CC6链分析

最新推荐文章于 2024-11-19 14:02:58 发布
原创 最新推荐文章于 2024-11-19 14:02:58 发布 · 241 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

前言

之前分析了CC1链,现在分析一下CC6链

CC1链使用了AnnotationInvocationHandler类来利用,但是高版本的JDK已修复这个漏洞,现在必须找通过TransformedMap类或者LazyMap类来触发漏洞

环境

JDK:1.8.0_101

Apache Commons Collections:3.2.1

正文

在CC1中,可以通过LazyMap中的get方法调用transform方法,现在需要再找一个调用get方法的的地方,这里可以看TiedMapEntry类

 该类中的构造器可以直接进行调用

 这里可利用tiedMapEntry调用getValue()方法就可以进行漏洞触发

TiedMapEntry类中的hashcode方法也调用了getValue()方法

这里和URLDNS链很像,因为HashMap的put方法里面会调用hash方法

 所以利用链可以改为

HashMap的readobject就能实现重写了readObject

执行后发现在序列化的时候已经执行了命令

这里可以通过new ConstantTransformer(1)来替换chainedTransformer

这样反序列化的时候还是无法执行命令,是因为key存在,无法进入if函数

所以在序列化之前删掉key值

sunyufei_666
关注
CommonsCollections6利用链分析
m0_61506558的博客
11-28 545
(一)利用链(一)利用链可以看到,CC6链从LazyMap类开始的后半部分和CC1链是相同的,只是前面没有使用类readObject()的作为反序列化的入口了,从而解决了在java 8u71 版本之后无法使用CC1链的问题。CC6链的前半部分和URLDNS链比较像,都是利用了HashMap类在计算hash值时调用的方式,进入到方法,再到的。(二)代码分析。
[Java反序列化]Javacc6分析
Y4tacker的博客
06-02 1480
文章目录写在前面GadgetsJavaCC6分析利用链参考文章 写在前面 感觉看完了cc链1以后cc6就突然变得很简单了(来自P神的简化链,这里我修改了一丢丢),那么就开始学习了 Gadgets /* Gadget chain: java.io.ObjectInputStream.readObject() java.util.HashMap.readObject() java.util.HashMap.hash() org.apache.commons.collections.k
Java安全 CC6分析
Elite的博客
02-14 1551
CC6不受jdk版本与cs版本的影响,在Java安全中最为通用,并且非常简洁,非常有学习的必要,建议在学习CC6之前先学习一下 URLDNS链 和 CC链1(LazyMap类)
cc6
lylong0703的博客
02-12 2877
cc6
CC6链子
..
10-27 1074
因为JDK8u71后,Java 官方修改了 sun.reflect.annotation.AnnotationInvocationHandler 的readObject函数++ Class
CC6利用链分析
qq_45766062的博客
08-19 1512
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yCUl53uz-1660883653803)(/Users/kento/Library/Application Support/typora-user-images/image-20220819122923400.png)]但是到这里一步大家会发现,这里由于在序列化的时候本地执行了命令,所以,在反序列化的时候是失败的。相比较于cc1,cc6主要用的多一点的原因就是兼容高版本jdk。然后在反序列化之前再修改过来,这里可以通过。
CommonCollections6链分析
Demodd的博客
03-20 4309
前言 ​ 本文参考b站白日梦组长仅做笔记记录,完全跟着他复现,大家可以参考他的视频学习。 Gadget分析 因为只看了cc1可以说cc6利用的是cc1的前半部分,一直到LazyMap.decorate Transformer[] transformers = new Transformer[]{ new ConstantTransformer(Runtime.class), new InvokerTransformer("get
CC6利用链(最好用的CC利用链)--EXP编写思路--源码分析
yuan_boss的博客
08-16 589
在这篇文章中,你能更加深刻理解CC利用链,并且能学到更深的EXP编写思路当然如果有CC链基础的师傅可以放心使用。
Java安全-CC链全分析
sagic的博客
11-19 2467
Java安全学习,JavaCC链1-7分析
CC6链分析与复现
weixin_42974824的博客
08-18 810
CC6链分析与复现
Java反序列化漏洞-CC6利用链分析
柠檬i的博客
12-26 1921
经过之前对[CC1链]的分析,现在已经对反序列化利用链有了初步的认识,这次来分析一个最好用的CC利用链——CC6。 为什么CC6是最好用的CC利用链,因为CC6不限制jdk版本,只要commons collections 小于等于3.2.1,都存在这个漏洞。
Javaweb安全——反序列化漏洞-CC6
weixin_43610673的博客
06-01 948
本文环境为 JDK8u11现在开始学习,Java 8u71之后,即高版本Java利用链,从CommonCollections6开始在 8u71之后AnnotationInvocationHandler的逻辑变成新建了一个LinkedHashMap对象,并将原来的键值添加进去,传进去的恶意Map不再执行set或put操作。而是通过invoke方法触发其get方法开始的,所以需要一个新的触发get方法的点,先看ysoserial当中CC6的 通过去触发get方法直接搜get,找到方法 查找其调用,跟踪到方法 要
java反序列化 cc6 分析
m0_64815693的博客
04-22 1268
java反序列化 cc6 分析
cc6分析
Sk1y的博客
04-12 844
cc6分析 文章目录cc6分析调用链由后至前分析TiedMapEntryHashMap反射给lazyMap对象赋值关于put方法的理解遇到的一点点问题exp参考链接 HashMap.readObject 调用链 HaspMap.readObject.hash() -->TiedMapEntry.hashCode() -->TiedMapEntry.getValue() -->LazyMap.get() -->ChainedTransformer.transform
Java安全』反序列化-CC6反序列化漏洞POP链分析_ysoserial CommonsCollections6 PoC分析
Ho1aAs‘s Blog
03-13 820
文章目录前言代码复现工具类PoC代码审计 | 原理分析TiedMapEntry.hashCode()调用toString()方法POP链完 前言 CC6触发TiedMapEntry.hashcode(),非常简单因此只做记录 代码复现 工具类 反序列化: UnserializePacked.Unserialize.java package UnserializePacked; import java.io.*; public class Unserialize { public static v
java反序列化---cc6
06-15 1154
Runtime.getRuntime().exec()
CC6分析与利用超详细
2301_79700060的博客
06-28 2423
经过之前对链和链的分析,感觉自己对反序列化也有了个比较清晰的认知。分析了这两条链子后就该分析CC6了,这条链子不受jdk的版本影响,并且只要commons collections 小于等于3.2.1,都存在这个漏洞。
Java安全学习笔记--反序列化漏洞利用链CC6
m0_64685672的博客
01-24 1184
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 HashSet HashSet使用的是Hash表的数据结构,增删改查的时间复杂度为O(1),Set是一种集合,元素没有添加顺序,集合中不会有重复元素,结合一下就大概知道HashSet的大概属性了,具体是否重复的算法是根据元素所属对象的equals()方法来判断是否重复,默认是Object这个父类的方法,会比较引用是否相同,这个方法是可以重写的,比如String类就重写了这个方法,会比较内容是否相同 .
Java反序列化-(LazyMap)CC1链与CC6
每天一小步,进步一大截
04-15 1271
CC6链 与CC1链
反序列化poc链
最新发布
10-11
反序列化POC链相关信息包含多个方面,不同技术与场景下均有涉及。 在Java领域,有关于反序列化漏洞POC的详细解读。Java反序列化漏洞从爆出到现在已有白帽子实现了jenkins、weblogic、jboss等的代码执行利用工具,对其POC进行详细读解有助于了解漏洞原理与利用方式[^3]。 其中,CC5反序列化漏洞POP链是一个典型。它的调用过程为:LazyMap.get()调用this.factory.transform();TiedMapEntry.toString()调用this.map.get();BadAttributeValueExpException反序列化触发this.val.toString() ,完成整个POP链[^2]。 另外,Commons Collections反序列化漏洞复现中的CC6也与POC链相关。put方法使用putVal方法,执行hash(key)方法,接着执行hashCode方法,直至执行完漏洞代码,代表完美执行执行链。在反序列化时执行readObjec,其中含有putVal方法的执行,使得反序列化的执行链能够成立,从而导致反序列化漏洞执行成功[^4]。 还有fastjson远程反序列化POC,可对其进行构造和分析,这对于了解fastjson在反序列化方面的安全问题及利用方式有重要意义[^1]。 在实际应用场景中,如星空云反序列化POC,给出了具体的请求示例,通过POST请求向指定地址发送包含BASE64编码的有效负载的请求,这也是反序列化POC链在实际应用中的体现[^5]。 ```python # 此处为一个简单示意代码,用于说明反序列化POC链可能涉及的代码逻辑 import pickle # 模拟一个恶意类 class MaliciousClass: def __reduce__(self): import os return (os.system, ('ls',)) # 创建恶意对象 malicious_obj = MaliciousClass() # 序列化恶意对象 serialized_data = pickle.dumps(malicious_obj) # 模拟反序列化过程,触发漏洞 try: pickle.loads(serialized_data) except Exception as e: print(f"An error occurred: {e}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值