前几天参加了今年的 DataCon 邮件方向，跟组里同学狂肝了10天，最后成功混了个冠军，感觉还不错hhh，期间也学了不少邮件伪造的技巧，稍微记录一下

DataCon 2023 邮件赛道小记

这次 HITCON 是去线下日租房一起打的，确实效率提高的不少，可惜自己还是太菜了，一直怼的这道 Canvas 最后也没能做出来，赛后来复现一下

HITCON 2023 Canvas 题目复现

前几天跟 hxd 又聊起来 jrmp 二次反序列化的问题，发现自己对 jep290 和 jndi 注入里 rmi 限制的关系还是有点含糊，索性来写文仔细梳理一下各种互打具体的情况和利用限制

这段时间终于闲下来了，复现了一下 Nacos Hessian 反序列化这个洞，感觉还挺有意思的，来记录一下。其实这个洞不像最初的分析文章说的那样只能打一次，只要再封装一下就可以多次利用了，后文来具体分析一下

前段时间的 AliyunCTF 中出了两道比较有意思的 Java 题，涉及 jackson 利用的姿势和 RASP 的绕过，比较有趣。复现完这两题之后又去学了一些 RASP 的知识，来记录一下

在最近的几次 CTF 中，连续两次遇到了与 CVE-2021-43297 Hessian2 反序列化链相关的题目，分别是网鼎杯青龙组的一题和 TCTF 的一题，简单来复现总结一下

从复试结束以来一直在忙东忙西，要准备毕设、写之前答应朋友的外包项目，还要帮未来导师搬砖。终于最近闲了下来，可以试着把之前看到的一个很有趣的博客项目来实现一下