IDEA 调试 Maven 项目,为分析 CC1 做准备

Posted OceanSec

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IDEA 调试 Maven 项目,为分析 CC1 做准备相关的知识,希望对你有一定的参考价值。

IDEA调试

高版本的 jdk 会修复一些漏洞,所以要分析漏洞需要用到多个版本的 jdk ,在分析漏洞之前首先了解 windows 安装多 jdk 环境

在官网可以下载历史版本的 jdk 安装包,地址,下载之后双击安装即可,为了管理方便可以把它们安装在同一个目录下

在 CC1 链中使用 8u65 就好,下面新建项目并配置 jdk

替换源码

因为 Java 中有一部分代码在 idea 中是通过反编译看到的,不太好看,可以使用开源代码替换

下载链接:https://www.aliyundrive.com/s/N2r6DBsz3zm

找到使用的 jdk 目录解压目录下的 src.zip 文件,找到 src 目录中,把下载的源码文件中的 sun 目录放到里边去

在 idea 的设置中修改

新建Maven项目

选择 jdk 8u65,列表中没有的可以点击 add 添加

修改pom.xml文件

maven 配置可以在 mvnrepository.com 找到

https://mvnrepository.com/artifact/commons-collections/commons-collections/3.2.1

需要在外边加上<dependencies>标签

    <dependencies>
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.1</version>
        </dependency>
    </dependencies>

可以看到这里也是提示存在漏洞的

填入 pom.xml 文件后点击右上角的图标配置依赖

问题解决

cc 中文件依旧是 class,并且查看文件时出现以下提示,则代表 maven 项目没有加载成功,可能与 maven 版本有关,需要手动加载

点击 idea 右上角的 maven,使用 execute maven goal

输入以下命令

mvn dependency:resolve -Dclassifier=sources

等待下载结束即可

所有配置好后就可以分析 cc1 Gadget

以上是关于IDEA 调试 Maven 项目,为分析 CC1 做准备的主要内容,如果未能解决你的问题,请参考以下文章

idea导入maven项目cotroller报错注解无用

CommonCollections1反序列化利用链分析

IDEA 15 社区版 Maven项目 启动Tomcat调试

Java代码审计-CC1 Chains

Intellij IDEA 调试时的备用源

Java代码审计-CC1 Chains