Java反序列化利用链篇 | CC6链分析(通用版CC链)

已于 2024-09-22 20:44:11 修改
阅读量1.4k 收藏 25
点赞数 18
分类专栏: JAVA安全 文章标签: java 反序列化链 反序列化 调用链 CC链
于 2024-09-21 19:40:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45305211/article/details/142422443
版权

文章目录

系列篇其他文章,推荐顺序观看~

CC6和CC1之间的区别

在CC1的LazyMap链中,调用链如下:

AnnotationInvocationHandler.readObject()
Map(Proxy).entrySet()
LazyMap.get()
ChainedTransformer.transform()
InvokerTransformer.transform()
Runtime.exec()

而在CC1链中,对CommonsCollections和jdk版本是有限制的。

而CC6链不受版本影响,更具通用性。

其调用链为:

HashMap.readObject()
HashMap.hash()
TiedMapEntry.hashCode()
TiedMapEntry.getValue()
LazyMap.get()
ChainedTransformer.transform()
InvokerTransformer.transform()
Runtime.exec()

其和CC1的不同点在于,入口类不同,通过

HashMap.readObject()
HashMap.hash()
TiedMapEntry.hashCode()
TiedMapEntry.getValue()

调用了LazyMapget()方法。

CC6的调用链

  • HashMap.readObject()方法调用了HashMap.hash()方法:

  • HashMap.hash()方法调用了key.hashCode()方法,如果要使调用的是TiedMapEntry.hashCode()方法,需要使key参数为TiedMapEntry对象:

  • TiedMapEntry.hashCode()方法调用了TiedMapEntry.getValue()方法:

  • TiedMapEntry.getValue()方法调用了map.get()方法,如果要使被调用的是LazyMap.get()方法,需要使map属性为LazyMap对象:

构造CC6的payload

CC6和CC1-2的调用链后半段一致

// 1. 创建ChainedTransformer链
Transformer[] transformerArray = new Transformer[] {
   
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getDeclaredMethod"
最低0.47元/天 解锁文章
Java原生反序列化漏洞利用(URLDNS)
m0_55994898的博客
08-03 390
反序列化漏洞指在代码中存在不安全的反序列化操作(可控的序列化数据流入了反序列化方法中),在绝大多数编程语言中通常都有序列化/反序列化的功能(例如PHP,Java,Python),在序列化/反序列化的过程中通常会自动调用一些固定的方法,在PHP中序列化/反序列化时会调用对应类中的。
shiro反序列化之k1/2利用
weixin_45682070的博客
03-03 2053
前言 shiro的k1/k2条其实之前我已经分析过了,但是呢,没以文章的形式发出来。可能有点懒惰了。上文章我们一起看了t3协议,t3反序列化的修复手段是在resolveClass方法添加检查,增加黑名单的形式。而shiro是重写了resolveClass方法导致很多利用无法使用,但是shiro在编写的时候,并不是为了防御反序列化漏洞才去重写的resolveClass,但是就是这么一个无意间的举动,导致了防御住了大部分攻击。下面我们分析。 直接使用cc6 cc6利用我们前面有,拿来直接用,默认key
JAVA反序列化之CommonCollections1利用
javaYY_的博客
07-08 309
之前简单学习了JAVA反序列化和URLDNS这条利用,讲过的基础就不再赘述了,今天来学习CommonCollections这条利用。由于这条相对于URLDNS比较复杂,为了更容易理解,所以首先采用P牛精简后的一段DEMO来理解这条利用:DEMO1 1package Commoncollections1; 2import org.apache.commons.collections.Transformer; 3import org.apache.commons.collections.funct
深入理解Oracle JDBC驱动:ojdbc6.jar使用详解
最新发布
weixin_42181686的博客
03-16 982
ojdbc6.jar是Oracle官方提供的一个JDBC驱动包,用于支持Java程序与Oracle数据库间的连接与交互。作为Java开发人员,了解这个文件是数据库连接不可或缺的一部分,它封装了Oracle数据库的通信协议,使得Java应用可以像操作本地数据库一样访问远程或本机上的Oracle数据库。本章节介绍了如何使用JDBC API进行数据库操作。首先讲解了驱动加载和数据库连接的建立方法,包括连接池的使用。然后,详细说明了如何执行SQL语句以及如何处理结果集。
Java反序列化利用 | URLDNS
哦 卷!
09-21 964
如果一个序列化的hashMap对象中存在一个URL对象,则在进行反序列hashMap对象的时候,就会触发URL对象的hashCode()方法,进而触发DNS请求。在put时不触发url的hashCode方法,这个显然也不行,只要put执行,hash()会执行,hashCode()必然执行,(除非key为空,但是不现实)。原因其实很简单,反序列化之前,hashMap对象存在URL对对象,但是URL对象的hashCode不是-1,因此反序列化时,执行不到。如果调用了URL对象的hashCode,则会调用。
java反序列化---cc6
06-15 1030
Runtime.getRuntime().exec()
Java Shiro反序列化CommonsCollections利用链分析
qq_44192006的博客
04-24 908
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
C20220511的博客
06-24 1197
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。...
[Java反序列化]—Shiro反序列化()
snowlyzz的博客
12-06 605
shiro RCE利用
[Java反序列化]Javacc6分析
Y4tacker的博客
06-02 1309
文章目录写在前面GadgetsJavaCC6分析利用参考文章 写在前面 感觉看完了cc1以后cc6就突然变得很简单了(来自P神的简化,这里我修改了一丢丢),那么就开始学习了 Gadgets /* Gadget chain: java.io.ObjectInputStream.readObject() java.util.HashMap.readObject() java.util.HashMap.hash() org.apache.commons.collections.k
java安全 反序列化()
sechelper的博客
12-07 728
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
6-java安全——java反序列化漏洞利用
网络安全
07-01 4543
将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
Java反序列化利用 | CC1_全网最菜的分析思路【本系列文章的分析重点】
哦 卷!
08-30 2292
提前了解下,后面分析时不晕!!反序列化的AnnotationInvocationHandler对象中存在很多其他对象,存储在不同对象的属性中,反序列时会被使用。AnnotationInvocationHandler对象的属性Map memberValues的值为TransformedMap;TransformedMap对象的属性Transformer valueTransformer的值为ChainedTransformer;
Java反序列化调用链
GalaxySpaceX的博客
09-19 524
Java反序列化调用链分析
Java反序列化之URLDNS
m0_62466350的博客
05-28 895
URLDNSjava原生态的一条利用,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用,只能发起DNS请求,并不能进行其他利用这条路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
Java安全学习笔记--反序列化利用CC1(1)
m0_64685672的博客
01-16 1133
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 反射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
[Java反序列化]CommonsCollections1利用学习()
feng的博客
08-14 487
前言 白天学习了CommonsCollections1的TransformedMap,感觉打开了新世界的大门,所以晚上学习了LazyMap,感觉也没那么难理解,可能是因为我在看CC之前已经把基础知识都给过了一遍叭,所以才没那么困难。 环境 <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>com
java安全】原生反序列化利用JDK7u21
leekos的博客,分享web安全相关知识~
08-03 3628
进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的版本在使用这条利用时,需要设置jdk为jdk7u21。
Java安全学习笔记--反序列化利用CC7
m0_64685672的博客
01-27 1532
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 Hashtable 和HashMap很相似,使用地址法解决哈希冲突,线程安全 Cc7和cc6差不多,cc7使用Hashtable来触发LazyMap的get方法,比cc6的稍微复杂一些。 利用核心 final Transformer chainedTransformer= new ChainedTransformer(new Transformer[0]); Transfo
JAVA开源新闻发布系统:5款功能全面源代码包
根据给定的文件信息,我们可以详细了解“5款新闻发布系统(JSP+JAVA源代码)”所涉及的知识点。 首先,标题中提到了“新闻发布系统”,这是一种常见的网络应用,用于发布新闻和文章,支持管理员管理新闻的发布、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值