JAVA反序列化——CB链 依赖jdk:jdk8u65 CB:commons-beanutils 1.8.3 在pom.xml里添加 12345678910<dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId> 2024-04-24 JAVA #JAVA
DASCTF2024校赛 cool_indexserver.js: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394 2024-04-20 WPs #WPs
JAVA反序列化——CC7链及CC链总结 跟CC5一样,也是利用CC1的LazyMap.get及之后的部分,也是只改了开头。 这次是利用Hashtable.readObject方法,这个类是可以序列化的。 寻找在AbstractMap类里的equals方法调用了get方法: 12345678public boolean equals(Object o) { ………… if (value == null 2024-04-18 JAVA #JAVA
JAVA反序列化——CC5链 CC5也是在CC1的路线上改了改入口类。 从AnnotationInvocationHandler.readObject改成了BadAttributeValueExpException.readObject 沿用CC1从LazyMap.get之后的部分。 寻找在TiedMapEntry类的getValue方法也调用了get方法: 123public Object getValue() { 2024-04-18 JAVA #JAVA
JAVA反序列化——另一条CC1链 之前的CC1链是利用TransformedMap的checkSetValue方法来调用ChainedTransformer.transform 而另一种写法是利用LazyMap.get方法走动态代理来调用ChainedTransformer.transform 寻找我们看一下LazyMap类里的get方法 12345678public Object get(Object key) { 2024-04-17 JAVA #JAVA
JAVA反序列化——CC2链 详细请看CC4链。CC2链跟CC4链几乎一样,就是在CC4利用InstantiateTransformer类的基础上改成了直接使用InvokerTransformer,其他没变。 123456CC4:Transformer[] transformers = new Transformer[]{ new ConstantTransformer(TrAXFilter.class 2024-04-17 JAVA #JAVA
JAVA反序列化——CC4链 新依赖: 12345<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version></dependency> 2024-04-17 JAVA #JAVA
JAVA反序列化——CC3链 这条链是利用动态类加载来经行代码执行。 原理根据java类的动态加载原理,我们知道动态类加载可以通过ClassLoader来完成。而其中有个ClassLoader.defineClass可以从字节码加载任意类。 因为是动态类加载,我们先编写一个class类,以便后续我们加载这个类代码执行。 1234567891011import java.io.IOException;public class r 2024-04-17 JAVA #JAVA
JAVA反序列化——CC6链 CC6链其实就是URLDNS链的前半加上CC1链的后半。 链子构建入口类跟CC1链完全一致,这里不再赘述。 在找哪里调用了ChainedTransformer.transform方法时,CC1链是找到了TransformedMap类。而这里是选择了LazyMap类里的get方法。 12345678public Object get(Object key) { if (map.c 2024-04-10 JAVA #JAVA
XYCTF2024 ezhttp打开是登录页面,先看源码,源码提示: 1<!-- 为了防止忘记密码,我把它们放在某个地方了 --> 第一反应是robots.txt,进去看看。 得到/l0g1n.txt,进入得到帐号密码: 12username: XYCTFpassword: @JOILha!wuigqi123$ 登录后,开始正常修改http请求头,先抓个包, 123提示:不是 yuansh 2024-04-09 WPs #WPs