CC2链分析

已于 2023-08-11 17:31:21 修改
阅读量144 收藏
点赞数
文章标签: java
于 2023-08-11 16:02:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyufei_666/article/details/132208915
版权

前言

分析CC2链的实现原理,CC2链是因为CC3中的TransformingComparator类在4.0版本不能进行序列化

环境

JDK:1.8.0_65

Apache Commons Collections:4.0

正文

TransformingComparator类

该类是类转换比较器,构造器中存放Transfomer,compare方法中调用了transform

 PriorityQueue类

该类主要作用是用来排序,在readObject方法中进行触发

 这里主要是heapify方法,前面主要是对字节流进行读取和存放

heapify方法中就是一个for循环,对size进行右移运算,这里想要进入siftDown方法,保证size的大小超过2,然后看siftDown方法

如果调用siftDown方法的类对象中是否存在comparator,会进入两个不同的方法中,现在看一下这两个方法的具体实现

 

 这两个方法都会调用compare方法,只是第一个方法是 key对象进行调用,第二个方法是comparator对象调用

进入org.apache.commons.collections4.comparators.TransformingComparator类

 这样就可以写调用代码了,这里实例化PriorityQueue对象需要对队列初始化,所以传入两个参数,初始化时候设置为2

执行后发现在序列化的时候直接调用了计算器

调试一下

这里会进入siftUp方法

 进入 siftUpUsingComparator方法

在这里调用了compare方法

调用了两次计算器 

所以可以采用CC1方法,在对象实例化的时候不添加comparator对象,添加玩元素后再通过反射传入comparator对象,这样没有comparator对象后,siftUp方法执行后会进入siftUpComparable方法,这里不会调用compare方法,可以避免触发调用计算器

 

 所以可以这样改poc

上面是利用ChainedTransformer类的链条,也可以通过字节码的方式进行触发

这里可以用TemplatesImpl.newTransformer()触发恶意类

通过InvokerTransformer对newTransformer方法进行调用

这里可以先创建一个未加载恶意字节的TransformingComparator类对象,然后通过通过反射,将

invokerTransformer对象赋值到priorityQueue对象中

 

 

 

 

 

 

 


                

        

        

    

  


    

      

        

            

              
                
                  sunyufei_666
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
Java安全 CC2分析

				
			

			

				

					Elite的博客
				

				

					03-16
					
					1229
					
				

			

		

		

			
				
CC2适用于Apache common collection 4.0版本,由于该版本对AnnotationInvocationHandler类的readObject方法进行了修复,导致cc1无法使用,故产生了cc2,cc2与cc3相似,都使用了字节码的加载,并且后续的触发也基本相同

			
		

	



                

            
              



	

		

			

				
					
java安全(七) 反序列化3 CC利用 TransformedMap版

				
			

			

				

					weixin_45694388的博客
				

				

					04-21
					
					3669
					
				

			

		

		

			
				
给个关注?宝儿!
给个关注?宝儿!
给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过

众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关
图解
先挂一张wh1te8ea的利用图解,非常直观!

代码demo
分析:
代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解
demo代码:
package test.org.vulhub.Ser;



import org.apache.commons.collecti.

			
		

	



              


  
              

                


	

		

			

				
					
Java安全研究——反序列化漏洞之CC2

				
			

			

				

					weixin_43889136的博客
				

				

					05-10
					
					1655
					
				

			

		

		

			
				
0x01


			
		

	





	

		

			

				
					
commons-collections2(cc2)反序列化链分析

				
			

			

				

					遇事不决冲冲冲
				

				

					02-16
					
					3278
					
				

			

		

		

			
				
大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中,反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段,将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`(创建一个`InvokerTransformer`并传递一个`newTransformer`方法,然后将`InvokerTransformer`方法名传递给`TransformingComparator`)

			
		

	



		

			
		



	

		

			

				
					
Commons-Collections篇-CC2链分析

				
			

			

				

					鸣蜩十四的博客
				

				

					06-17
					
					917
					
				

			

		

		

			
				
CC2主要和CC4一样,但是区别在于CC2避免了使用Transformer数组,没有使用InstantiateTransformer类进行初始化,主要分析中间连接部分也就是CC2重心。

			
		

	





	

		

			

				
					
CC2利用链分析

					
最新发布

				
			

			

				

					
				

				

					07-08
					
					456
					
				

			

		

		

			
				
JDK 8u65环境配置参考。

			
		

	





	

		

			

				
					
vkcc:用于从vk.cc生成短网址接的简单cli工具

				
			

			

				

					02-27
				

			

		

		

			
				
vk.cc可能也采用了类似的机制,但具体的实现细节可能会有所不同,例如可能加入了自定义短码或统计分析等功能。  ### 4. 使用vkcc工具 使用vk.cc工具通常涉及以下步骤: 1. 安装vkcc:首先,你需要下载vkcc的源代码或...

			
		

	





	

		

			

				
					
Java反序列化-CC2、4分析

				
			

			

				

					The_W0rld的博客
				

				

					07-22
					
					1360
					
				

			

		

		

			
				
CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用。...

			
		

	





	

		

			

				
					
cc2530协议栈分析

				
			

			

				

					07-26
				

			

		

		

			
				
本文将深入探讨CC2530协议栈的结构、主要功能以及如何进行分析。  首先,我们需要理解协议栈的基本概念。协议栈是由一系列协议层组成的结构,每一层都负责特定的通信任务,如物理层处理信号传输,数据路层处理错误...

			
		

	





	

		

			

				
					
cc2(小宇特详解)

				
			

			

				

					小宇的web博客
				

				

					02-19
					
					3893
					
				

			

		

		

			
				
cc2(小宇特详解)
漏洞环境
jdk8u71
apache commons collection-4.0
与cc1的区别
cc2利用中使用了动态字节码编程来构造poc
cc2没有使用反序列化漏洞
cc利用流程


构造一个TestTemplatesImpl恶意类转成字节码,然后通过反射将恶意类的字节码注入到TemplatesImpl对象的_bytecodes属性(构造利用核心代码)


创建一个InvokerTransformer并传递一个newTransformer方法,然后将Invoker

			
		

	





	

		

			

				
					
Java安全学习笔记--反序列化漏洞利用CC2

				
			

			

				

					m0_64685672的博客
				

				

					01-18
					
					1113
					
				

			

		

		

			
				
测试环境


jdk1.8(jdk8u71)

apache common cellection 4.0


预备知识简述

Javassist动态字节码编程

字节码技术可以动态改变某个类的结构(添加/删除/修改新的属性/方法)

关于字节码的框架有javassist,asm,bcel等,javassist相对简单不需要掌握字节码指令相关知识即可使用。

几个关键的类:

ClassPool:ClassPool 类可以控制的类的字节码,例如创建一个类或加载一个类,是CtClass对象集合的容器。一旦C..

			
		

	





	

		

			

				
					
【Web】Java反序列化之CC2——commons-collections4的新之一

				
			

			

				

					uuzeray的博客
				

				

					03-01
					
					656
					
				

			

		

		

			
				
而siftDownUsingComparator内部会调用构造方法传入的comparator的compare方法,此时我们只要令comparator为TransformingComparator即可完成利用的调用。API 设计:commons-collections4 重新设计了 API,并且引入了一些新的功能和改进,同时也修复了一些旧版本中存在的 bug。安全性增强:commons-collections4 引入了更多的安全性措施,以防止常见的安全漏洞。最后调用了heapify方法。

			
		

	





	

		

			

				
					
“白痴“上帝视角调节反序列化CC2

				
			

			

				

					HBohan的博客
				

				

					09-28
					
					214
					
				

			

		

		

			
				
说是白痴上帝视角的原因在于我们拿到了poc,模拟不知道任何细节,去分析这个漏洞的形成原因。也可以说半黑盒状态,主要是锻炼一下分析能力。CC1的分析已经在之前的文章发过了。主要是拿来入门的,现在我们分析一下CC2.这篇文章也是重构,很早之前分析了一次,但是当时水平比现在还低,所以很多地方还不够清楚。现在重新分析一下。需要涉及到以下的知识点
javassist动态编程(主要是字节码修改操作,把他可以看成一个加强版的反射)
本来开始直接跟着poc调的,poc不是特别的友好,很多地方不清楚,那我们还是借助poc逆.

			
		

	





	

		

			

				
					
8-java安全——java反序列化CC2链分析

				
			

			

				

					网络安全
				

				

					07-19
					
					2882
					
				

			

		

		

			
				
上一篇分析了CC1,本篇继续分析ysoserial工具的 apache commons collections 2利用。



CC1在实际利用过程存在一些限制,例如jdk1.8版本以上已经无法利用反序列化漏洞了,通过分析发现jdk8u181版本中改写了sun.reflect.annotation.AnnotationInvocationHandler类的readObject方法,CC1在jdk8版本以上已经被修复了,因此jdk8版本以上重新构造了一条新的利用CC2)。



不过CC2使用

			
		

	





	

		

			

				
					
9-java安全——关于构造CC2的几个问题

				
			

			

				

					网络安全
				

				

					07-23
					
					530
					
				

			

		

		

			
				
思考一下:CC2的poc利用代码中为什么要向queue队列中添加至少2个元素?并且PriorityQueue队列中的queue属性被transient关键字修饰具有“不会序列化”语义,在反序列化过程中为什么还能从流中读取queue的数据,流中的数据又从何而来?



readObject方法是怎么从流中读取queue的数据





使用SerializationDumper工具解析对象序列化的数据,Fields字段中并没有看到PriorityQueue的queue属性,说明queue确实没有参与序列化.

			
		

	





	

		

			

				
					
[Java反序列化]CommonsCollections2利用学习

				
			

			

				

					feng的博客
				

				

					08-28
					
					597
					
				

			

		

		

			
				
前言
学习自《Java安全漫谈 - 16.commons-collections4与漏洞修复》。学习了一波CC2。学完这个就继续去JavaWeb了。JavaWeb看个1星期就爬取背马原,看概率论了。
预备知识
之前所分析的CC都是基于CommonsCollections3.2.1及其之前的版本。去maven仓库搜索一下的话,就会发现存在两个CommonsCollections:

一个包名是org.apache.commons.collections4,另外一个是org.apache.commons.co

			
		

	





	

		

			

				
					
CC入门

				
			

			

				

					why811的博客
				

				

					08-21
					
					416
					
				

			

		

		

			
				
我们已经知道了序列化和反序列化漏洞的基本原理,那么怎么通过构造恶意数据,让反序列化产生非预期对象呢?当中有一个组件叫做,主要封装了Java的相关类对象,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。collection是set,list,queue的抽象。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发,而正是因为在大量web应用程序中这些类的实现以及方法的调用,导致了反序列化用漏洞的普遍性和严重性。

			
		

	





	

		

			

				
					
Java安全入门(二)——CC1 分析+详解

					
热门推荐

				
			

			

				

					weixin_45808483的博客
				

				

					01-29
					
					1万+
					
				

			

		

		

			
				
背景

在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。

从Apache CommonsCollections 说起。

Apache C...

			
		

	





	

		

			

				
					
[Java安全入门]六.CC2+CC4+CC5+CC7

				
			

			

				

					qq_34942239的博客
				

				

					03-21
					
					1348
					
				

			

		

		

			
				
与前面几条cc不同的是,cc2的依赖是4.0版本,并且解决了高版本无法使用AnnotationInvocationHandler类的弊端。cc2使用javassist和PriorityQueue来构造

			
		

	





	

		

			

				
					
CC2640R2蓝牙协议栈入门:从main函数解析

				
			

			

				

					
				

			

		

		

			
				
CC2640蓝牙协议栈中,我们也是从`main`函数开始分析。在示例工程simple_peripheral中,`main.c`文件位于Workspace的Startup分组中。  在`main`函数的关键代码段中,我们可以看到两个重要的初始化步骤: 1. 注册...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值