collections | CN-SEC 中文网

安全博客

JAVA反序列化 & Commons-Collections-3.1 反序列化分析

目录基础知识简单例子反序列化触发点扩展ObjectInputStream.readUnsharedXMLDecoder.readObjectYaml.loadXStream.fromXMLObjec...

12月24日7 views评论

阅读全文

安全文章

Apache-Commons-Collections反序列化漏洞分析

环境搭建JDK版本为为1.8引入commons-collections-3.2.1.jar包，具体引入方法为：新建项目--在项目中新建lib文件夹----将commons-collections-3....

10月28日28 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC1）补充-LazyMap路线

1.介绍Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ，其封装了Java 的 Collection(集合) 相关类对象，它提供了很多强有⼒的...

07月15日20 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC4）

前言因为 CommonsCollections4 除 4.0 的其他版本去掉了 InvokerTransformer 继承 Serializable，导致该方法无法序列化。同时 CommonsColl...

06月15日15 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC3）

前言我们分析前两条链CC1和CC6时，都是利用invoke反射调用的Runtime().getRuntime().exec()来执行命令。而很多时候服务器的代码当中的黑名单会选择禁用RuntimeCC...

06月07日14 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC6）

前言我们前两篇已经分析过URLDNS链和CC1链，我们这次分析的链就是基于前两条链之上的CC6链CC6链的使用对于版本来说没有CC1限制那么大，只需要commons collections 小于等于3...

05月30日30 views评论

阅读全文

代码审计

Java反序列化漏洞：Commons Collections 1 学习笔记

本文为看雪论坛优秀文章看雪论坛作者ID：wx_牛牛_292前置知识分析Transformer接口及其实现类。ConstantTransformer：构造函数传入一个对象，调用transform()方法...

12月21日20 views评论

阅读全文

代码审计

commons-collections反序列化利用链分析（3）

前边分析了CC1和CC2利用链，总体来说都是通过InvokerTransformer#transforme反射调用导致代码执行，但具体构造，先回顾一下CC1和CC2的思路。CC1新建一个map并绑定构...

08月28日33 views评论

阅读全文

安全工具

H行动必备利器，ysoserial超进阶版ysuserial 0.1 尝鲜

[ ysuserial ] 某行动在即，为助力在一线防守的伙伴，特发此自用项目，帮助伙伴们更高效、更快速的针对 Java 反序列化...

06月21日1,715 views评论

阅读全文

安全文章

Apache Shiro回显poc改造计划

No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必...

06月16日29 views评论

阅读全文

代码审计

『代码审计』ysoserial CommonsCollections 6 反序列化分析（三）

点击蓝字 / 关注我们日期：2022-05-12作者：ICDAT介绍：这篇文章主要是跟着java安全漫谈对ysoserial CommonsCollections 6反序列化链分析。0x0...

05月13日54 views评论

阅读全文

安全开发

Commons Collections 2 Gadget

前文回顾TransformingComparator 利用链TransformingComparator.compare()PriorityQueue.readObject()PriorityQueu...

04月16日52 views评论

阅读全文

JAVA反序列化 & Commons-Collections-3.1 反序列化分析

Apache-Commons-Collections反序列化漏洞分析

反序列化学习之路-Apache Commons Collections（CC1）补充-LazyMap路线

反序列化学习之路-Apache Commons Collections（CC4）

反序列化学习之路-Apache Commons Collections（CC3）

反序列化学习之路-Apache Commons Collections（CC6）

Java反序列化漏洞：Commons Collections 1 学习笔记

commons-collections反序列化利用链分析（3）

H行动必备利器，ysoserial超进阶版ysuserial 0.1 尝鲜

Apache Shiro回显poc改造计划

『代码审计』ysoserial CommonsCollections 6 反序列化分析（三）

Commons Collections 2 Gadget

在线咨询

微信