浙江龙网

  1. 首页 > 生活百科 > >

CC1,3,6回顾

生活百科CC1

前言前面陆续学习了CC1,CC3,CC6,以及TemplatesImpl以及改造,有点乱,正所谓温故而知新嘛,所以这篇就回顾一下,捋一捋 , 解决一些细节问题 。
CC1由于CC1要介绍CC链的几个关键类,所以写了三篇

  1. InvokerTransformer,其transform可以执行任意方法,
  2. ConstantTransformer作用是拿到一个危险类,如RunTime等等,
  3. ChainedTransformer作用是将几个Transformer串联起来
这三种搭配就可以执行任意方法
  1. TransformedMap:用来修饰Map , 被修饰过的Map在添加新的元素时,将可以执??个回调,也就是说可以调用其他的tramsform
  2. AnnotationInvocationHandler:第四点说了,触发漏洞的核心是向Map加入新的元素,在实际反序列化利用的时候,我们需要找到一个类,它在反序列化的readObject逻辑里有类似的写入操作 。这个类刚好符合条件 。
到这儿,算是一条完整的CC利用链了 。
  1. LazyMap:作用和TransformedMap类似,都是为了执行transform,区别就是TransformedMap是在写入元素的时候执行会transform,而LazyMap是在其get方法中执行的factory.transform
  2. 动态代理:使用了一个动态代理的方法来调用``LazyMap#get,原因是当我们调用某个动态代理对象的方法时 , 都会触发代理类的invoke`方法,并传递对应的内容
分析一下利用过程:这里1,2,3,4,5是一条利用链,逻辑很清晰 。1,2,3,6,7是一条利用链 。这里还是比较绕的,分析一下利用过程:
只需要找到某个地方调用了LazyMap#get方法 , 并且传递了任意值 。
首先在readObject时,会触发AnnotationInvocationHandler#readObject方法,其中调用了this.memberValues.entrySet
CC1,3,6回顾

文章插图
this.memberValues是构造好的proxyMap , 由于这是一个代理对象 , 所以调用其方法时,会去调用其创建代理时设置的handlerinvoke方法
CC1,3,6回顾

文章插图
proxyMap设置的handler为下面这个handler,同样是InvocationHandler这个类,接着会调用他的invoke方法
CC1,3,6回顾

文章插图
InvocationHandler#invoke的78行代码中调用了this.memberValues#get,此时的this.memberValues为之前设置好的lazymap,所以这里调用的是lazymap#get,从而触发后边的rce链 。
CC1,3,6回顾

文章插图
代理后的对象叫做proxyMap,但我们不能直接对其进行序列化,因为我们入口点是 sun.reflect.annotation.AnnotationInvocationHandler#readObject,所以我们还需要再用 AnnotationInvocationHandler对这个proxyMap进行包裹:
CC1,3,6回顾

文章插图
这里还是比较绕的,因为设置了两个handler,但是第一个handler是为了触发lazymap#get,而第二个handler实际上只是为了触发代理类所设置handler的invoke方法
接着解释一些细节的问题:
  1. 为什么这用反射的方式来创建AnnotationInvocationHandler的实例?
    因为AnnotationInvocationHandler并不是public类,所以无法直接通过new的方式来创建其实例 。
    CC1,3,6回顾

    文章插图
2.为什么创建handler时传入的第一个参数是Retention.class?
因为在创建实例的时候对传入的第一个参数调用了isAnnotation方法来判断其是否为注解类:
public boolean isAnnotation() {return (getModifiers() & ANNOTATION) != 0;}而Retention.class正是java自带的一个注解类,所以这里可以直接用上,当然要是换成其他注解类也是ok的 。
CC6CommonsCollections1利用链,两种方法,LazyMap以及TransformedMap,但是在Java 8u71以后,这个利?链不能再利?了,主要原因是 sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑变化了
所以关注点如何调?LazyMap#get()
找到的类是org.apache.commons.collections.keyvalue.TiedMapEntry

推荐阅读


上一篇:Django更换数据库和迁移数据方案

下一篇:Number,String类型 第一百零八篇:最常用的基本数据类型