java审计CC链1-7学习

原创 已于 2022-02-08 14:01:55 修改 · 986 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #后端

于 2022-01-06 17:10:40 首次发布
本文解析了CC链在Java审计中的复杂性,涉及高版本JDK对AnnotationInvocationHandler的改动,transformedMap的运用,以及如何通过cc3和cc4绕过serialkiller限制。讨论了不同Map类型的作用和cc1使用proxy的原理,还提到了jdk版本限制。

[基础知识]
CC链基础 - java审计1

[工具]
ysoserial

[分析]
freebuf文章

请添加图片描述
对自己探索的一些问题的回答

1.高版本jdk为什么无法执行成功

jdk8u71之前,我们的transformedmap或者lazymap会在AnnotationInvocationHandler的readObject时执行setValue,setValue中parent执行transform方法

而之后jdk修改了sun.reflect.annotation.AnnotationInvocationHandler,把我们构造的map拷贝到了一个LinkedMap中,自然就没有执行setValue和进而的transform

高版本的AnnotationInvocationHandler修改readObject, 和invoke也没关系啊,怎么影响到cc1的get方法了

2.map的作用

为了构造transformedmap

3.cc1使用proxy的原因

proxy.newProxyInstance生成的实例在执行任意方法的时候会去执行handler中的invoke方法
而AnnotationInvocationHandler中的invoke中包含了this.memberValues.get(var4);可以使lazymap执行get进而执行transform

4.各种Map的用处

lazyMap,transformedMap,TiedMapEntry,LinkedMap原本的用处是什么

5.jdk8u251中的becl的classloader被移除了

6.cc3

cc3的用处是绕过serialkiller对InvokerTransformer的限制使用InstantiateTransformer

7.cc4,2

是利用commons-collections4开发的链

8.cb链

脱离commonscollections且高版本可用
利用PriorityQueue中readObject的compare执行BeanComparator中的compare,其中PropertyUtils.getProperty方法执行javabean的getter方法,执行我们的TemplatesImpl中的getOutputProperties方法进而执行TemplatesImpl链

9.版本

jdk8u71之后不能使用cc0cc1
jdk7u21之后不能使用jdk7u21

【网络安全 | Java代码审计java-sec-code
等风来
11-07 3531
项目地址:https://github.com/JoyChou93/java-sec-code项目说明:Java 漏洞靶场,可黑盒测试及审计代码。README:https://github.com/JoyChou93/java-sec-code/blob/master/README_zh.md靶场默认环境为Linux。如果在Windows上搭建并验证漏洞,则需要对部分代码进行调整。在运行项目之前,需确保MySQL服务已启动。本文使用PHP Study来启动该服务。由于PHP Study不允许创建用户名为ro
[Java反序列化]JavaCC学习(8u71前)
Y4tacker的博客
05-26 1294
文章目录写在前面前置TransformerTransformedMapChainedTransformerInvokerTransformerConstantTransformer简化的CC(来自P神代码审计知识星球)参考接 写在前面 仅仅只是前置知识,感谢P神,让我接触到了新的东西,下面是P神的知识星球https://govuln.com/?page=4 前置 要了解这个子,必须要知道下面几个Transformer Transformer 能看到这是一个接口,有一个待实现的方法Transformer
cc(一)
enhengzZ的博客
01-29 1029
POC import org.apache.commons.collections.*; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.InvokerTransformer; import or
一文带你搞懂CC1(小白入门必看文章)
maple_leaf
12-03 5104
CC是利用Java反序列化漏洞进行攻击的一种方式。CC利用Apache Commons Collections库中的Transformer接口的实现类,通过巧妙的设计,将恶意代码序列化为一个对象,然后将该对象传递给一个反序列化函数,从而触发恶意代码的执行。
cc1分析
Sk1y的博客
04-08 859
cc1分析 文章目录cc1分析jdk版本依赖测试弹计算器用反射去调用Runtime,去弹一个计算器倒序找危险函数InvokerTransformer-->transformerTransformedMapMapEntry入口AnnotationInvocationHandlerRuntime序列化ChainedTransformer类对其简化继续调试 jdk版本 jdk版本:jdk8u65 因为在jdk8u71的时候,已经修复了 下载相应的jdk版本,去下面这个接 https://www.or
【心得】javaCC1入门CC个人笔记
uuzeray的博客
01-23 1949
来劲了,感觉离真正的CTF又近了一步。本文仅从一个萌新的角度去谈,如有纰漏,纯属蒟蒻。
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 1958
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
Java 安全之反序列化漏洞 —— 所有 CC 详细讲解(一)
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-16 1807
Java 安全之反序列化漏洞 CC 全解
CC1-Transformer利用分析
06-29 888
JDK 8u65环境配置参考。
java代码审计----常用框架了解
赵花花08042的博客
11-10 1084
框架 框架:软件的半成品,为解决问题而指定的一套约束,在提供功能基础上进行扩充。 框架中一些不能被封装的代码(变量),需要新建xml文件,在文件中添加变量内容。 类库:没有封装逻辑 MyBatis 环境搭建 导入jar Cglib依赖的包 动态代理包 日志包 MyBatis核心包 驱动 全局配置文件 在 src 下新建全局配置文件(编写 JDBC 四个变量) 引入 DTD 或 schema <?xml version="1.0" encoding="UTF-8"?>
CC-之初次见面dnslog
weixin_61425169的博客
09-20 373
相信很多不懂编程小白对应cc感觉是很遥远的的一个技术栈,其实仔细去看并没有难,那么他到底是什么呢?请看如下:
[JAVA反序列化]Javacc1分析
Y4tacker的博客
06-01 2326
文章目录写在前面动态代理简单介绍动态代理的实现JavaCC1解读参考文章 写在前面 这几天算是好好一边审计PHP的一些CMS一边啃Java的代码,终于能看懂CC1的构造流程了 动态代理 简单介绍 在JavaCC1的构造中,动态代理起了很关键的作用,这里来进行简单介绍,Java标准库提供了动态代理的机制,其可以在运行期动态创建interface的实例,直接从demo来理解 首先我们来个通常写代码的方式 我们先来一个一个接口,本CTF狗来个Flag吧 interface flag { void g
java安全-CC1(小宇特详解)
小宇的web博客
01-29 3130
java安全-CC1(小宇特详解) CC的前提是序列化和反序列化 序列化需要两个条件 该类必须实现java.io.Serlalizable接口 该类的所有属性必须是可序列化的,如果⼀个属性是不可序列化的,则属性必须标明是短暂的。 比如:static,transient 修饰的变量不可被序列化 注意事项: 不能new 一个Runtime类 package com.CC1; public class Demo { public static void main(String[] arg
Java反序列化:CC1 详解
Jay17的博客
10-06 3581
Java反序列化:CC1 详解
Java反序列化CC分析
阿道夫的博客
02-06 700
Apache Commons是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。Commons Collections包为Java标准的CollectionsAPI提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。
Java反序列化之CC解析
defeed的博客
05-11 1675
一篇学习介绍javacc的文章,对cc的transform和简单的利用做了一些介绍
Java安全-CC分析
sagic的博客
11-19 2455
Java安全学习JavaCC1-7分析
cc1-7分析
灰太的表格的博客
08-08 314
java反序列化——CC1
dreamer292的博客
08-27 1770
完整的子追踪起来还是挺复杂的,里面很多地方也都只是浅尝而止,基础还是不牢固反射机制还学的不太明白。 等多看几条子就老实了。。。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值