CheatMyself的博客

Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口，JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化。

URLDNS利用 Java 中类的特性，生成一个仅触发 DNS 请求的序列化负载。这个利用链非常适合用于检测和验证 Java 应用程序是否存在反序列化漏洞，因为它不限制jak版本，使用JAVA内置类，对第三方依赖没有要求，并且不会执行任意代码，只会触发 DNS 请求，从而降低测试过程中的风险。

ysoserial 是一个安全测试工具，专门用于生成 Java 序列化漏洞的有效负载。它可以帮助安全研究人员和渗透测试人员利用 Java 应用程序中的序列化漏洞进行安全测试。这个工具通过利用常见的 Java 序列化库和相关的类，生成能够触发远程代码执行（RCE）等攻击的有效负载。例子：(生成负载并保存在txt里面)

序列化是一种将对象的状态转换为字节流的机制，从而使对象能够被保存到文件中或通过网络进行传输。反序列化则是将字节流重新转换为对象的过程。这两个过程使得对象能够在不同的存储介质或不同的计算机系统之间进行传输和恢复。

代理是指通过代理对象来代替对真实对象(real object)的访问，这样就可以在不修改原目标对象的前提下，提供额外的功能操作，扩展目标对象的功能。就相当于客户租房，房东没时间带客户看房，于是出租中介，中介去带客户看房租房。

/构建一个transformer的数组InvokerTransformer.java代码，InvokerTransformer为构造函数，里面需要传入方法名称，该方法参数类型，以及传入的参数，实例化之后可以选择调用transform，input.getClass()相当于反射实例化之后.forname()，之后获取方法、返回执行方法。super();try {//使用反射机制获取方法} }} }

Java反射机制是在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法，这种动态获取的信息以及动态调用对象的方法的功能称为Java语言的反射机制。Java反射机制主要提供了以下功能：在运行时判断任意一个对象所属的类；在运行时构造任意一个类的对象；在运行时判断任意一个类所具有的成员变量和方法；在运行时调用任意一个对象的方法new。