Java反序列化

每次提到Java反序列化,我始终都能在脑海中浮现commons-collections,这一个能助开发从业者轻松开发的依赖,使人爱也萧何恨也萧何。今日与君再忆,望与君温故而知新。
前段时间翻ObjectInputStream代码,发现一处可以利用手工构造的序列化数据来虚耗的问题,以为可以加个CVE了。
目前我个人也在找一个合适的方法来高效挖掘利用链,本文将主要介绍我自己的一些挖掘心得,辅以XStream反序列化利用链CVE-2021-21346为例。
文章深入分析了作者在渗透测试过程中遇到的Richfaces 4框架中存在的漏洞,并构建出了完整的RCE利用链。