ysoserial

在最后一步的实现上，cc2和cc3一样，最终都是通过TemplatesImpl恶意字节码文件动态加载方式实现反序列化。 已知的TemplatesImpl->newTransformer()是最终要执行的。 TemplatesImpl类动态加载方式的实现分析见y...

cc3利用链如下： TrAXFilter(Templates templates) TemplatesImpl->newTransformer() TemplatesImpl->getTransletInstance() _class[_transletIndex].newInstance(); 一、为构造...

ysoserial-CommonsBeanutils1的shiro无依赖链改造 一、CB1利用链分析 此条利用链需要配合Commons-Beanutils组件来进行利用，在shiro中是自带此组件的。 先上大佬写的简化版利用链，和ysoserial中的代码有点不同，...

前言： 这篇主要分析commonCollections2，调用链如下图所示： 调用链分析： 分析环境：jdk1.8.0 反序列化的入口点为src.zip!/java/util/PriorityQueue.java 此时将会对队列调用siftdown函数，其中队列中包含了...

前文介绍了最简单的反序列化链URLDNS，虽然URLDNS本身不依赖第三方包且调用简单，但不能做到漏洞利用，仅能做漏洞探测，如何才能实现RCE呢，于是就有Common-collections1-7、Common-BeanUtils等这些三方库的利用...

1.前言 这篇文章继续分析commoncollections4利用链，这篇文章是对cc2的改造，和cc3一样，cc3是对cc1的改造，cc4则是对cc2的改造，里面chained的invoke变成了instantiateTransformer，所以不用invoke反射调用方法...

这是CC链分析的第二篇文章，我想按着common-collections的版本顺序来介绍，所以顺序为 cc1、3、5、6、7（common-collections 3.1），cc2、4（common-collections4）。 打开YsoSerial payloads CommonsCollections...

ysoserial CommonsColletions2分析 前言 此文章是ysoserial中 commons-collections2 的分析文章，所需的知识包括java反射，javassist。 在CC2中是用的 PriorityQueue#reaObject作为反序列化的入口，利用javassist...

ysoserial CommonsColletions4分析 其实CC4就是 CC3前半部分和CC2后半部分 拼接组成的，没有什么新的知识点。 不过要注意的是，CC4和CC2一样需要在commons-collections-4.0版本使用，3.1-3.2.1版本不能去使用，原...

目录 7u21 gadget链分析 hashCode绕过 参考 URLDNS 7u21 7u21中利用了TemplatesImpl来执行命令，结合动态代理、AnnotationInvocationHandler、HashSet都成了gadget链。 先看一下调用栈，把ysoserial中的调用栈简...

目录 0x00 前言 0x01 基础知识 Transformer 利用InvokerTransformer造成命令执行 Map TransformedMap LazyMap AnnotationInvocationHandler 动态代理 0x02 Commons Collections Gadget 分析 CommonsCollections1...

我们知道，AnnotationInvocationHandler类在JDK8u71版本以后，官方对readobject进行了改写。 所以要挖掘出一条能替代的类BadAttributeValueExpException 在CC5中除了有一个新的类BadAttributeValueExpException外...

CC6的话是一条比较通用的链，在JAVA7和8版本都可以使用，而触发点也是通过LazyMap的get方法。 TiedMapEntry#hashCode 在CC5中，通过的是TiedMapEntry的toString调用到的LazyMap的get方法，而CC6则是通过TiedMapEn...

CC3的利用链在JDK8u71版本以后是无法使用的，具体还是由于AnnotationInvocationHandler的readobject进行了改写。 而CC3目前有两条主流的利用链，利用TransformedMap或者LazyMap。我们这篇文章先讲TransformedMap...

上篇文章讲到CC3的TransformedMap链，这篇我们就来讲一下LazyMap链。 其实LazyMap链还是使用的TemplatesImpl承载payload，InstantiateTransformer、TrAXFilter、ChainedTransformer这三个来构造调用链。 和另一条...

CC7也是一条比较通用的链了，不过对于其原理的话，其实还是挺复杂的。文章如有错误，敬请大佬们斧正 CC7利用的是hashtable#readObject作为反序列化入口。AbstractMap的equals来触发的LazyMap的get方法 POC分析 这...

JAVA安全审计 ysoserial CommonsColletions1分析 前言： 在ysoserial工具中，并没有使用TransformedMap的来触发ChainedTransformer链，而是用了LazyMap的get方法 CommonsCollections1 调用链： /* Gadget chain:...

利用链如下： 其中LazyMap.get()->ChainedTransformer.transform()-InvokerTransformer.transform()与CC1链一致。 /* Gadget chain: java.io.ObjectInputStream.readObject() java.util.Has...