使用User.java 12345678910111213141516171819202122232425262728293031323334package org.fastjsonLearn;public class User { private String name; private int age; public User() { Sys

简介common-BeanUtils 这个库的作用是对javaBean 的增强 javaBean 就是指的是private 的变量通过get和set 进行获取和设置 JavaBean - Java教程 - 廖雪峰的官方网站 (liaoxuefeng.com) 1234567891011121314151617181920212223242526272829303132333435363738394

简介该漏洞的原因是因为固定的key 加密 分析通过搜索cookie 就可以很快的发现这个类 然后通过分析发现里面存在 rememberSerializedIdentity 这个明显是一个序列化的过程 既然存在序列化的过程那么肯定存在反序列化的过程 发现确实存在这个 这个的函数其实很简单就是将这个base64解码之后然后返回给其他函数 我们可以尝试找一下在哪里调用了这个 从函数的名字其实就可

draw.io/反序列化链.drawio at main · TSY244/draw.io (github.com)

简介还是使用的是 LazyMap.get() 进行反序列化的 分析全局分析先通过LazyMap.get() 去分析 然后就看哪里调用了equals 然后在Hashtable.reconstitutionPut() 调用了 equals() 然后在HashTable中调用了该函数 那么就很清晰了 调用流程为如下 12345java.util.Hashtable.readObjectjava.u

简介 也就是换了一个入口(source)函数 分析我们从LazyMap.get() 出发 发现 TiedMapEntry 的getValue() 也调用了get() getValue() 又在toString() 中调用 然后就找一个可以被反序列化的类完成调用，重点关注readObject() 看看valObj是否可控 这个可以通过反射进行修改，那么链子就很清晰了 12345BadAtt

简介cc2 的开头和cc4 的开头是一样的，我们知道cc4 后面调用的transformer 是可控的，那么我们就可以直接使用 InvokeTransformer 去调用newTransformer 然后完成动态类加载 分析和前面是一样的，利用得失transform() 函数的参数可控 如是我们将priorityQueue 中的元素设置成这个就行 12345678910111213141516

简介cc4 这条链是在 commons-collections4-4.0 中 对应的pom.xml 为 12345<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <ver

动态类加载动态类加载 - AU9U5T 分析由于defineClass 是private 所以我们得找到一条链子可以实现public 函数为入口调用到defineClass 那就得慢慢 在ClassLoader 类中去找 最终找到了这个 往上找 发现是作用域是default 那么只会在该类中调用，继续往上找 只有一个调用者 1234567891011121314151617181920212