摘要:
CC1链_全网最菜的分析思路 1 你必须知道的点 1.1 反序列化利用链的起点是readObject()方法 Java的序列化机制允许将对象的状态保存到一个字节流中,之后可以从这个字节流中恢复(或“反序列化”)出对象。这个过程中,ObjectInputStream类负责读取这些字节流,并尝试根据包含 阅读全文
posted @ 2024-09-22 23:27
leyilea
阅读(746)
评论(0)
推荐(0)
摘要:
JdbcRowSetImpl利用链 前言 首先说明一下:利用链都有自己的使用场景,要根据场景进行选择不同的利用链。 JdbcRowSetImpl利用链用于fastjson反序列化漏洞中。 为什么? 因为fastjson会在反序列化类时自动调用set开头的方法(不一定是setter方法),而JdbcR 阅读全文
posted @ 2024-09-22 23:22
leyilea
阅读(193)
评论(0)
推荐(0)
摘要:
URLDNS链 URLDNS链是java通过反序列化发起dns请求的利用链。一般用于测试反序列化漏洞。 该链比较简单,利用链也比较短。 其中入口类为 HashMap,执行类为URLStreamHandler的hashCode()方法。 整个调用链如下: HashMap.readObject() Ha 阅读全文
posted @ 2024-09-22 23:05
leyilea
阅读(321)
评论(0)
推荐(0)
浙公网安备 33010602011771号