DeserializationExercises

反序列化运动 此小型回购包含一些练习，这些练习是我的一部分，涉及Java反序列化漏洞的子主题： 所有练习都使用反序列化终结点（可以是基于Web的远程终结点），为简单起见，本演示仅从stdin中读取Base64编码的序列化Java对象，因此您可以在培训期间直接在IDE中使用它。 级别1：对滥用小工具的直接利用 第一层包含一个简单的直接可用的小工具（带有危险的“魔术方法”的可序列化类），用于实现远程代码执行（RCE）。 级别2：通过触发器小工具和代理利用InvocationHandler 第二级包含一个简单的两步“小工具链”，其中无害的触发器小工具与危险的InvocationHandler一起使用以获取远程代码执行（RCE）。 级别3：图书馆中的小工具链 待办事项：第三级将利用目标类路径上的公共库，展示更多现实世界和复杂的小工具链。 级别4：绕过黑名单 待办事项：第四层将展示嵌套反序列化的