前几天好兄弟突然发给我一篇文章说，发现之前学过的 Spring Boot Jackson 链几个月前有了一个新的利用。于是火星人的我也去调了一下，发现确实解决了之前的概率触发问题，感觉杀伤力++了。然后结果前几天忙着天天高强度写毕设开题的东西，没时间来写博客，今天终于可以来写写这条链

Feb 04,2024

前几天参加了今年的 DataCon 邮件方向，跟组里同学狂肝了10天，最后成功混了个冠军，感觉还不错hhh，期间也学了不少邮件伪造的技巧，稍微记录一下

Nov 22,2023

这次 HITCON 是去线下日租房一起打的，确实效率提高的不少，可惜自己还是太菜了，一直怼的这道 Canvas 最后也没能做出来，赛后来复现一下

Sep 13,2023

这段时间终于闲下来了，复现了一下 Nacos Hessian 反序列化这个洞，感觉还挺有意思的，来记录一下。其实这个洞不像最初的分析文章说的那样只能打一次，只要再封装一下就可以多次利用了，后文来具体分析一下

Jul 01,2023

前段时间的 AliyunCTF 中出了两道比较有意思的 Java 题，涉及 jackson 利用的姿势和 RASP 的绕过，比较有趣。复现完这两题之后又去学了一些 RASP 的知识，来记录一下

May 13,2023

在最近的几次 CTF 中，连续两次遇到了与 CVE-2021-43297 Hessian2 反序列化链相关的题目，分别是网鼎杯青龙组的一题和 TCTF 的一题，简单来复现总结一下

Sep 27,2022

从复试结束以来一直在忙东忙西，要准备毕设、写之前答应朋友的外包项目，还要帮未来导师搬砖。终于最近闲了下来，可以试着把之前看到的一个很有趣的博客项目来实现一下

May 26,2022