JDBC反序列化-MYSQL 前言 文章首发于：https://www.freebuf.com/articles/vuls/433153.html 已经好久没有写博客了，这段时间花了点时间学了点内网的知识，内网相关笔记后续可能会发了。这两

XStream反序列化 XStream基础 XStream简介 XStream 是一个 Java 库，用于简化 Java 对象与 XML 之间的相互转换（序列化与反序列化）。它允许开发人员将 Java 对象直接转换为 XML 格式，或从

Log4j2远程代码执行 前言 Log4j感觉还是比较好利用的，在shagou大佬的面试中，给出一个log4j漏洞绕过payload，要求分析研判，虽说能一眼看出时log4j的利用，但是也是头一次见了。 环境配置 JDK8u65 Lo

WebLogic XMLDecoder 前言 今天复现一下WebLogic XMLDecoder的漏洞，CVE-2017-10271是通过void、new标签，对CVE-2017-3506（也是XMLDecoder反序列化的漏洞）补丁的绕

CVE-2025-32462 CVE-2025-32462-Linux sudo本地提权漏洞复现 漏洞详情 漏洞介绍 sudo 是 Linux 系统中用来管理权限的核心工具，用来授权用户临时获取 root 或者其他用户权限执行命令，既保

CVE-2015-4852 WebLogic T3 反序列化分析 前言 之前见过好多次WebLogic的漏洞，但是一直没来得及学（其实是懒），这段时间有来学习一下 环境搭建 构建镜像 环境配置中JDK版本和Weblogic版本如下 J

CVE-2025-6218 WinRAR路径穿越 漏洞情况 漏洞简介 RARLAB公司的WinRAR压缩软件中发现了一个严重安全漏洞，CVE-2025-6218（路径穿越漏洞），攻击者可通过构造恶意的压缩文件，实现在压缩文件解压时可以将文

基于SqlServer的SQL注入 前言 最近面试了几家实习，都问了基于SqlServer的SQL注入，所以今天想补一下基础。 SqlServer搭建 搭建SqlServer，我们的环境和版本如下： Windows Server 20

CVE-2025-24813 RCE复现 免责声明：本文只用作技术分析和学习，任何利用本文内容进行非法攻击的行为均与作者无关！！！ （也是写上免责声明了哈哈哈） 文章首发于https://www.freebuf.com/vuls/4250

Java反序列化绕WAF之加大量脏数据 WAF背景 大多数的WAF受限于性能影响，当request足够大时，WAF就可能因为性能原因而做出让步，超出检查长度的内容，将不会被检查。这一点在一些CTF的题目中有所体现。 虽然这样可以绕过检测，