JNDI篇 “从文档开始的 jndi 注入之路” 因为 jndi 的内容比较多，我们可以直接从官方文档去看。 官方文档地址：https://docs.oracle.com/javase/tutorial/jndi/ove…

RMI篇 必须吐槽一句，这真的是学的最难受的一个章节了。但是不学后面的学习又不好进行。 RMI原理 0x01 RMI基础 1. RMI介绍 RMI 全称 Remote Method Invocation（远程方法调用），…

CommonsBeanUtils反序列化 CB1链 前言 因为在后续的shiro和fastjson反序列化的时候都会用到CB这条链子，所以有必要学习一下。 其实这条链子与CC2/CC4非常的相似。 环境 添加如下依赖 &…

CC复现篇大总结 目前我们的CC链的7条链子便全都复现完毕了。 怎么说呢，其实CC1链子是最基础最简单的链子，但是我复现CC1的时间算得上是最长的，毕竟是入门的第一条链子。彻底搞懂了CC1之后其他的链子复现起来就越来越快…

CC7链 前言 最后一条CC链，冲就完事了！ CC7链依旧是LazyMap版的CC1的变种，后半条链子就是 LazyMap.get() 的这条链子。这里从逆向分析依旧不好分析，我们尝试根据ysoserial中给出的链子来…

CC5链 前言 最后两条链子了冲冲冲！ CC5链的后半部分其实就是CC6的后半条链子，而CC6链是CC1的变种，所以CC5也算是CC1的变种。 后半条链子如下图 环境部署 就是CC1的环境 jdk8u65 Comoons…

CC2链 前言 过完前面的链子，看后续的链子简直不要太顺利 ~ CC2链其实就是CC4链基础上作了一些改动，摒弃了transformers数组和InstantiateTransformer#transform，然后通过I…

CC4链 前言 由于TransformingComparator类在commons-collections3没有实现序列化接口，而commons-collections4实现了，所以才有CC4链的存在。 CC4链的后半部…

CC3链 前言 CC3链就与前面的CC1与CC6有明显的区别了。因为CC1和CC6最终都是利用Runtime.exec()来执行命令的。而很多时候服务器的代码当中的黑名单会选择禁用 Runtime。 而 CC3 链这里呢…

CC6链 前言 现在开始CC链代码审计的第二个链子CC6 先说一说 CC6 链同我们之前 CC1 链的一些不同之处吧，我们当时审计 CC1 链的时候要求是比较严格的。要求的环境为 jdk8u65 与 Commons-Co…