#1 前言 之前在文章如何高效地挖掘Java反序列化利用链中提到了我是如何高效挖掘利用链的，这其中提到了工具tabby。 目前，tabby开源也有一段时间了，这段时间里有不少小伙伴...

  JAVA 是我国开发者广泛使用的开发语言，在金融行业使用尤为突出。实战中，利用 Java 反序列化实现远程命令执行的案例增长趋势明显，同时，WebLogic、 WebSphere、 JBoss、 Shir...

本文首发于“合天智汇”公众号 作者：Fortheone前言最近学习java反序列化学到了weblogic部分，weblogic之前的两个反序列化漏洞不涉及T3协议之类的，只是涉及到了XMLDecoder反序列...

看了好久的文章才开始分析调试java的cc链，这个链算是java反序列化漏洞里的基础了。分析调试的shiro也是直接使用了cc链。首先先了解一些java的反射机制。 PS：本文仅用于技术讨...

概述Java序列化对象（Java Serialization Object，JSO）是Java语言中在不同Java程序之间进行数据交换的机制，通过序列化和反序列可以在程序保存和恢复Java执行态的对象，JSO给Java开...

0. 前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念，其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口，它和反序列化...