摘要：关于JNDI： 命名系统是一组关联的上下文，而上下文是包含零个或多个绑定的对象，每个绑定都有一个原子名(实际上就是给绑定的对象起个名字，方便查找该绑定的对象)， 使用JNDI的好处就是配置统一的管理接口，下层可以使用RMI、LDAP或者CORBA来访问目标服务 要获取初始上下文，需要使用初始上下文工 阅读全文

摘要：原文地址：https://www.anquanke.com/post/id/194384#h3-3 1.java rmi反序列化 RMI 允许一个应用程序访问另外一个服务器或虚拟机上的对象，方法和服务，它使远程方法调用就像在本地调用一样简单。它为用户屏蔽了底层的网络传输细节，使用的时候只需适当处理异 阅读全文

摘要：反射java.lang.Runtime 之前在p牛的知识星球中也学过反射机制调用Runtime来执行命令时需要用getruntime来返回Runtime类的实例，因为Runtime类设计是单例模式，并且该类的构造方法是私有的，因此无法直接通过newinstance来实例化该类，因此除了通过getRu 阅读全文

摘要：本文首发于先知社区： https://xz.aliyun.com/t/7096 前言 作为一名安全研究人员(java安全菜鸡)，知道拿到exp怎么打还不够，还得进一步分析exp构造原理与漏洞原理才行。本篇文章主要分析FastJson1.2.24中针对TemplatesImpl链的构造原理以及ysos 阅读全文