@会上树的猪:

p师傅，在hashmap的readobject方法中，反序列化URL对象的时候，里面的handler属性是如何获取值的？序列化的时候是一个transient属性不会被序列化，然后普通调用的时候是通过构造方法赋值的。那么在URLdns整个构造链中，对这个handler属性是在哪一步重新赋值的(即变成URLStreamHandler的对象)？也调试了一下URL类的readobject，但是没有发现直接对handler进行赋值的操作。所以这一个小地方比较疑惑。

图片

@路人甲:

p师傅，根据您多年代码审计的经验来看，代码审计能力强了，会不会更有利于挖掘各公司的漏洞？毕竟代码审计对漏洞形成的原理了解的更透彻。

@路人甲:

P神，您好呀，关于那个xstream最近刚出的漏洞(CVE-2021-21351)复现的问题，我是跟着XStream远程代码执行漏洞复现(CVE-2021-21351) - Hunter-0x07's ...这个大牛师傅做的但是我这没复现成功，我的jdk版本是1.8.0_201，然后idea回显与博主也是一样的，然后命令行就到send那一步就没了，不知道是版本问题还是poc问题？所以想请教一下您，不知道这个提问符不符合规范，如不符合还请谅解，我还是个新手小白，谢谢您。

@冒牌高富帅:

p师傅你好，想问一下对于组件类的源码，你平时代码审计的时候是如何做威胁建模的？比如我在看javamail组件，是一个发送接收邮件的组件。

@路人甲:

p师傅在rmi利用codebase执行代码的实验中运行server端的时候一直报一个错误，显示加载不到主类，classpath是配置好的，然后查找了一些资料还是没解决，所以问问p师傅。

@等待。:

P师傅,我想写个java漏洞利用的那种可视化的一键工具，我最近查找了网上很多资料，也查看了github一些开源的代码文件，效果不是很好，想请问您在这方面有没有推荐的实现方式。

图片

@路人甲:

xstream前几天的29505漏洞大佬有成功复现吗，是不是和jdk版本有关系？而且官网的poc是不是有点不对劲，content:<none>那里是不是要实体编码😂

@路人甲:

先祝P牛五一劳动节快乐😎。最近在做webshell检测的工作，是我自己的小论文研究方向。想请教一下关于整个检测架构方面的经验，我想用docker搭建一个漏洞环境的靶机，比如说用vulhub的环境，然后用各类加密型webshell管理工具，比如蚁剑、哥斯拉、冰蝎（原版或魔改之后）去连接靶机环境，并做进一步的操作，同时用tcpdump去监听靶机的流量，接着把pcap包发给zeek和suricata解析，再发给filebeat和logstash过滤一下，拿到有关键字段的json格式的流量记录，再把这个json交给机器学习分类器（具体怎么做特征工程和训练这里就不展开探讨），最后通过可视化展现出来。之前我都是在本机上进行这些实验性的操作，后来发现这样可移植性太差了，并且样本也不够丰富，所以想重新构思一下，目前想的是用docker compose来编排，github上也有看到用k8s的，但是我可能对这些还是不太熟悉，有点抽象，不知道P牛有没有相关经验可以指导一下。（有些地方描述比较含糊还请见谅）

@路人甲:

在甲方工作，自己负责的业务时间长了业务基本稳定之后就很难能挖出啥比较有意思的洞了，感觉个人产出和价值大不如前，师傅们一般怎么突破瓶颈呢

@Noob:

大大您好~我有一个参数解析问题，源于您的博文一些不包含数字和字母的webshell | 离别歌 《一些不包含数字和字母的webshell》 GET参数值有(‘%01’^’`’)但是URL好像并没有把%编码为%25?不是说无论GET和POST表单都会被URL编码然后才提交到服务器吗？ 也尝试抓包，发现的报文也确实是%01，三个字符那么是不是URL也会区别字符串？ 我也尝试了使用其他的字符，但是好像只有%不会被转码？所以就很疑惑，这个还有例外？！ 然后调试了一下PHP ，传过来的时候就已经被解析成了字符，那更有疑问了...附上了图片 是到了PHP之前服务器有个东西就去解析完了才发的PHP 还是说PHP竟然认识URL编码？不可能啊.... 因为我压根就不懂后端PHP这些解析参数的顺序...问了很多CTFer也是布吉岛只能胡猜 求大大解惑...因为XSS一直没学好，对前端到后端编码转换这块确实不熟悉，网上也是各种不一致的解...