EzGadget题目给了附件 反序列化流代码审计先看控制器，果然控制器有很奇怪的代码 调用条件name == gadgets ; year == 2021 不过我对java不太熟，所以先百度一下objectInputStream 反序列

原理简析看了网上关羽这方面的几篇文章，我觉得这个漏洞还是比较有意思的，虽说一般不会用到 就现在来说，往往服务器对安全的防御是比较高的，而个人主机，或者说客户端则不同，往往没有很高的防护，一个杀毒软件就基本了事 恶意mysql利用了一个很有意

这篇文章是对CVE-2021-4043的分析 套接字第一步就卡了，所以先学一下套接字的基本概念 定义： 所谓套接字(Socket)，就是对网络中不同主机上的应用进程之间进行双向通信的端点的抽象。一个套接字就是网络上进程通信的一端，提供了应

反弹Shell文件描述符原文地址：https://xz.aliyun.com/t/2548 Linux一切皆文件 linux文件描述符：可以理解为linux跟踪打开文件，而分配的一个数字，这个数字有点类似c语言操作文件时候的句柄，通过句柄

理解在此前公开的反序列化链不仅仅是学pop链，更是学习框架调试 5.0.24反序列化漏洞分析 开发人员在写程序时会极力的避免安全问题的发生，所以CTF中通过一个Class文件来进行反序列化的操作几乎时不可能存在的 实际开发在类中很少用到魔术