¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión del PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
En varios lugares puedes encontrar una carga útil de deserialización de Java que utiliza transformadores de Apache common collections como la siguiente:
Si no sabes nada sobre cargas útiles de deserialización en Java, podría ser difícil entender por qué este código ejecutará una calculadora.
En primer lugar, debes saber que un Transformer en Java es algo que recibe una clase y la transforma en otra diferente.
También es interesante saber que la carga útil que se está ejecutando aquí es equivalente a:
Entonces, ¿cómo se presenta el primer payload equivalente a esas líneas de comando "simples"?
Primero que nada, puedes notar en el payload que se crea una cadena (array) de transformaciones:
String[] command = {"calc.exe"};finalTransformer[] transformers =newTransformer[]{//(1) - Get gadget Class (from Runtime class)newConstantTransformer(Runtime.class),//(2) - Call from gadget Class (from Runtime class) the function "getMetod" to obtain "getRuntime"newInvokerTransformer("getMethod",newClass[]{ String.class,Class[].class},newObject[]{"getRuntime",newClass[0]}),//(3) - Call from (Runtime) Class.getMethod("getRuntime") to obtain a Runtime ojectnewInvokerTransformer("invoke",newClass[]{Object.class,Object[].class},newObject[]{null,newObject[0]}),//(4) - Use the Runtime object to call exec with arbitrary commandsnewInvokerTransformer("exec",newClass[]{String.class},command)};ChainedTransformer chainedTransformer =newChainedTransformer(transformers);
Si lees el código, notarás que si de alguna manera encadenas la transformación del array, podrías ejecutar comandos arbitrarios.
Entonces, ¿cómo se encadenan esas transformaciones?
En la última sección del payload se puede ver que se crea un objeto Map. Luego, se ejecuta la función decorate desde LazyMap con el objeto map y los transformers encadenados. A partir del siguiente código se puede ver que esto hará que los transformers encadenados se copien dentro del atributo lazyMap.factory:
protectedLazyMap(Map map,Transformer factory) {super(map);if (factory ==null) {thrownewIllegalArgumentException("Factory must not be null");}this.factory= factory;}
Y luego se ejecuta el gran final: lazyMap.get("anything");
Este es el código de la función get:
publicObjectget(Object key) {if (map.containsKey(key) ==false) {Object value =factory.transform(key);map.put(key, value);return value;}returnmap.get(key);}
Y este es el código de la función transform
publicObjecttransform(Object object) {for (int i =0; i <iTransformers.length; i++) {object = iTransformers[i].transform(object);}return object;}
Entonces, recuerda que dentro de factory habíamos guardado chainedTransformer y dentro de la función transform estamos pasando por todos esos transformers encadenados y ejecutándolos uno tras otro. Lo curioso es que cada transformer está utilizando objectcomo entrada y el objeto es la salida del último transformer ejecutado. Por lo tanto, todos los transformadores están encadenados ejecutando la carga útil maliciosa.
Resumen
Al final, debido a cómo lazyMap gestiona los transformers encadenados dentro del método get, es como si estuviéramos ejecutando el siguiente código:
Ten en cuenta que aquí se explicaron los gadgets utilizados para la carga útil de ComonsCollections1. Pero se dejó sin explicar cómo comienza a ejecutarse todo esto. Puedes ver aquí que ysoserial, para ejecutar esta carga útil, utiliza un objeto AnnotationInvocationHandler porque cuando este objeto se deserializa, invocará la función payload.get() que ejecutará toda la carga útil.
Java Thread Sleep
Esta carga útil podría ser útil para identificar si la web es vulnerable, ya que ejecutará una pausa si lo es.
¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión del PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
