本来是在学shiro 的，发现shiro无依赖反序列化需要用CB链，所以就先学一下CB链 前置知识commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类，让我们可以

这篇博客本来是打算只写一些shiro反序列化的内容的，但是发现了一篇关于shiro已知的所有cve的漏洞分析，因此就打算顺着这篇文章把shiro的漏洞都看一下，也是怕之后这个文章没了。其中的理论部分大概率和文章里的一模一样，一个是我觉得这个

海南大学的比赛，六个web就出了四个，java的题目还是一窍不通。我是菜鸟，想寄就寄 Welcome To HDCTF 2023直接改js，没啥好说的 SearchMastersmarty的模板注入，看出题人的原意是用Smarty 4.1.

RMI介绍​ RMI (Remote Method Invocation) 远程方法调用，顾名思义，它的功能就是就是实现调用远程方法 ​ 实现RMI的协议叫JRMP，RMI实现的过程中进行了java对象的传递，自然使用了序列化和

找到了些其他师傅写的java漏洞文章，打算照着这些文章挨个看下去了，这篇博客就算个整合吧，放点有用但是又不值得单独开一章的那种 XML注入之DocumentBuilder与XXE攻击防御参考文章：XML注入之DocumentBuilder与

漏洞名称CVE-2022-22965：Spring Framework远程代码执行漏洞 漏洞编号：CVE-2022-22965 漏洞说明Spring framework 是Spring 里面的一个基础开源框架，其目的是用于简化 Java 企