991
1063
4315
论坛元老
https://m.threatbook.cn/detail/6192
第一,他在import的时候居然引用了java.io.ObjectOutputStream,java.lang.reflect.Constructor,sun.misc.Unsafe这三个类 第二,在getIpFromString这个方法里使用了Class.forName和writeObject
当对某一个类进行序列化的时候,如果目标类自己实现了writeObject,会调用目标类自己实现的writeObject
作者:Dm、Superdong、毁三观大人、l1nk3r、Five star
使用道具 举报
本版积分规则 发表回复 回帖后跳转到最后一页
小黑屋|安全矩阵
GMT+8, 2024-11-29 04:41 , Processed in 0.012806 second(s), 18 queries .
Powered by Discuz! X4.0
Copyright © 2001-2020, Tencent Cloud.