序列化与反序列化 序列化：将对象的状态保存到存储介质中通过网络传输 反序列化：从存储介质或网络接收的数据重建对象 public static void serialize(Object obj) throws IOException { ObjectOutputStream oos = ne

前言 前面的CC1和CC6链都是通过Runtime.exec()进行命令执行的。当服务器的代码将Runtime放入黑名单的时候就不能使用了。 CC3链的好处是通过动态加载类的机制实现恶意类代码执行。 版本限制 jdk8u65 Commons-Collections 3.2.1 动态类加载 在之前的J

官方的CC6链Payload： https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections6.java 尾部的exec方法 和之前的CC1链是一样的Invok

上一篇文章中我们分析了CC1 链当中的 TransformMap 的反序列化攻击，这次补充一下正版的CC1链 https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollec

环境搭建 JDK8u71以上，这个漏洞已经被修复了 JDK8u65 下载地址 https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html 然后再pom.xml中添加以下代码 <de

参考文章 类加载器详解（重点） 首先简单介绍一下类加载过程 类加载过程：加载->连接->初始化 <

这是我大二下学期做的期末课设，用c++编写，是模仿星露谷做的一款游戏，我大概花了一个月时间写了五千多行代码，简单实现了星露谷的一些基本游戏功能。 全程个人开发，gpt辅助，做完之后真的有莫大的成就感。 先简单的放一个演示视频 一、项目功能简单介绍 这是以星露谷物语这一游戏为方向开发的游戏，此为一个像

代理模式的通用类图 上图中，Subject是一个抽象类或者接口，RealSubject是实现方法类，具体的业务执行，Proxy则是RealSubject的代理，直接和client接触的。 静态代理 以租房为例，首先定义一个租房的接口 public interface IRentHouse{

参考文章 java序列化与反序列化全讲解 Java反序列化基础篇-01-反序列化概念与利用 <

参考文章 谈谈Java反射：从入门到实践，再到原理 Java反序列化基础篇-02-Java反射与URLDNS链分析