Apache Commons Collections 反序列化漏洞(CC链)深度分析<\/h1>

1. CC链概述<\/h2>
CC链是指利用Apache Commons Collections库中的某些特性构造的反序列化利用链，主要影响Commons Collections 3.1-3.2.1版本，在特定JDK版本(8u71之前)下可导致远程代码执行。<\/p>

1.1 CC链基本结构<\/h3>

CC链可分为两大部分：<\/p>

起点部分<\/strong>：依赖commons-collection的入口点<\/li>

commons-collection内部链<\/strong>：

中间点：LazyMap、TransformedMap等<\/li>
利用点(敏感点)：Transformer接口实现类<\/li> <\/ul> <\/li> <\/ol>
依赖关系可以是直接的，也可以是间接的(通过父类型依赖)。<\/p>
2. 利用条件与限制<\/h2>
2.1 主要限制条件<\/h3>

JDK版本限制<\/strong>：需要在8u71之前<\/li>
Commons Collections版本限制<\/strong>：3.1-3.2.1<\/li> <\/ol>
2.2 限制原因分析<\/h3>
导致这两个限制的主要原因是：<\/p>

AnnotationInvocationHandler<\/code>的变化(导致JDK版本限制)<\/li>
InvokerTransformer<\/code>的反序列化问题(导致Commons Collections版本限制)<\/li> <\/ul> 3. 典型利用链分析<\/h2> 3.1 CC0利用链<\/h3> 利用条件<\/strong>：<\/p> JDK版本在8u71之前<\/li> Commons Collections 3.1-3.2.1<\/li> <\/ul> 调用链<\/strong>：<\/p> ObjectInputStream.readObject() → AnnotationInvocationHandler.readObject() → TransformedMap.entrySet().iterator() → AbstractInputCheckedMapDecorator.MapEntry.setValue() → TransformedMap.checkSetValue() → ChainedTransformer.transform() <\/code><\/pre> 关键点分析<\/strong>：<\/p> AnnotationInvocationHandler.readObject()<\/code>直接调用memberValues.entrySet().iterator()<\/code><\/li> defaultReadObject()<\/code>将反序列化数据直接赋值给当前对象字段<\/li> memberValues<\/code>是TransformedMap<\/code>(继承自AbstractInputCheckedMapDecorator<\/code>)<\/li> var5<\/code>是AbstractInputCheckedMapDecorator.MapEntry<\/code>，因此能触发后续调用<\/li> <\/ol> 3.2 CC1利用链<\/h3> 利用条件<\/strong>：<\/p> JDK版本在8u71之前<\/li> Commons Collections 3.1-3.2.1<\/li> <\/ul> 调用链<\/strong>：<\/p> ObjectInputStream.readObject() → AnnotationInvocationHandler.readObject() → Map(Proxy).entrySet() → AnnotationInvocationHandler.invoke() → LazyMap.get() → ChainedTransformer.transform() → ConstantTransformer.transform() <\/code><\/pre> 关键点分析<\/strong>：<\/p> 使用动态代理机制，memberValues<\/code>是Proxy(Map)<\/code><\/li> 调用Map(Proxy).entrySet()<\/code>时会触发innerAnnotationInvocationHandler.invoke(...)<\/code><\/li> memberValues<\/code>是被代理的LazyMap<\/code>，最终调用LazyMap.get()<\/code><\/li> CC3与CC1本质相同，只是最终利用的Transformer<\/code>不同<\/li> <\/ol> 4. JDK 8u71+的防御机制<\/h2> 4.1 对CC0的防御<\/h3> 在JDK 8u71+中(以jdk_1.8_422为例)：<\/p> 不再调用AbstractInputCheckedMapDecorator.MapEntry.setValue()<\/code><\/li> 改为调用LazyMap.getKey()<\/code>和LazyMap.getValue()<\/code><\/li> 将键值对存入LinkedHashMap<\/code>，破坏原有调用链<\/li> <\/ol> 4.2 对CC1的防御<\/h3> 反序列化是递归的<\/li> 执行outerAnnotationInvocationHandler<\/code>的s.readFileds()<\/code>时：底层调用innerAnnotationInvocationHandler.readObject()<\/code><\/li> fields.get("memberValues",null)<\/code>返回LazyMap<\/code><\/li> UnsageAccessor.setMemberValues(this,mv)<\/code>将memberValues<\/code>改为LinkedHashMap<\/code><\/li> <\/ul> <\/li> 最终调用LinkedHashMap.get()<\/code>而非LazyMap.get()<\/code>，阻断调用链<\/li> <\/ol> 5. Commons Collections版本限制分析<\/h2> InvokerTransformer<\/code>在Commons Collections 3.2.2+版本中无法直接反序列化，这是导致版本限制的主要原因。<\/p> 6. 总结<\/h2> CC链反序列化漏洞的核心在于：<\/p> 利用AnnotationInvocationHandler<\/code>作为入口点<\/li> 通过TransformedMap<\/code>或LazyMap<\/code>作为中间桥梁<\/li> 最终调用Transformer<\/code>实现类执行任意代码<\/li> JDK 8u71+通过修改AnnotationInvocationHandler<\/code>的行为和数据结构阻断攻击链<\/li> Commons Collections 3.2.2+通过限制InvokerTransformer<\/code>的反序列化能力增强安全性<\/li> <\/ol> 理解这些关键点对于分析Java反序列化漏洞和安全防护具有重要意义。<\/p>

Apache Commons Collections 反序列化漏洞(CC链)深度分析<\/h1>

1. CC链概述<\/h2> CC链是指利用Apache Commons Collections库中的某些特性构造的反序列化利用链，主要影响Commons Collections 3.1-3.2.1版本，在特定JDK版本(8u71之前)下可导致远程代码执行。<\/p>

2. 利用条件与限制<\/h2>

3. 典型利用链分析<\/h2>

4. JDK 8u71+的防御机制<\/h2>

5. Commons Collections版本限制分析<\/h2> InvokerTransformer<\/code>在Commons Collections 3.2.2+版本中无法直接反序列化，这是导致版本限制的主要原因。<\/p>

1. CC链概述<\/h2>
CC链是指利用Apache Commons Collections库中的某些特性构造的反序列化利用链，主要影响Commons Collections 3.1-3.2.1版本，在特定JDK版本(8u71之前)下可导致远程代码执行。<\/p>

5. Commons Collections版本限制分析<\/h2>
`InvokerTransformer<\/code>在Commons Collections 3.2.2+版本中无法直接反序列化，这是导致版本限制的主要原因。<\/p>`