readObject反序列化漏洞
readObject 反序列化漏洞
1、审计-全局搜索readObject()函数
可以看到代码中使用base64解码后转码,反序列化
2、查看外部库版本
根据 ysoserial-0.0.8-SNAPSHOT-all 项目工具的表来看,可以尝试 CommonsCollections5进行测试
3、使用yakit进行测试,生成base64的payload
成功弹出计算器
1、审计-全局搜索readObject()函数
可以看到代码中使用base64解码后转码,反序列化
2、查看外部库版本
根据 ysoserial-0.0.8-SNAPSHOT-all 项目工具的表来看,可以尝试 CommonsCollections5进行测试
3、使用yakit进行测试,生成base64的payload
成功弹出计算器
浙公网安备 33010602011771号