2301_79724395的博客

然后还需要一个写这个文件的paylaod，还是一样的paylaod，不过是使用com.sun.org.apache.xml.internal.security.utils.JavaUtils", “writeBytesToFilename”所以目标又变成打hessian反序列化了，看了看题目的依赖，第一肯定是打jndi注入咯，但是不行，题目不出网，转手打内存马，打内存马首先利用Rome+temp的组合，但是发现没有rome依赖，我们选择使用heesian原生的链子来打。我们这里因为要打内存马，有三种选择。

调用这条链是很容易的，然后就是hex字节码部分，一开始选择的是jackson的原生链，以为也没有其他的依赖了。一开始我的思路是以为不能出网，直接二次反序列化打的字节码加载，首先通过yaml反序列化调用set方法触发。发现是出网的，只需要打URL远程类加载就好了其实，首先是我们的恶意文件，是看的别人的。简单说一次，其实就是hex加载的paylaod里面套一个url加载的。算了直接说吧，不想截图了，就多了一个C3P0和yaml的依赖。然后思路就是C3P0的二次反序列化打。的绕过其实也不难，!

可以看到出口类是一个找不到，然后jndi类是用不了，jackson反序列化是不行的，一般出口类都没有的时候就是到注入了，这里有fm模板的依赖，大概率是覆盖index.ftl然后去模板注入，但是CB的入口杯卡死了，可以使用CB的TreeBag链。有CB依赖和pgsql的依赖，而且pgsql还是漏洞版本，还有cb依赖，估计的思路是cb触发getter打pgsql。然后还有cc依赖不过是3.2.2版本的，还有Freemaker的模板。而Spring的配置文件这里确实是这样的，所以就是这样打。

怎么绕过new和Runtime方法很多，其实可以执行命令的还有ProcessBuilder。可以看见路由和return的值我们都是可以控制的，所以这个很简单，相当于就套一个。禁用了new和untime和也就是Runtime。然后反弹shell，需要base64编码解码。使用BCEL或则Spring自带的字节码。就是一个低版本的Thymeleaf注入。怎么绕过new，这里我们这个是关键词。主要是spel绕过，我们看到waf。然后如果要绕Runtime。1.使用New就好了。