最近必火出了一个反序列化的视频，出来我就买了，很快啊，马上来篇总结 漏洞环境均为docker compose起的vulhub，然后环境拉出来，IDEA配个远程调试 struts2s2-005如何快速判断目标主机是否使用了struct2:路径

这篇文章的主要目的是学习一下spel表达式注入和哥斯拉内存马注入，还有神器java-object-searcher的使用 SPEL表达式注入 spel支持在运行时查询和操作对象图，以API接口的形式创建，所以可以集成到其他应用程序和框架中

Fastjson jdbcRowSetImpl链及后续漏洞分析在jdbcRowSetImpl中会用到jndi和rmi的知识 具体请见：https://mp.weixin.qq.com/s/wYujicYxSO4zqGylNRBtkA 素十八

Weblogic T3 反序列化环境搭建：https://github.com/QAX-A-Team/WeblogicEnvironment 其中libnsl库因为源的问题装不上的话，就在Dockerfile里注释掉RUN yum -y i