Java反序列化系列 ysoserial Jdk7u21
1.Jdk7U21漏洞简介
谈到java的反序列化,就绕不开一个经典的漏洞,在ysoserial 的payloads目录下 有一个jdk7u21,以往的反序列化Gadget都是需要借助第三方库才可以成功执行,但是jdk7u21的Gadget执行过程中所用到的所有类都存在在JDK中,JRE版本<=7u21都会存在此漏洞
2.Jdk7u21漏洞原理深入讲解
2.1漏洞执行流程
整体的恶意对象的封装整理成了脑图,如下图所示
这里用到了TemplatesImpl对象来封装我们的恶意代码,其封装和代码执行的流程在《Java 反序列化系列 ysoserial Hibernate[......]