CC链总结

已于 2023-03-24 10:08:43 修改
阅读量831 收藏 8
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Java代码审计 文章标签: java spring 面试
于 2023-03-14 20:28:35 首次发布
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/129539246
文章详细梳理了CommonsCollections库中的多个调用链,包括TransformedMap、LazyMap、TrAXFilter等在不同版本JDK下的利用方式,如CC1、CC2、CC3、CC4、CC5、CC6和CC7。这些调用链涉及到的安全问题主要与Java代码审计和安全漏洞相关,特别是利用AnnotationInvocationHandler进行反射攻击,并讨论了各种场景下的限制和无限制利用条件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

整理一下CC链相关的内容,单独存放,方便复习。

0x01 CC链

1、transformedMap调用链

2、LazyMap调用链 CC1

3、CC2

4、CC3

这里可以通过这种方式调用:

5、CC4

CC4就是重新组合了一下,更适合jdk多版本

6、CC5

7、CC6

Java代码审计——Commons Collections6 HashSet

8、CC7

Java代码审计——Commons Collections7 HashTable

0x02 知识点总结:

CC1:TransformedMap
- AnnotationInvocationHandler
- jdk 1.7限制

CC1:LazyMap
- AnnotationInvocationHandler
- jdk 1.7限制

CC2:PriorityQueue
- TemplatesImpl
- TransformingComparator_compare
- PriorityQueue
- jdk无限制
- cc4

CC3:TrAXFilter
- AnnotationInvocationHandler
- cc链无要求
- jdk1.7

CC4:组合利用
- TemplatesImpl
- TrAXFilter
- TransformingComparator_compare
- PriorityQueue
- cc4

CC5:TiedMap
- Lazymap
- TiedMapEntry
- BadAttributeValueExpException
- 无任何要求,可以直接使用

CC6:hashCode
- hashCode
- 走urldns反序列化一套
- 无任何要求,可以直接使用

CC7:在CC6的基础上多走了一步 HashTable

JAVA反序列化深入学习(九):CommonsCollections7与CC总结
Neolock的博客
03-29 1289
CC7 依旧是寻找 LazyMap 的触发点 CC6使用了 HashSet 而CC6使用了 Hashtable
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 1848
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
Commons-Collections篇-CC4分析
鸣蜩十四的博客
06-15 1122
CC4中命令执行点还是一致的,可以用TransformingComparator来代替。
CC4利用分析
07-08 882
我的Github主页同步更新,有简单的利用图。
CC4分析
..
10-27 1137
CC更新了一个大的版本,今天讲的是更新后的。
Java反序列化 CC4利用记录
LTianHang的博客
02-07 285
Java反序列化 CC4利用记录
10-java安全——java反序列化CC3和CC4分析
网络安全
07-20 2347
漏洞分析环境: JDK1.7.0_80 apache commons collections-3.0 在maven项目中的pom文件中添加3.1版本的依赖 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version
vkcc:用于从vk.cc生成短网址接的简单cli工具
02-27
vkcc 是一个基于Go语言开发的...总结,vkcc是一个用Go语言构建的CLI工具,它简化了在vk.cc平台上生成短网址的过程。通过了解和使用vk.cc,不仅可以提升工作效率,还能深入理解短网址服务的工作机制和Go语言的应用实践。
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3771
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
【创宇小课堂】代码审计-反序列化CC
cdyunaq的博客
03-11 3468
1、首先已知恶意接口类Transformer、查看他的实现类,使用Crtl+H 2、查看InvokerTransformer类,在该类发现到如下问题代码,反射调用传入的任意类 方法,该方法源码如下所示。明显的反射调用,此时就需要定位该方法在那里被调用 3、查看到TransformedMap的三个方法transformKey、transformValue、checkSetValue三个函数进行了调用,但这三个方法是protected修饰的 4、到TransformedMap的构造函数,发现
Java安全』反序列化-CC4反序列化漏洞POP分析_ysoserial CommonsCollections4 PoC分析
Ho1aAs‘s Blog
03-12 1100
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. TrAXFilter构造器传入TemplatesImpl会调用newTransformer()2. InstantiateTransformer.transform()调用指定的类构造器3. TransformingComparator.compare()调用this.transformer.transform()4. PriorityQueue反序列化调用comparator.compare()POP完 前言 同样的,CC4CC2的变种,改变
Commons-Collections篇-CC7
鸣蜩十四的博客
07-09 1111
CC5反序列化相似,CC7也是后半条LazyMap执行命令不变,但是中间过程通过AbstractMap.equals()触发LazyMap.get()方法。
CC4 表排序
Laoddaaa的博客
10-15 205
CC4 表排序
Java安全学习笔记--反序列化漏洞利用CC4
m0_64685672的博客
01-20 1750
测试环境 jdk1.8(jdk8u71) Commons Collections4.0 基于cc2和cc3,由于TransformingComparator+priorityqueue是可以触发transforme()方法所以可以利用这个两个类的组合来代替cc3中的LazyMap或Transformedmmap+AnnotationinvocationHandler的组合,从而构成了cc4。 恶意类 import com.sun.org.apache.xalan.int...
Java安全学习笔记--反序列化利用CC7
m0_64685672的博客
01-27 1550
测试环境: jdk1.8(jdk8u71) Commons Collections4.0 Hashtable 和HashMap很相似,使用地址法解决哈希冲突,线程安全 Cc7和cc6差不多,cc7使用Hashtable来触发LazyMap的get方法,比cc6的稍微复杂一些。 利用核心 final Transformer chainedTransformer= new ChainedTransformer(new Transformer[0]); Transfo
12-java安全——java反序列化CC7分析
网络安全
08-23 3223
在分析CC7之前,需要对Hashtable集合的源码有一定的了解。 从思路上来说,我觉得CC7利用更像是从CC6利用改造而来,只不过是CC7没有使用HashSet,而是使用了Hashtable来构造新的利用。 经过测试,CC7利用在jdk8u071和jdk7u81都可以利用成功,payload代码如下: package com.cc; import org.apache.commons.collections.Transformer; import org.apache.commo
CC4学习记录
最新发布
weixin_44770698的博客
11-17 1059
CC4学习记录
Java反序列化:CC1 详解
Jay17的博客
10-06 3252
Java反序列化:CC1 详解
java-CC1分析
qq_62613905的博客
01-30 554
java-CC分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值