网站首页 > java教程 正文
来源:https://tinyurl.com/y3nzjpmn
Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。
1.反序列化原因
如果Java应用对用户输入的内容做了序列化,但是用户输入的内容是不可信的数据,进行了恶意构造,那么在对恶意构造的数据做反序列化处理,就会产生的非预期对象,在这个过程中就可能带来任意代码执行。
2.漏洞原理
在进行Map转换时,修改Map中的key和value会调用接口,触发内置的transform来获取类名、方法对象进行反射,其中传入的方法名,参数类型等都是可控的,那么我们就可以构造ChainedTransformer来进行反射,调用任意函数
3.影响版本
commons-collections<=3.2.1存在漏洞
4.下载地址
本文对commons-collections-3.2.1进行漏洞分析,下载地址:https://github.com/SQYY/Apache-Commons-Collections/raw/master/commons-collections-3.2.1-1.0.0.jar
5.漏洞分析
在 org/apache/commons/collections/map/TransformedMap.class中可以看到decorate()方法,它是将一个Map对象,转换成TransformedMap对象。
可以看到它会把它的三个参数带入到TransformedMap方法中,并返回实例化的结果。而在这个方法中,如上图所示,就是将Map中的key和value转换成TransformedMap中的key和value
而 transform是一个接口,即可实现数据变换的操作。当Map中的任意项的Key或者value被修改,这个接口就会被调用。
在 org/apache/commons/collections/functors/InvokerTransformer.class中,也是我们核心的关键点,可以看到它实现了transform和Serializable这两个接口
可以看到transform中,首先会getClass获取传入参数的类名,再通过getMethod获取方法对象,最后调用invoke进行反射
就是说只需要传入方法名、参数类型和参数,我们就可以通过Java的反射机制可以调用任意函数。
5.修复方式
commons-collections升级到3.2.2或更高版本。
通过maven配置更新commons-collections,使用3.2.2或者最新版本,参考如下
我自己是一名从事了多年开发的Java老程序员,辞职目前在做自己的Java私人定制课程,今年年初我花了一个月整理了一份最适合2019年学习的Java学习干货,从最基础的JavaSE到Spring各种框架都有整理,送给每一位Java小伙伴,想要获取的可以关注我的头条号并在后台私信我:Java,即可免费获取。
猜你喜欢
- 2024-11-04 快速处理Kafka反序列化错误(kafka自定义反序列化)
- 2024-11-04 Java代码示例:如何使用 serialVersionUID处理序列化
- 2024-11-04 Java 序列化机制(java序列化过程)
- 2024-11-04 SpringBoot整合Grpc实现跨语言RPC通讯
- 2024-11-04 php和java及python3.10的序列化和反序列化
- 2024-11-04 Java修炼终极指南:133 避免在反序列化时发生DoS攻击
- 2024-11-04 聊聊fastjson反序列化的那些坑(fastjson反序列化原理)
- 2024-11-04 Java序列化 3 连问,这太难了吧(在线序列化工具)
- 2024-11-04 避免使用Java序列化(serializable 防止序列化)
- 2024-11-04 试验java反序列化炸弹碰到的一个HashSet问题
你 发表评论:
欢迎- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)