接着前面的分析，这里主要是两个由JtaTransactionManager类的readObject方法调用过程中而造成的JNDI注入，其中第一个(CVE-2018-3191)是使用T3进行发送序列化数据，而第二个(CVE-2020-2551)这个经典的漏洞是通过IIOP来进行序列化数据的传递的

继续抽空学习Weblogic CVE中有关T3协议的漏洞利用方式！

这篇是继上篇中的T3协议进行漏洞利用，继续分析Weblogic CVE的有关利用方式和修复手法

WebLogic是美国Oracle公司的主要产品之一，是商业市场上主要的 J2EE 应用服务器软件，也是世界上第一个成功商业化的J2EE应用服务器，在 Java 应用服务器中有非常广泛的部署和应用。

我们这里通过Weblogic的CVE来学习各种的利用手法。

这篇是对上一篇进行了补充，添加了两个Hessian协议的分析和Kryo<5.0.0的利用和MRCTF中的Kryo>5.0.0特定场景利用。

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用、智能容错和负载均衡、以及服务自动注册和发现。

Dubbo RPC是Apache Dubbo体系中最核心的一种高性能、高吞吐量的远程调用方式，主要用于两个Dubbo系统之间远程调用。在Dubbo RPC中，支持多种序列化方式，如dubbo序列化、hessian2序列化、kryo序列化、json序列化、java序列化等等

XStream是一个简单的基于Java库，Java对象序列化到XML，反之亦然(即：可以轻易的将Java对象和xml文档相互转换)。