该文被密码保护。

摘要：shiro 550在CC链下的利用比较特殊，默认是没有commons-collects依赖的，如果对方用commons-collects3直接用CC6的话没法利用，而ysoserial只有CC2能打shiro+commons-collects这条链的，而CC2对应的commons-collects版 阅读全文

摘要：前置知识 动态代理，理论的知识就不解释了，网上有很多，直接上代码 IUser.java package com.superman; public interface IUser { void show(); } UserImpl.java package com.superman; public c 阅读全文

摘要：前置知识介绍 Transformer Transformer接口的transform方法是CC链1的核心，分析之前先学习下这块知识 使用ctrl+alt+b查看该接口的实现类有哪些 挑几个在接下来会用到的类看看 ChainedTransformer.java 将传入的object数组遍历，第一个数组 阅读全文

摘要：原生Java序列化 被序列化的对象必须继承Serializble Person.java 序列化程序 URLCC.java 反序列化程序 UnserializeTest.java ​ 当被序列化对象里面重写了readObject方法，反序列化时重写的readObject中代码会自动执行。 如将上面P 阅读全文