前言 在之前的文章中已经分析了ysoserial中 URLDNS 链，有兴趣的师傅可以阅读一下。但是这条链子也只是 Java 反序列化学习的开胃菜，接下来的 Commons-Collections 利用链...

  介绍 最近用Go编写Java反序列化相关的扫描器，遇到一个难点：如何拿到根据命令生成的payload 通过阅读已有开源工具的源码，发现大致有以下两种解决方案 执行命令法 使用命令...

  0x01 前言 从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口，但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下，所以有了本篇文章...

  一、前言 最近分析了下Weblogic CVE-2020-14654和CVE-2020-14841的Gadget，里面都用到了PriorityQueue作为入口。在ysoserial中也有不少链用到了PriorityQueue，这里做下分...