qq_50589021的博客

Java代理在代理之前，我们需要知道我们代理的东西是什么比如说我们有一个原对象，我们不直接去访问他，我们通过代理去访问它，这么做的目的是，以后不用修改原对象，可以通过修改代理类，来实现具体的方法，来看具体例子：首先要有一个接口public interface IUser { void show(); void create(); void update();}接着实现一下public class Userimpl implements IUser {

URLDNS链再分析readObject()方法Java反序列化会调用对应的readobject方法比如我创建一个类test。序列化test类就会调用writeobject方法，反序列化就会调用test类的readobject方法。默认是存在的。可以重写readobject方法在HashMap类中，恰恰存在readobject方法以ysoserial的payload为例，作者有明确指出 * Gadget Chain: * HashMap.readObject() *

VNctf2022[InterestingPHP]复现发现 phpinfo() 被ban，但是依旧可以通过 ini_get_all() 来读取php相关的配置信息，包括 disable_functions/disable_class/open_basedir 等信息都是⽐较重要的。var_dump(get_cfg_var(%27disable_functions%27)); //这个在本题目不可用exp=print_r(ini_get_all());使⽤ scandir() 来探测⽬录⽂件发现存