commons collections 3反序列化链学习 目录 前言 简述类加载 类加载器 反序列化 流程链 补全代码 总结 前言 本次使用的JDK版本是Java 1.8u65 CC3链值得学习的地方主要是另一种新的代码执行方式： 动态类加载。 主要的使用场景就是当被禁用Runtime类的时候或者说需要执行任意代码的时候，有时候任意代码会比rce更…

commons collections 6反序列化链学习 目录 前言 思路 过程 工具类 LazyMap TideMapEntry HashCode 调整修复 完整代码 总结 前言 之前是讨论过CC1链，现在CC1链是已经不能用了，因为在8u71中对AnnotationInvocationHandler的readObject方法进行了针对性的修改：…

commons collections 1反序列化链学习 目录 思路 Transformer接口 InvokerTransformer类 ChainedTransformer类 ConstantTransformer类 思路过程 0x00第一部分 0x01第二部分 0x02第三部分 Runtime改写 ChainedTransformer简化序列化…

Java反序列化--URLDNS链 目录 Java反序列化 反序列化 安全问题 readObject方法 readObject包含可控参数 Java反射 获取Class类 获取/修改属性 Java反射链 分析 实践 总结 Java反序列化 反序列化 Java序列化是指把Java对象转换为字节序列的过程；而Java反序列化是指把字节序列恢复为Java…