CC6链分析

最新推荐文章于 2024-06-15 00:03:39 发布
最新推荐文章于 2024-06-15 00:03:39 发布
阅读量101 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyufei_666/article/details/131897804
版权

前言

之前分析了CC1链,现在分析一下CC6链

CC1链使用了AnnotationInvocationHandler类来利用,但是高版本的JDK已修复这个漏洞,现在必须找通过TransformedMap类或者LazyMap类来触发漏洞

环境

JDK:1.8.0_101

Apache Commons Collections:3.2.1

正文

在CC1中,可以通过LazyMap中的get方法调用transform方法,现在需要再找一个调用get方法的的地方,这里可以看TiedMapEntry类

 该类中的构造器可以直接进行调用

 这里可利用tiedMapEntry调用getValue()方法就可以进行漏洞触发

TiedMapEntry类中的hashcode方法也调用了getValue()方法

这里和URLDNS链很像,因为HashMap的put方法里面会调用hash方法

 所以利用链可以改为

HashMap的readobject就能实现重写了readObject

执行后发现在序列化的时候已经执行了命令

这里可以通过new ConstantTransformer(1)来替换chainedTransformer

这样反序列化的时候还是无法执行命令,是因为key存在,无法进入if函数

所以在序列化之前删掉key值

 

 

 

 


                

        

        

    




    

      

        

            

              
                
                  sunyufei_666
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
学英文视频播放器 flash cc6 as2 编辑

				
			

			

				

					03-04
				

			

		

		

			
				
压缩包内两个flash的EXE文件(分别横屏、竖屏...播放器使用flash cc6 As2编辑。 允许用户添加视频,修改或创建 xml 格式索引文件,供播放器选择加载。 XML文件的格式、编辑修改方法在压缩包的“注释”中有详细描述。

			
		

	



                

              
                



	

		

			

				
					
CC6利用链分析

				
			

			

				

					qq_45766062的博客
				

				

					08-19
					
					1364
					
				

			

		

		

			
				
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yCUl53uz-1660883653803)(/Users/kento/Library/Application Support/typora-user-images/image-20220819122923400.png)]但是到这里一步大家会发现,这里由于在序列化的时候本地执行了命令,所以,在反序列化的时候是失败的。相比较于cc1,cc6主要用的多一点的原因就是兼容高版本jdk。然后在反序列化之前再修改过来,这里可以通过。

			
		

	



                


  
              

                


	

		

			

				
					
Java安全 反序列化(5) CC6链原理分析

				
			

			

				

					qq_39947980的博客
				

				

					03-22
					
					1423
					
				

			

		

		

			
				
CC6学习的目的在于其可以无视jdk版本,这条链子更像CC1-LazyMap和URLDNS链子的缝合版,上篇文章我们通过方法实现的链式调用但是我们再次依赖了作为我们反序列化后的入口类在JDK 8u71以后开发者重写了使我们依赖调用和实现ChaindeTransformer.transform()方法失效如何让调用执行任意命令可以无视JDK版本?我们知道URLDNS链具有普遍性,我们可以同样通过HashMap实现入口类吗?通过自动调用hashcode方法最终实现的链式调用。

			
		

	





	

		

			

				
					
java反序列化---cc6

					
最新发布

				
			

			

				

					求大佬师傅带
				

				

					06-15
					
					880
					
				

			

		

		

			
				
Runtime.getRuntime().exec()

			
		

	



		

			
		



	

		

			

				
					
Java安全』反序列化-CC6反序列化漏洞POP链分析_ysoserial CommonsCollections6 PoC分析

				
			

			

				

					Ho1aAs‘s Blog
				

				

					03-13
					
					589
					
				

			

		

		

			
				
文章目录前言代码复现工具类PoC代码审计 | 原理分析TiedMapEntry.hashCode()调用toString()方法POP链完
前言
CC6触发TiedMapEntry.hashcode(),非常简单因此只做记录
代码复现
工具类
反序列化:
UnserializePacked.Unserialize.java
package UnserializePacked;

import java.io.*;

public class Unserialize {
    public static v

			
		

	





	

		

			

				
					
CC6链分析与复现

				
			

			

				

					weixin_42974824的博客
				

				

					08-18
					
					671
					
				

			

		

		

			
				
CC6链分析与复现

			
		

	





	

		

			

				
					
[Java反序列化]Javacc链6分析

				
			

			

				

					Y4tacker的博客
				

				

					06-02
					
					1216
					
				

			

		

		

			
				
文章目录写在前面GadgetsJavaCC链6分析利用链参考文章
写在前面
感觉看完了cc链1以后cc链6就突然变得很简单了(来自P神的简化链,这里我修改了一丢丢),那么就开始学习了
Gadgets
/*
 Gadget chain:
 java.io.ObjectInputStream.readObject()
 	java.util.HashMap.readObject()
 		java.util.HashMap.hash()
 
			org.apache.commons.collections.k

			
		

	





	

		

			

				
					
phonegap-phonegap-1.0.0-0-g80cc6dd.zip

				
			

			

				

					09-21
				

			

		

		

			
				
这个“phonegap-phonegap-1.0.0-0-g80cc6dd.zip”文件是PhoneGap的一个特定版本,版本号为1.0.0,Git提交ID为80cc6dd,这通常代表了该版本在开发过程中的一个快照。  PhoneGap的核心理念是利用Web技术来实现原生移动...

			
		

	





	

		

			

				
					
9a3b2ddcf0cc6f43d099

				
			

			

				

					03-19
				

			

		

		

			
				
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容:  Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...

			
		

	





	

		

			

				
					
CC6开发应用教材基础篇

				
			

			

				

					08-25
				

			

		

		

			
				
CC6开发应用教材基础篇》是一本深入探讨虚拟现实技术及其在LYINUX平台上的应用的教程。本书从虚拟现实的定义出发,介绍了网络与虚拟现实技术的发展历程,以及WEB3D技术的重要地位。在第二章中,作者详细阐述了2D与...

			
		

	





	

		

			

				
					
69382746f9c695cc6c978726bc922e41:应用程序 ID 11153

				
			

			

				

					05-30
				

			

		

		

			
				
在这个场景下,"69382746f9c695cc6c978726bc922e41:应用程序 ID 11153" 提供了两个关键信息:一个哈希值(可能是程序的唯一标识或版本号)和一个特定的应用程序ID(11153)。这种ID可能是开发者为内部跟踪或管理应用...

			
		

	





	

		

			

				
					
Java安全学习笔记--反序列化漏洞利用链CC6

				
			

			

				

					m0_64685672的博客
				

				

					01-24
					
					1049
					
				

			

		

		

			
				
测试环境:


jdk1.8(jdk8u71)

Commons Collections4.0


HashSet

HashSet使用的是Hash表的数据结构,增删改查的时间复杂度为O(1),Set是一种集合,元素没有添加顺序,集合中不会有重复元素,结合一下就大概知道HashSet的大概属性了,具体是否重复的算法是根据元素所属对象的equals()方法来判断是否重复,默认是Object这个父类的方法,会比较引用是否相同,这个方法是可以重写的,比如String类就重写了这个方法,会比较内容是否相同

 
.

			
		

	





	

		

			

				
					
Java反序列化漏洞-CC6利用链分析

				
			

			

				

					柠檬i的博客
				

				

					12-26
					
					1347
					
				

			

		

		

			
				
经过之前对[CC1链]的分析,现在已经对反序列化利用链有了初步的认识,这次来分析一个最好用的CC利用链——CC6。
为什么CC6是最好用的CC利用链,因为CC6不限制jdk版本,只要commons collections 小于等于3.2.1,都存在这个漏洞。

			
		

	





	

		

			

				
					
java6安全站点_Java安全之Commons Collections6分析

				
			

			

				

					weixin_39611725的博客
				

				

					02-27
					
					189
					
				

			

		

		

			
				
Java安全之Commons Collections6分析0x00 前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。在CC6链中也和CC5的利用链类似,但是CC6链中使用的是HashSet去触发LazyMap的get方法。而在CC5中使用的是BadAttributeValueExpException。0x01 POC分析这里还是去简化一下...

			
		

	





	

		

			

				
					
ysoserial CommonsColletions6分析

				
			

			

				

					洋洋的小黑屋
				

				

					07-10
					
					141
					
				

			

		

		

			
				
CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法。
TiedMapEntry#hashCode
在CC5中,通过的是TiedMapEntry的toString调用到的LazyMap的get方法,而CC6则是通过TiedMapEntry的hashCode方法

此处hashCode会调用getValue方法,getValue就调用到了LazyMap的get方法

接下来我们要找的就是哪里调用了TiedMapEntry#hashCode
HashMap#p

			
		

	





	

		

			

				
					
Java反序列化-(LazyMap)CC1链与CC6

				
			

			

				

					cike_y
				

				

					04-15
					
					689
					
				

			

		

		

			
				
CC6链 与CC1链

			
		

	





	

		

			

				
					
java反序列化 cc链6 分析

				
			

			

				

					m0_64815693的博客
				

				

					04-22
					
					1075
					
				

			

		

		

			
				
java反序列化 cc链6 分析

			
		

	





	

		

			

				
					
CC6链子

				
			

			

				

					..
				

				

					10-27
					
					806
					
				

			

		

		

			
				
因为JDK8u71后,Java 官方修改了 sun.reflect.annotation.AnnotationInvocationHandler 的readObject函数++ Class

			
		

	





	

		

			

				
					
[  144.602949] IPv6: ADDRCONF(NETDEV_CHANGE): vethb0cc6b3: link becomes ready
[  144.603086] docker0: port 2(vethb0cc6b3) entered blocking state
[  144.603104] docker0: port 2(vethb0cc6b3) entered forwarding state
[  144.816586] docker0: port 2(vethb0cc6b3) entered disabled state
[  144.817707] veth880e592: renamed from eth0
[  144.874858] docker0: port 2(vethb0cc6b3) entered disabled state
[  144.878236] device vethb0cc6b3 left promiscuous mode
[  144.878301] docker0: port 2(vethb0cc6b3) entered disabled state
[  145.650008] docker0: port 2(veth770dea6) entered blocking state
[  145.650046] docker0: port 2(veth770dea6) entered disabled state
[  145.650332] device veth770dea6 entered promiscuous mode
[  145.650855] IPv6: ADDRCONF(NETDEV_UP): veth770dea6: link is not ready
[  145.650880] docker0: port 2(veth770dea6) entered blocking state
[  145.650896] docker0: port 2(veth770dea6) entered forwarding state
[  146.198816] docker0: port 2(veth770dea6) entered disabled state
[  146.316601] eth0: renamed from veth3f8b808
[  146.329996] IPv6: ADDRCONF(NETDEV_CHANGE): veth770dea6: link becomes ready
[  146.330196] docker0: port 2(veth770dea6) entered blocking state
[  146.330223] docker0: port 2(veth770dea6) entered forwarding state
[  146.502378] docker0: port 2(veth770dea6) entered disabled state
[  146.502793] veth3f8b808: renamed from eth0
[  146.574088] docker0: port 2(veth770dea6) entered disabled state
[  146.575946] device veth770dea6 left promiscuous mode


				
			

			

				

					07-14
				

			

		

		

			
				
这些日志信息显示了 Docker 网络接口的状态变化。这些接口包括 vethb0cc6b3、veth770dea6 和 docker0。

- 首先,vethb0cc6b3 接口进入了准备就绪的状态,并与 docker0 的端口 2 建立了连接。
- 然后,vethb0cc6b3 接口由于某种原因禁用了,docker0 的端口 2 也进入了禁用状态。
- vethb0cc6b3 接口被重命名为 eth0。
- 同时,veth770dea6 接口也进入了准备就绪的状态,并与 docker0 的端口 2 建立了连接。
- 类似地,veth770dea6 接口由于某种原因禁用了,docker0 的端口 2 进入了禁用状态。
- veth770dea6 接口被重命名为 eth0。

这些日志可能是由 Docker 容器的启动或网络配置过程中的状态变化引起的。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值