OverView CVE-2021-44228 影响版本:all versions from 2.0-beta9 to 2.14.1 Log4j2 的消息格式化处理拥有 Lookups 功能(https://logging.apache.org/log4j/2.x/manual/lookups.html),可以通过 ${前缀:key} 触发相应的替…
FastJson 反序列化漏洞 主要记录的是 1.2.24 ~ 1.2.47 的版本利用。 基本了解 构成漏洞的主要成因是 FastJson 在反序列化的过程中能够灵活的调用类的 getter 方法和 setter 方法。 反序列化常用 parse 方法和 parseObject 进行处理。两者的区别在于后者能够调用类中任意的 getter 方法(…
这里总结了一下 CommonCollections 的相关利用链 CC1 影响版本: CommonsCollections 3.1 - 3.2.1 jdk 1.7 因为 jdk 8 没有 setValue 操作,因此链断了。 Transformer 是 org.apache.commons.collections 包下的 Transformer 接…