Commons Collections 1反序列化链(CC1)详细分析<\/h1>

0x00 前言<\/h2>
CC1链是Apache Commons Collections库中的一个著名反序列化漏洞利用链，本文面向刚开始分析CC1链的学习者，详细解释链中的关键点和常见疑惑。<\/p>

0x01 完整EXP<\/h2>
由于篇幅限制，EXP代码以图示形式展示，读者也可参考其他分析文章获取完整利用代码。<\/p>

0x02 HashMap.put()的关键作用<\/h2>

1. 为何需要调用hashmap.put()<\/h3>

在CC1链中，反序列化过程从AnnotationInvocationHandler<\/code>的readObject<\/code>方法开始，目标是调用其中的memberValue.setValue()<\/code>方法。但这个方法位于for-each循环中：<\/p>


通过反射创建AnnotationInvocationHandler<\/code>对象时需要传入一个Map<\/li>
这个Map对应readObject<\/code>方法中的memberValues<\/code>变量<\/li>
如果memberValues<\/code>为空，for循环会直接跳过不执行内部代码<\/li>
因此必须调用hashmap.put()<\/code>向Map中添加数据才能进入循环体<\/li>
<\/ul>
2. 为何第一个键必须是"value"<\/h3>
关键原因在于AnnotationInvocationHandler<\/code>的处理逻辑：<\/p>

构造AnnotationInvocationHandler<\/code>时第一个参数通常设为Target.class<\/code>注解<\/li>
Target.class<\/code>注解包含value<\/code>键，使得memberTypes.get(name)<\/code>能获取到非空值<\/li>
name<\/code>来自memberValue.getKey()<\/code>，即Map的键<\/li>
因此Map的键必须与注解中定义的键匹配（如value<\/code>）<\/li>
<\/ol>
替代方案：也可以使用其他包含键的注解如Repeatable.class<\/code>或Retention.class<\/code><\/p>
0x03 AbstractInputCheckedMapDecorator中的setValue()<\/h2>
1. TransformedMap为何会调用父类的setValue<\/h3>
关键继承关系：<\/p>
TransformedMap → AbstractInputCheckedMapDecorator → AbstractMapDecorator
<\/code><\/pre>
关键点：<\/p>

TransformedMap<\/code>本身没有setValue()<\/code>方法<\/li>
调用时会向上查找父类AbstractInputCheckedMapDecorator<\/code>中的方法<\/li>
该类重写了for-each循环的底层逻辑<\/li>
通过MapEntry<\/code>类生成Map条目，而MapEntry<\/code>中包含setValue<\/code>方法<\/li>
<\/ul>
2. parent如何被控制为我们想要的Map类型<\/h3>
调用链分析：<\/p>

TransformedMap<\/code>找不到setValue<\/code>方法，转向父类查找<\/li>
在entrySet()<\/code>方法中，将this<\/code>（即TransformedMap<\/code>实例）传递给EntrySet<\/code>构造方法<\/li>
EntrySet<\/code>构造方法中的parent<\/code>参数就是传入的TransformedMap<\/code><\/li>
最终setValue<\/code>操作实际上是通过TransformedMap<\/code>执行的<\/li>
<\/ol>
调试建议：通过调试观察parent<\/code>和this<\/code>的变化情况可以更直观理解这个过程。<\/p>
0x04 关键类与方法总结<\/h2>



类\/方法<\/th>
作用<\/th>
<\/tr>
<\/thead>


AnnotationInvocationHandler.readObject()<\/code><\/td>
反序列化入口点<\/td>
<\/tr>

HashMap.put()<\/code><\/td>
确保进入for循环体<\/td>
<\/tr>

AbstractInputCheckedMapDecorator.setValue()<\/code><\/td>
实际触发点<\/td>
<\/tr>

TransformedMap<\/code><\/td>
恶意数据载体<\/td>
<\/tr>

Target.class<\/code><\/td>
提供必要的注解键<\/td>
<\/tr>
<\/tbody>
<\/table>
0x05 调试技巧<\/h2>

重点关注memberValues<\/code>和memberTypes<\/code>的变化<\/li>
观察setValue<\/code>调用栈，理解方法查找过程<\/li>
注意parent<\/code>和this<\/code>在调用链中的传递<\/li>
<\/ol>
0x06 常见问题解答<\/h2>
Q: 为什么必须使用Target.class<\/code>作为注解参数？

A: 不是必须使用Target.class<\/code>，但必须使用包含相应键（如value<\/code>）的注解类。<\/p>
Q: 为什么TransformedMap<\/code>没有setValue<\/code>却能调用？

A: 通过父类AbstractInputCheckedMapDecorator<\/code>的继承和方法重写机制实现。<\/p>
Q: 如何确认链的每个环节都正确连接？

A: 通过调试逐步跟踪，确保每个环节的参数传递和方法调用符合预期。<\/p>

类\/方法<\/th>	作用<\/th> <\/tr> <\/thead>
`AnnotationInvocationHandler.readObject()<\/code><\/td>`	反序列化入口点<\/td> <\/tr>
`HashMap.put()<\/code><\/td>`	确保进入for循环体<\/td> <\/tr>
`AbstractInputCheckedMapDecorator.setValue()<\/code><\/td>`	实际触发点<\/td> <\/tr>
`TransformedMap<\/code><\/td>`	恶意数据载体<\/td> <\/tr>
`Target.class<\/code><\/td>`	提供必要的注解键<\/td> <\/tr> <\/tbody> <\/table> 0x05 调试技巧<\/h2> 重点关注`memberValues<\/code>和memberTypes<\/code>的变化<\/li>` `观察setValue<\/code>调用栈，理解方法查找过程<\/li>` 注意parent<\/code>和this<\/code>在调用链中的传递<\/li> <\/ol> 0x06 常见问题解答<\/h2> Q: 为什么必须使用Target.class<\/code>作为注解参数？ A: 不是必须使用Target.class<\/code>，但必须使用包含相应键（如value<\/code>）的注解类。<\/p> Q: 为什么TransformedMap<\/code>没有setValue<\/code>却能调用？ A: 通过父类AbstractInputCheckedMapDecorator<\/code>的继承和方法重写机制实现。<\/p> Q: 如何确认链的每个环节都正确连接？ A: 通过调试逐步跟踪，确保每个环节的参数传递和方法调用符合预期。<\/p>

Commons Collections 1反序列化链(CC1)详细分析<\/h1>

0x00 前言<\/h2> CC1链是Apache Commons Collections库中的一个著名反序列化漏洞利用链，本文面向刚开始分析CC1链的学习者，详细解释链中的关键点和常见疑惑。<\/p>

0x01 完整EXP<\/h2> 由于篇幅限制，EXP代码以图示形式展示，读者也可参考其他分析文章获取完整利用代码。<\/p>

0x02 HashMap.put()的关键作用<\/h2>

0x00 前言<\/h2>
CC1链是Apache Commons Collections库中的一个著名反序列化漏洞利用链，本文面向刚开始分析CC1链的学习者，详细解释链中的关键点和常见疑惑。<\/p>

0x01 完整EXP<\/h2>
由于篇幅限制，EXP代码以图示形式展示，读者也可参考其他分析文章获取完整利用代码。<\/p>