CC1,3,6回顾
前言
前面陆续学习了CC1,CC3,CC6,以及TemplatesImpl
以及改造,有点乱,正所谓温故而知新嘛,所以这篇就回顾一下,捋一捋,解决一些细节问题。
CC1
由于CC1要介绍CC链的几个关键类,所以写了三篇
InvokerTransformer
,其transform
可以执行任意方法,ConstantTransformer
作用是拿到一个危险类,如RunTime
等等,ChainedTransformer
作用是将几个Transformer串联起来
这三种搭配就可以执行任意方法
TransformedMap
:用来修饰Map,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调,也就是说可以调用其他的tramsform
AnnotationInvocationHandler
:第四点说了,触发漏洞的核心是向Map加入新的元素,在实际反序列化利用的时候,我们需要找到一个类,它在反序列化的readObject
逻辑里有类似的写入操作。这个类刚好符合条件。
到这儿,算是一条完整的CC利用链了。
LazyMap
:作用和TransformedMap
类似,都是为了执行transform
,区别就是TransformedMap是在写入元素的时候执行会transform
,而LazyMap是在其get
方法中执行的factory.transform
- 动态代理:使用了一个动态代理的方法来调用``LazyMap#get
,原因是当我们调用某个动态代理对象的方法时,都会触发代理类的
invoke`方法,并传递对应的内容
分析一下利用过程:这里1,2,3,4,5是一条利用链,逻辑很清晰。1,2,3,6,7是一条利用链。这里还是比较绕的,分析一下利用过程:
只需要找到某个地方调用了LazyMap#get
方法,并且传递了任意值。
首先在readObject时,会触发AnnotationInvocationHandler#readObject
方法,其中调用了this.memberValues.entrySet
而this.memberValues
是构造好的proxyMap
,由于这是一个代理对象,所以调用其方法时,会去调用其创建代理时设置的handler
的invoke
方法
proxyMap设置的handler为下面这个handler
,同样是InvocationHandler
这个类,接着会调用他的invoke方法
InvocationHandler#invoke
的78行代码中调用了this.memberValues#get
,此时的this.memberValues
为之前设置好的lazymap,所以这里调用的是lazymap#get
,从而触发后边的rce链。
代理后的对象叫做proxyMap
,但我们不能直接对其进行序列化,因为我们入口点是 sun.reflect.annotation.AnnotationInvocationHandler#readObject
,所以我们还需要再用 AnnotationInvocationHandler
对这个proxyMap
进行包裹:
这里还是比较绕的,因为设置了两个handler,但是第一个handler是为了触发lazymap#get
,而第二个handler实际上只是为了触发代理类所设置handler的invoke方法
接着解释一些细节的问题:
为什么这用反射的方式来创建AnnotationInvocationHandler的实例?
因为AnnotationInvocationHandler并不是public类,所以无法直接通过new的方式来创建其实例。
2.为什么创建handler时传入的第一个参数是Retention.class?
因为在创建实例的时候对传入的第一个参数调用了isAnnotation方法来判断其是否为注解类:
public boolean isAnnotation() {
return (getModifiers() & ANNOTATION) != 0;
}
而Retention.class正是java自带的一个注解类,所以这里可以直接用上,当然要是换成其他注解类也是ok的。
CC6
CommonsCollections1
利用链,两种方法,LazyMap
以及TransformedMap
,但是在Java 8u71
以后,这个利⽤链不能再利⽤了,主要原因是 sun.reflect.annotation.AnnotationInvocationHandler#readObject
的逻辑变化了
所以关注点如何调⽤LazyMap#get()
?
找到的类是org.apache.commons.collections.keyvalue.TiedMapEntry
,在其getValue
⽅法中调⽤了 this.map.get
,⽽其hashCode
⽅法调⽤了getValue
⽅法
又在 java.util.HashMap#readObject
中就可以找到 HashMap#hash()
的调⽤
/*
Gadget chain:
java.io.ObjectInputStream.readObject()
java.util.HashMap#readObject
java.util.HashMap#hash()
org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()
org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
org.apache.commons.collections.map.LazyMap.get()
org.apache.commons.collections.functors.ChainedTransformer.transform()
org.apache.commons.collections.functors.InvokerTransformer.transform()
java.lang.reflect.Method.invoke()
java.lang.Runtime.exec()
*/
而ysoserial中使用HashSet.readObject()来调用
java.util.HashSet.readObject()
java.util.HashMap.put()
java.util.HashMap.hash()
逻辑也很清晰
这条链是Java7和8高版本通杀
CC3
首先利⽤TemplatesImpl
链是可以通过TemplatesImpl#newTransformer()
执行代码的。
在一个为了绕过⼀些规则对InvokerTransformer
的限制。所以CC3并没有使⽤到InvokerTransformer
来调⽤任意⽅法,⽽是⽤到了另⼀个 类, com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter
这个类的构造⽅法中调⽤(TransformerImpl) templates.newTransformer()
,免去了我们使⽤InvokerTransformer⼿⼯调⽤newTransformer()⽅法这⼀步
⽤到⼀个新的Transformer,就是 org.apache.commons.collections.functors.InstantiateTransformer
。InstantiateTransformer
也是⼀个实现了Transformer
接⼝的类,他的作⽤就是调⽤构造⽅法.
利⽤InstantiateTransformer
来调⽤到TrAXFilter
的构造⽅法,再利⽤其构造⽅法⾥的templates.newTransformer()
调⽤到TemplatesImpl
⾥的字节码
小结
知识点比较多,每一个都捋清楚后,就可以重分发散思维,各种组合利用
CC1,3,6回顾的更多相关文章
- YsoSerial 工具常用Payload分析之CC1
前文介绍了最简单的反序列化链URLDNS,虽然URLDNS本身不依赖第三方包且调用简单,但不能做到漏洞利用,仅能做漏洞探测,如何才能实现RCE呢,于是就有Common-collections1-7.C ...
- [C#] C# 基础回顾 - 匿名方法
C# 基础回顾 - 匿名方法 目录 简介 匿名方法的参数使用范围 委托示例 简介 在 C# 2.0 之前的版本中,我们创建委托的唯一形式 -- 命名方法. 而 C# 2.0 -- 引进了匿名方法,在 ...
- SQL Server-表表达式基础回顾(二十四)
前言 从这一节开始我们开始进入表表达式章节的学习,Microsoft SQL Server支持4种类型的表表达式:派生表.公用表表达式(CTE).视图.内嵌表值函数(TVF).简短的内容,深入的理解, ...
- [C#] C# 知识回顾 - 你真的懂异常(Exception)吗?
你真的懂异常(Exception)吗? 目录 异常介绍 异常的特点 怎样使用异常 处理异常的 try-catch-finally 捕获异常的 Catch 块 释放资源的 Finally 块 一.异常介 ...
- [C#] C# 知识回顾 - 学会处理异常
学会处理异常 你可以使用 try 块来对你觉得可能会出现异常的代码进行分区. 其中,与之关联的 catch 块可用于处理任何异常情况. 一个包含代码的 finally 块,无论 try 块中是否在运行 ...
- [C#] C# 知识回顾 - 学会使用异常
学会使用异常 在 C# 中,程序中在运行时出现的错误,会不断在程序中进行传播,这种机制称为“异常”. 异常通常由错误的代码引发,并由能够更正错误的代码进行 catch. 异常可由 .NET 的 CLR ...
- [C#] C# 知识回顾 - 异常介绍
异常介绍 我们平时在写程序时,无意中(或技术不够),而导致程序运行时出现意外(或异常),对于这个问题, C# 有专门的异常处理程序. 异常处理所涉及到的关键字有 try.catch 和 finally ...
- [.NET] C# 知识回顾 - Event 事件
C# 知识回顾 - Event 事件 [博主]反骨仔 [原文]http://www.cnblogs.com/liqingwen/p/6060297.html 序 昨天,通过<C# 知识回顾 - ...
- [.NET] C# 知识回顾 - 事件入门
C# 知识回顾 - 事件入门 [博主]反骨仔 [原文]http://www.cnblogs.com/liqingwen/p/6057301.html 序 之前通过<C# 知识回顾 - 委托 de ...
随机推荐
- C#基础_C#判断文件是否被打开
1.用文件流判断 using System; using System.Collections.Generic; using System.IO; using System.Linq; using S ...
- pytest精髓__fixture
命令:fixture(scope='function',params=None,autouse=False,ids=None,name=None) 参数说明 scope:有四个级别参数函数" ...
- iOS 组件化及二进制化的探索
组件化的优缺点 组件化的拆分 组件与组件之间如何进行通讯(路由) 从Cocopods拉取代码的过程 远程索引库里很多的.spec文件,该文件记录了很多内容,如用户名,框架名称,描述,框架的地址 Pod ...
- 第四篇:理解vue代码
解释以下代码: 实现输入框中能够打字的功能 <el-input v-model="input" placeholder="在这打字"></el ...
- noip2018提高组初赛试题
一.单项选择题(共 10 题,每题 2 分,共计 20 分: 每题有且仅有一个正确选项) \2. 下列属于解释执行的程序设计语言是( ). A. C B. C++ C. Pascal D. Pytho ...
- centos7设置时间和上海时区并进行同步
1.设置时区(同步时间前先设置) timedatectl set-timezone Asia/Shanghai 2.安装组件 yum -y install ntp systemctl enable n ...
- 运维利器-ClusterShell
前言 和ansible类似,但是更加高效 安装 yum install -y clustershell clush命令: clush -a 全部 等于 clush -g all clush -g 指定 ...
- MySQL5.7之在线DDL不会锁表
MySQL5.7在线修改varchar字段不在锁表,测试过程如下: mysql> select version(); +------------+ | version() | +-------- ...
- Filebeat 调试
默认情况下,Filebeat将其所有输出发送到syslog. 在前台运行Filebeat时,可以使用-e命令行标志将输出重定向到标准错误. 例如: filebeat -e 默认配置文件是filebea ...
- Elasticsearch from/size-浅分页查询-深分页 scroll-深分页search_after深度查询区别使用及应用场景
Elasticsearch调研深度查询 1.from/size 浅分页查询 一般的分页需求我们可以使用from和size的方式实现,但是这种的分页方式在深分页的场景下应该是避免使用的.深分页的页次增加 ...