摘要： 之前的文章显示字符太多 拒绝显示 只好分为两篇了 这样我们只需要找到可以利用的类，构造poc链就好了，这个和以前的java反序列化漏洞类似，先不说。网上最早的poc是使用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。构造如下js 阅读全文