JdbcRowSetImpl利用链前言首先说明一下：利用链都有自己的使用场景，要根据场景进行选择不同的利用链。JdbcRowSetImpl利用链用于fastjson反序列化漏洞中。为什么？因为fastjson会在反序列化类时自动调用set开头的方法（不一定是setter方法），而JdbcRowSetImpl中存在一个set开头的方法，即

二面相比于一面，比较偏向于技术方向，由于篇幅原因，预计会分2到3次发出。Fastjson反序列化漏洞是哪个版本，能说一下它的原理和修复方式吗，修复之后还有其他绕过方式吗？我们常说的最经典的FastJson反序列化漏洞是1.2.22-1.2.24版本的。FastJson它本身有一个叫做自省的

What无第三方依赖收集了网络上的多种payload，方便进行fuzz测试提供了自动替换payload的功能，一次性为所有payload插入rmi地址/dnslogHelp--list：以清单的形式打印，方便作为字典进行fuzz--address：服务器地址（无需rmi://前缀），如11.22.33.44/exp、eval.com/rce--dns：dnslog的地址，不同