前言 本章我们来看一看 Apache CommonsCollections6 Payload 的构造与利用. Apache CommonsCollections6 首先来看一看 YSoSerial 中关于 ACC6 Payload 的定义 . 通过上图不难看出 , ACC6 Payload 的核心为通过 TiedMapEntry.getValue(…

前言 本章我们来分析 Apache CommonsCollections5 Payload 的构造与利用 在 Java 反序列化漏洞(4) – Apache Commons Collections POP Gadget Chains 剖析 一文中 ， 我有总结调用 transform() 方法的两种方式. TransformedMap 攻击链 La…

前言 上一章我们分析了 CommonsCollections3 Payload , 该 Payload 没有用什么新知识 , 而是将 ACC1 Payload 和 ACC2 Payload 组合并成了一个新的 Payload . 本章我们分析的 CommonsCollections4 Payload 同样由 ACC2 Payload 和 ACC3 …

前言 上一章我们分析了 CommonsCollections2 Payload , 该 Payload 构造的十分巧妙 , 通过组合 JAVAssist 字节码增强类库 和 PriorityQueue优先级队列 两种技术实现了任意代码执行 . 本章我们来分析 CommonsCollections3 的 Payload 是如何构造与利用的. Comm…

前言 上一章我分析了 CommonsCollections1 这条利用链 . 这一次我们来分析一下 CommonsCollections2 这条利用链. CommonsCollections2 CommonsCollections2 利用链是 YSoSerial 中比较好玩的一条利用链 , 用了很多我之前没有接触过的知识点 . 本章我们就详细分析一…

前言 本章我们来谈一谈 YSoSerial 中的第一条 ACC 链 CommonsCollections1 Payload 的构造原理 . 在 Java 反序列化漏洞(4) – Apache Commons Collections POP Gadget Chains 剖析 一文中 , 我就已经分析过 Apache Commons Collectio…

前言 本章主要来谈一谈 URLDNS 这条利用链 . 在一般的Web测试环境中 , 确定目标系统是否存在反序列化漏洞一直是个难题 . 试想当我们对着一个业务系统打了各种反序列化 Payload , 结果目标系统代码中压根没有可控的 readObject() 方法 , 那真是一件让人非常郁闷的事 . YSoSerial 中通过 URLDNS Payl…

前言 下面两章我将从 YSoSerial 工具的角度来学习各类 POP 利用链 . 在此之前 , 我们需要搭建 YSoSerial 调试环境以及了解 Java 一大核心机制 : 动态代理机制 PS : 最近好多企业开始 HW 演练了 , 要去各种现场 , 真是忙到不行 ! 不过能看到大佬手工挖 0day , 也不亏哈哈 . 环境搭建 YSoSeri…

前言 本章来谈一谈两条 Apache Commons Collections 的 POP 利用链 , 分别是 TransformedMap攻击链 与 LazyMap攻击链 . 废话不多说 , 直接开搞 ! 漏洞复现 复现环境是 IntelliJ IDEA + jdk1.7.080 + Apache Commons Collections 3.1 ,…