鸣蜩十四的博客

最近披露了一个新的apache下属产品mina的CVE-2024-52046反序列化漏洞，查看漏洞公告进行简单的分析

在目前可得的描述中可以得出这个漏洞主要是因为使用 PKIAuthenticationPlugin 的 Solr 实例（在使用 Solr 身份验证时默认启用）容易受到身份验证绕过的影响，下来着重分析绕过数据的传递过程

最近看见有些师傅写的关于PublicCms的后台RCE文章，查了一下，忽然发现这个历史久远的cms忽然被申请了不少的cve，好奇心突发，于是决定先自己审计一遍存在漏洞的框架，然后将审计出来的漏洞和cve，github的issue来进行一波对比，看看有哪些自己没有发现的，提高自我水平。在本篇中，只挑选几种代表性的漏洞类型以及感兴趣的漏洞进行分享，有的只是思路，并没有利用成功，感兴趣的师傅可以再看一看进一步深挖。

我们在上一个环境中测试了fastjson1.2.24，我们现在来看一下之后fastjson的修补和绕过情况。

在本篇文章中，分析着重于代码方向，至于加密算法和测信道攻击，之前接触的较少。在这方面我处于能理解，但是让我来说，感觉还是很难说明白的阶段，可以多看看其他大佬的文章，交叉印证学习

Shiro-550漏洞是攻击者直接就可以用密钥实现框架加密过程，在Cookie字段写入想要服务端执行的恶意代码，最后服务端在对cookie进行解密的时候（反序列化后）就会执行恶意代码

和CC5反序列化链相似，CC7也是后半条LazyMap执行命令链不变，但是中间过程通过AbstractMap.equals()触发LazyMap.get()方法。

CC5链和CC1差不多，只不过调用LazyMap.get()是通过TiedMapEntry.toString()触发的

CC2链主要和CC4一样，但是区别在于CC2避免了使用Transformer数组，没有使用InstantiateTransformer类进行初始化，主要分析中间连接部分也就是CC2链重心。

CC4链中命令执行点还是一致的，可以用TransformingComparator来代替。

我们分析前两条链CC1和CC6时，都是利用invoke反射调用的Runtime().getRuntime().exec()来执行命令。而很多时候服务器的代码当中的黑名单会选择禁用Runtime。CC3链主要通过动态加载类加载机制来实现自动执行恶意类代码。

我们前两篇已经分析过URLDNS链和CC1链，我们这次分析的链就是基于前两条链之上的CC6链CC6链的使用对于版本来说没有CC1限制那么大，只需要commons collections 小于等于3.2.1，都存在这个漏洞。

在我们上一篇中详细分析了CC1链，但是在CC1链中还有一条链就是LazyMap类

Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ，其封装了Java 的Collection(集合) 相关类对象，它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类，CommonsCollections被⼴泛应⽤于各种Java应⽤的开发，而正是因为在大量web应⽤程序中这些类的实现以及⽅法的调用，导致了反序列化漏洞的普遍性和严重性

URLDNS 是ysoserial中一个利用链的名字，但准确来说，这个其实不能称作“利用链”。因为其参数不是一个可以“利用”的命令，而是一个URL，其能触发的结果也不是命令执行，而是一次DNS请求。但是因为其使用Java内置的类构造，对第三方库没有依赖，并且gadget也简单，适合成为我们初学者刚开始学习反序列化利用链的一个很好的开始。

Java中的JDBC与Mybatis中的SQL注入简易分析