编程语言
首页 > 编程语言> > [Java反序列化]CommonsCollections3利用链学习

[Java反序列化]CommonsCollections3利用链学习

作者:互联网

文章目录

利用思路

绕过了对InvokerTransformer的利用,替代方法是这⾥⽤⼀个新的
Transformerorg.apache.commons.collections.functors.InstantiateTransformer,通过利⽤ InstantiateTransformer来调⽤到TrAXFilter 的构造⽅法,再利
⽤其构造⽅法⾥的 templates.newTransformer() 调⽤到 TemplatesImpl⾥的字节码

漏洞利用链分析

首先是AnnotationInvocationHandler.classreadObject方法,为了调用set方法触发回调的过程,这个来源于this.memberValues.entrySet().iterator()(从这里不难看出需要一个传入Map)
在这里插入图片描述

set触发"回调"
在这里插入图片描述
触发了Transformer类的回调过程
在这里插入图片描述
从构造的payload这里我们也不难看出是为了实例化一个TrAXFilter
在这里插入图片描述
当然再往下跟踪这里也验证了我们的猜想
在这里插入图片描述
到了最关键的地方了,调用newTransformer,后面和我上一篇文章分析的过程一致[Java安全]利用TemplatesImpl执行字节码

在这里插入图片描述

接下来触发了TransletClassLoaderdefineClass方法
在这里插入图片描述
成功通过执行defineClass加载出我们的字节码
在这里插入图片描述
计算器弹出来
在这里插入图片描述
扣个小细节_tfactory我个人觉得可以不用加上,但可能是大师傅觉得加上这个减少报错条件,现在太菜了还是猜不透加这个原因,毕竟与这个相关的调用也在我们弹出计算器之后了
还有一个细节是
在这里插入图片描述
从上图中我们不难看出TemplatesImpl 中对加载的字节码是有一定要求的:这个字节码对应的类必须
com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类
可以看到在readObject中首先设置为-1

在这里插入图片描述
如果不想在这里抛出异常终止那就必须是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类
在这里插入图片描述
因此最终在这里实例化我们自定义的恶意代码类
在这里插入图片描述
因此成功执行恶意代码,弹出了计算器
在这里插入图片描述

利用代码

phith0n/JavaThings

标签:触发,TemplatesImpl,Java,字节,利用,apache,org,序列化,CommonsCollections3
来源: https://blog.csdn.net/solitudi/article/details/119084222