ysoserial学习之CommonsCollections5

前言

CommonCollections系列的gadgets我们在反序列化利用中用的很多,下面剖析一下ysoserial中CommonCollections5的调用链和原理。

实验环境:jdk1.8.0_211、commons-collections:commons-collections:3.1

代码分析

关键调用链

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Gadget chain:
        ObjectInputStream.readObject()
            BadAttributeValueExpException.readObject()
                TiedMapEntry.toString()
                    LazyMap.get()
                        ChainedTransformer.transform()
                            ConstantTransformer.transform()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Class.getMethod()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Runtime.getRuntime()
                            InvokerTransformer.transform()
                                Method.invoke()
                                    Runtime.exec()
                                    
This only works in JDK 8u76 and WITHOUT a security manager(>=8u76)

观察这条调用链我们发现从LazyMap.get之后的调用链我们非常熟悉和cc1后半段一模一样,不一样的是该调用链的触发点变为了BadAttributeValueExpException.readObject

我们先看TiedMapEntry.toString()

1
2
3
public String toString() {
        return this.getKey() + "=" + this.getValue();
    }

getKey和getValue如下所示

我们看到如果this.map设置为Lazymap就可以调用到LazyMap.get()将调用链串联起来。所以这里使用TiedMapEntry.toString()没什么问题。接下来生成调用链的关键在于如何能调用到TiedMapEntry.toString。很显然作者选用了BadAttributeValueExpException。

接下来跟入BadAttributeValueExpException的readObject

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ObjectInputStream.GetField gf = ois.readFields();
        Object valObj = gf.get("val", null);

        if (valObj == null) {
            val = null;
        } else if (valObj instanceof String) {
            val= valObj;
        } else if (System.getSecurityManager() == null
                || valObj instanceof Long
                || valObj instanceof Integer
                || valObj instanceof Float
                || valObj instanceof Double
                || valObj instanceof Byte
                || valObj instanceof Short
                || valObj instanceof Boolean) {
            val = valObj.toString();             //看这里!!!
        } else { // the serialized object is from a version without JDK-8019292 fix
            val = System.identityHashCode(valObj) + "@" + valObj.getClass().getName();
        }
    }

valobj为从val属性中取出来的值,如果我们把val设置为TiedMapEntry即可。

后记

没有什么坑点,自问自答取消。。。

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

huahua<br><br>虚心学习,不断进步。