Shiro550 今天我们精进shiro的反序列化！！！ 之前有做过相关的shiro550与721的复现，不过都是利用工具的，没有理解里面的原理 550的话是由于他的密钥是固定的，是可以爆破的，经过Base64和AES解密以后，可以将里面

CC7 cc7与cc5大同小异，也是后面部分不变，变的只是入口的地方 CC7攻击链分析 思路分析 cc7这里的入口点使用了Hashtable 这里我们简单分析一下，入口类是Hashtable的readObject，调用本身的recons

CC5 cc5的后半部分和之前是一样的，只是在调用LazyMap的get方法时，使用的是TiedMapEntry的toString方法，相当于是提供了一个新的入口 CC5攻击链分析 调用get 这里TiedMapEntry的同toSt

CC2链 CC2攻击链分析 add流程解析 之前这里没有搞明白，这次这里动态调试了一下，发现应该是差不多了，回来补一下 在这里add之后进行了下列操作，就是将add的元素，放入了queue数组中 123456789101112131

CC4链 之前讲的几条链子，都是在commons-collections3.2.1版本之前的攻击链，cc4是在commons-collections4.0版本中的一条链子 实际上，这条链子还是换汤不换药，只是中间执行的方式换了一下，后面还

CC3链补充 ysoserial中使用TrAXFilter类，来触发newTransformer方法，最后也可以成功进行类加载 这里我们也进行分析一下 CC3攻击链分析 调用newTransformer 我们来看`TrAXFilter`的

CC3 CC3这条链子和前面的两条链有些不同，在这条链子中我们使用了动态类加载替换掉了Runtime.exec，由命令执行换为了代码执行 类加载 我们来回顾一下动态类加载： ClassLoader中的loadclass调用findCla

CC6链 tips：cc6这条链是不受jdk版本限制的 cc6的入口换成了HashMap的readObject方法，这条链实际是要调用LazyMap的get方法，后面的部分就和ysoserial中的cc1后半链一样了 当时我们说URLD

CC1（ysoserial） ysoserial中的cc1和我们前面所说后半部分是一样的，这里就不细说 在ysoserial中的cc1是用LazyMap替换了TransformedMap 现在使用LazyMap的get方法去触发Chain

CC1链 前置基础 Java反序列化原理： 接受任意对象，执行readObject方法 若有一个A的readObject方法，调用了O1.method1方法，则我们可以修改这个O1 且在O1.method1方法中，调用了O2.metho