提到Java安全就会想到反序列化安全，毕竟占据了Java的半壁江山，提到反序列化就不得不说CC链，在开始CC链的学习之前，我们先把URLDNS作为前置知识学习，摸清楚他的来龙去脉，不至于在学习CC链的时候感觉到难度陡增；该文章介绍了ysoserial调试和URLDNS的pop链（此时的URLDNS的gadget也可以称之为年轻人的第一条链子）

CISCN2024 WEB Sanic & DASCTF 2024暑期挑战赛 Sanic's revenge

Ciscn2024华东南半决赛；12th，成功的当了一回守门员呜呜呜。

黑盾2024暨福建省第五届闽盾杯网络空间安全大赛

Ciscn2024暨第十七届全国大学生信息安全竞赛创新实践能力赛

在2015年11月6日，来自 Fox Glove Security 安全团队的 Steve Breen 在其团队博客上发布了一条长文，标题为："What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application Have in Common? This Vulnerability."；将反序列化漏洞的危害引入了大众视野，拉开了发序列化漏洞的帷幕，横扫了大部分的主流 Java 中间件

流是个抽象的概念，是对输入输出设备的抽象，Java程序中，对于数据的输入/输出操作都是以“流”的方式进行。设备可以是文件，网络，内存等。当程序需要从某个数据源读入数据的时候，就会开启一个输入流，数据源可以是文件、内存或网络等等。相反地，需要写出数据到某个数据源目的地的时候，也会开启一个输出流，这个数据源目的地也可以是文件、内存或网络等等。

RMI作为后续漏洞中最为基本的利用手段之一，学习的必要性非常之大。在上文中了解RMI之后，本文侧重于使用IDEA断点的方式调试分析RMI的通信原理。

在学习Java反序列化漏洞的时候，经常会遇到RMI、JNDI、JRMP这些概念，其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口，它和反序列化漏洞有着千丝万缕的联系。除了直接攻击RMI服务接口外（比如CVE-2017-3241），我们在构造反序列化漏洞利用时也可以结合RMI方便的实现远程代码执行。

2024 Real World CTF Online:Be-More-Elegant