Java安全—CommonsCollections4

最新推荐文章于 2025-03-28 13:11:55 发布

原创

最新推荐文章于 2025-03-28 13:11:55 发布 · 1.6k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#java #开发语言

本文详细介绍了Java安全中CommonsCollections4库中的PriorityQueue和TransformingComparator类，分析了如何利用TransformingComparator的反序列化漏洞，以及触发漏洞的条件和POC。文章强调了版本限制和利用过程中的关键步骤。

引子

CC4简单来说就是CC3前半部分和CC2后半部分拼接组成的，对于其利用的限制条件与CC2一致，一样需要在commons-collections-4.0版本使用，原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口，无法被反序列化。 接下来让我们仔细分析一下。

PriorityQueue

PriorityQueue是一个优先队列，作用是用来排序，重点在于每次排序都要触发传入的比较器comparator的compare()方法在CC2中，此类用于调用PriorityQueue重写的readObject来作为触发入口

PriorityQueue中的readObject间接调用了compare() 而compare()最终调用了transform()

我们先看它的readobject()方法

private void readObject(java.io.ObjectInputStream s)throws java.io.IOException, ClassNotFoundException {// Read in size, and any hidden stuffs.defaultReadObject();// Read in (and discard) array lengths.readInt();queue = new Object[size];// Read in all elements.for (int i = 0; i < size; i++)queue[i] = s.readObject();// Elements are guaranteed to be in "proper order", but the// spec has never explained what that might be.heapify();
}

重写了该方法