笔者是一个刚入门SS\Java安全的萌新，一个月前跟着P神的Java安全漫谈开始学习Java反序列化漏洞。笔者学习的方法是看完文章然后拷贝代码下来idea跟着调一遍，每次调完后会感觉自己已经完全掌握了这条利用链，但是在之后一段时间重新看这条链时会发现完全搞不懂，就这样折腾了几天。写这篇文章的目的是帮助更多和我一样的萌新开始真正的利用链分析，而不是拷贝代码下来跟着调就行了，我会以构造利用链的角度，每一步会有一个小demo演示如何构造这一部分的代码，希望能帮到更多和我一样不知道怎么入门的萌新。如文章有什么错误欢迎大佬指出，也欢迎各位读者加联系方式一起讨论。