自定义博客皮肤VIP专享

*博客头图：

点击选择上传的图片

格式为PNG、JPG，宽度*高度大于1920*100像素，不超过2MB，主视觉建议放在右侧，请参照线上博客头图

请上传大于1920*100像素的图片！

博客底图：

点击选择上传的图片

图片格式为PNG、JPG，不超过1MB，可上下左右平铺至整个背景

栏目图：

点击选择上传的图片

图片格式为PNG、JPG，图片宽度*高度为300*38像素，不超过0.5MB

主标题颜色：

RGB颜色，例如：#AFAFAF

Hover：

RGB颜色，例如：#AFAFAF

副标题颜色：

RGB颜色，例如：#AFAFAF

预览取消提交

自定义博客皮肤

-+

上一步保存

cjdgg的博客

lmonstergg 优快云认证博客专家优快云认证企业博客

码龄6年

69: 原创

8万+: 周排名

125万+: 总排名

11万+: 访问

: 等级

842: 积分

31: 粉丝

76: 获赞

39: 评论

200: 收藏

私信

关注

热门文章

分类专栏

基础知识 12篇
命令注入 1篇
web学习 39篇
python 3篇
Java 16篇
Fastjson 1篇
flask 8篇
ssti 3篇
csrf 1篇
任意文件读取 5篇
CRLF 3篇
sql注入 4篇
nodejs 6篇
ssrf 6篇
php 19篇
数字取证 1篇
BMZCTF 13篇
xxe 1篇

最新评论

[网鼎杯 2020 玄武组]SSRFMe
m0_69072967: 师傅想问下，gopher协议后跟的不应该是redis使用的RESP协议格式吗，为什么直接跟redis命令也行呢？
[网鼎杯 2020 玄武组]SSRFMe
疯狂的小羊肖恩: 想问一下有解决方法吗？我也卡在加载模块那里了
[安洵杯 2019]iamthinking
翻斗花园牛爷爷！: 软件更新了，要ThinkPHP/RCE4
[pasecactf_2019]flask_ssti
hypnotic`: 这道题使用的是JQuery在线库，要挂梯子才行
[pasecactf_2019]flask_ssti
暮源: 我这里不知道为什么输入任何字符串没有反应，网络都是好好地

最新文章

Fastjson

关注

文章平均质量分 94

关注数：文章数：1 文章阅读量：1461 文章收藏量：0

作者: lmonstergg

每次学一点点，每次进步一点点！！！

展开

Java 反序列化漏洞--fastjson-1.2.24--TemplatesImpl攻击链

Java-fastjson-1.2.24反序列化漏洞前置知识漏洞分析getTransletInstance()newTransformer()getOutputProperties()前置知识fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。这里帮运一下素十八大佬总结的fastjson的功能要点*1.使用 JSON.parse(jsonString)

原创 2022-02-24 14:52:26 · 1461 阅读 · 0 评论