Tomcat 架构之前分析 Tomcat Ajp 的时候看了一些 Tomcat 的架构，这里不再赘述，链接在此：CVE-2020-1938 幽灵猫( GhostCat ) Tomcat-Ajp 协议 任意文件读取/JSP 文件包含漏洞分析补

JDK7U21：https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html​ <!-- https://mvnrepository.

JNDI 全称为 Java Naming and DirectoryInterface（Java 命名和目录接口），是一组应用程序接口，为开发人员查找和访问各种资源提供了统一的通用接口，可以用来定义用户、网络、机器、对象和服务等各种资源。J

这部分是 Java 基础，用到什么学什么吧，慢慢补充，持续学习

title: Java 反序列化漏洞(一)–RMI 协议原理/详解及流量分析date: 2021-06-02 21:36:25categories: Java 安全 [TOC] 0x00 前言RMI 在 Java 里面还是很常用的，后续

title: Java 反序列化漏洞(二)–ClassLoader(类加载器)date: 2021-06-12 14:38:38categories: Java 安全 章首发于奇安信攻防社区：https://forum.butian.ne

title: Java 反序列化漏洞(三)–Java 反射date: 2021-06-22 17:04:08categories: Java 安全 Java 反射概述 功能：动态获取信息以及动态调用对象方法 描述：Java 的反射（ref

<dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</arti

jdk 暂无限制CommonsCollections 3.1 - 3.2.1 poc这次跟着 poc 来分析，有点绕 package com.yq1ng.cc7; import org.apache.commons.collectio

jdk 暂无限制CommonsCollections 3.1 - 3.2.1 似乎新增了类，似乎又没新增。。。(HashMap、HashSet)与 CC5 链子不同看org/apache/commons/collections/keyv

jdk 暂无限制CommonsCollections 3.1 - 3.2.1 这里使用了 cc1 的前半段，先看 cc5 中出现的两个新类 TiedMapEntry这个类主要用到 getValue()和 toString()，看到 ge

jdk 版本暂无限制CommonsCollections 4.0需要 Javassist 这个可以说是 cc2 与 cc3 的结合了 package com.yq1ng; import com.sun.org.apache.xalan