小SA0货大JI巴CAO死你啊(笑死你不偿命)

0x01 代码分析CTF-Web:xxe+jar协议缓存实现命令执行

object方法

object方法通过@RequestParam注解获取object参数,然后根据该参数拼接出一个文件路径file:///home + object。接着调用check方法检查该文件是否存在