0x00前言
在前面的cc链的利用被提出利用的时候,当时就出现了两个分支版本分别修复了漏洞就是我们所熟知的commons-collections4,然后就有了这条cc链4的利用
0x01分析
我们看一下这两个包有什么区别,这是两个依赖导入- <dependency>
- <groupId>org.apache.commons</groupId>
- <artifactId>commons-collections4</artifactId>
- <version>4.0</version>
- </dependency>
-
从这里就可以知道它是用InstantiateTransformet,就是用的那个类加载机制去利用这个链子
还是细致的跟一下这个链子,就是简单调试
实在优先队列的那个类里面 PriorityQueue调用了下去的,然后在它的readObject方法调用的
在readObeject里面去调用了heapify()
在heapify里面调用了siftDown
然后继续调用siftDownUsingComparator
调用进来
这些其实都比较多余自己看跟一遍就懂了,链子上也没有写出来因为他们都在一个类里面还是readObject调用的,那就很简单了把命令执行的后半段黏上然后把这个
0x02开始构造链子
在代码执行那一块还是就跟cc链3一样吧照抄就行了
0x1代码执行部分
[code]public class CC4TEST { public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException { TemplatesImpl templates = new TemplatesImpl(); Class |
