序列化和URLDNS这条利用链,讲过的基础就不再赘述了,今天来学习CommonCollections这条利用链。由于这条链相对于URLDNS比较复杂,为了更容易理解,所以首先采用P牛精简后的一段DEMO来理解这条利用链:DEMO1 1package Commoncollections1; 2import org.apache.commons.collections.Transformer; 3import org.apache.commons.collections.funct
java反序列化漏洞解决建议,java反序列化漏洞之Apache CommonsCollections浅析
weixin_39925959的博客
03-15 856
主要从Commons Collections 包来浅析java反序列化漏洞成因。一、对象序列化对象序列化是一个用于将对象状态转换为字节流的过程,可以将其保存到磁盘文件中或通过网络发送到任何其他程序。通过实现java.io.Serializable接口,可以在Java类中启用可序列化。序列化简单实现例子如下:public class Student implements Serializable {...
理解Apache Commons Collections反序列化原理
公众号shadow sock7
02-19 1476
Apache Commons Collections反序列化原理 redrain大佬的这篇文章写这个原理写的非常详细: Lib之过?Java反序列化漏洞通用利用分析 涉及到两个大类: Map-> TransformedMap Transformer-> InvokerTransformer,ConstantTransformer,ChainedTransformer Apache ...
Apache Commons Collections 反序列化详细分析学习总结
weixin_30345055的博客
09-20 257
0x01.环境准备: Apache Commons Collections 3.1版本,下载链接参考: https://www.secfree.com/a/231.html jd jui地址(将jar包转化为java源码文件): https://github.com/java-https://www.secfree.com/a/231.html/jd-gui/releases...
修复weblogic的JAVA反序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1528
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
JAVA Apache-CommonsCollections 序列化RCE漏洞分析
u011066706的专栏
04-17 5774
0x00 漏洞背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。Apache Commons Collections这样的基础库非常多的Java应用都在用,
反序列化漏洞_ApacheCommonsCollections反序列化漏洞分析
weixin_39618339的博客
11-30 797
点击蓝字关注我们吧!环境搭建本文由“壹伴编辑器”提供技术JDK版本为为1.6,引入commons-collections-3.1.jar包,具体引入方法为:File -> Project Settings -> Modules -> Dependencies点击加号选择导入JARs包,再选择包的地址,点击apply成功引入。Poc():本文由“壹伴编辑器”提供技术分析...
apache-commons-collections1反序列化链分析
11-30 513
apache-commons-collections1反序列化链分析 调试环境 commins-collections3.1 JDK7 漏洞分析 在InvokerTransformer类中的transform方法存在一组反射方法执行 只要能控制参数input、iMethodName、iParamTypes和iArgs,就能调用Runtime.exec执行系统命令!iMethodName、iParamTypes和iArgs是通过构造方法赋值,很明显其值可控 现在要让input参数可控并且为Runtime对
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neolock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值