Java反序列化之CC1链

文章预览

Commons Collections简介 Commons Collections是Apache软件基金会的一个开源项目，它提供了一组可复用的数据结构和算法 的实现，旨在扩展和增强Java集合框架，以便更好地满足不同类型应用的需求。该项目包含了多种不同 类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现，以及许多实用程序类和算法实 现。它的代码质量较高，被广泛应用于Java应用程序开发中。 Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式，但其核心部分是相同的，不同之 处在于中间过程的构造。Ysoserial 反序列化利用工具中提供了几种利用方式： 本文分析Commons Collections3.2.1版本下的一条最好用的反序列化漏洞链，这条攻击链被称为CC1链。 此包的类包含下面两个，需要重点关注： Map Commons Collections在java.util.Map的基础上扩展了很多接口和类，比较有代表性 ………………………………