二次反序列化 看我一命通关

Poria / 2022-08-17

不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管茯苓把 CC 链如何拆开组合,都没有办法绕过。

就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上,从那以后我就对二次反序列化产生了莫名的渴望。

Poria

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

神器分享 文章:71 篇
数据安全 文章:29 篇
安全开发 文章:83 篇
Android 文章:89 篇
逆向安全 文章:70 篇

最新评论

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

H

HHHeey

好的,谢谢师傅的解答

Article_kelp

a类中的变量secret_class_var = "secret"是在merge

H

HHHeey

secret_var = 1 def test(): pass