跟CC5一样，也是利用CC1的LazyMap.get及之后的部分，也是只改了开头。 这次是利用Hashtable.readObject方法，这个类是可以序列化的。 寻找在AbstractMap类里的equals方法调用了get方法： 12345678public boolean equals(Object o) { ………… if (value == null

CC5也是在CC1的路线上改了改入口类。 从AnnotationInvocationHandler.readObject改成了BadAttributeValueExpException.readObject 沿用CC1从LazyMap.get之后的部分。 寻找在TiedMapEntry类的getValue方法也调用了get方法： 123public Object getValue() {

之前的CC1链是利用TransformedMap的checkSetValue方法来调用ChainedTransformer.transform 而另一种写法是利用LazyMap.get方法走动态代理来调用ChainedTransformer.transform 寻找我们看一下LazyMap类里的get方法 12345678public Object get(Object key) {

详细请看CC4链。CC2链跟CC4链几乎一样，就是在CC4利用InstantiateTransformer类的基础上改成了直接使用InvokerTransformer，其他没变。 123456CC4：Transformer[] transformers = new Transformer[]{ new ConstantTransformer(TrAXFilter.class

新依赖： 12345<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version></dependency>

这条链是利用动态类加载来经行代码执行。 原理根据java类的动态加载原理，我们知道动态类加载可以通过ClassLoader来完成。而其中有个ClassLoader.defineClass可以从字节码加载任意类。 因为是动态类加载，我们先编写一个class类，以便后续我们加载这个类代码执行。 1234567891011import java.io.IOException;public class r

CC6链其实就是URLDNS链的前半加上CC1链的后半。 链子构建入口类跟CC1链完全一致，这里不再赘述。 在找哪里调用了ChainedTransformer.transform方法时，CC1链是找到了TransformedMap类。而这里是选择了LazyMap类里的get方法。 12345678public Object get(Object key) { if (map.c

ezhttp打开是登录页面，先看源码，源码提示： 1<!-- 为了防止忘记密码，我把它们放在某个地方了 --> 第一反应是robots.txt，进去看看。 得到/l0g1n.txt，进入得到帐号密码： 12username: XYCTFpassword: @JOILha!wuigqi123$ 登录后，开始正常修改http请求头，先抓个包， 123提示：不是 yuansh

前言CC1链有两种写法，我这种写法跟ysoserial里的写法不一样，另一种写法写在另一篇文章。 cc1链要求java版本小于jdk8u71 我这里用的JDK版本是8u66 因为在高版本这条链子最后的annotationInvocationHandler类readObject之后，memberValues小版本有值，高版本是空 依赖工欲善其事，必先利其器关于apache commons colle

原理：根据反序列化的一般要求，首先URL类肯定是需要能实现反序列化的接口的。 而在URL类里的hashcode方法里，会先进行一个判断，如果不是-1，那么就进入URLStreamHandler类里的hashCode方法： 而在这个方法里，会执行getHostAddress方法，这是根据域名解析IP地址的函数。 结合DNS的相关知识，也就是说只要走到这个函数，就一定会发出DNS请求。 同样的