🌟 Week 2 学习计划¶
时间:2026年5月16日 - 5月22日
阶段目标:掌握反序列化核心利用链,补齐Web关键漏洞原理,完成ISCC初赛复盘并开始实战挖洞
📊 本周打卡表¶
📅 Week 2 进度
0%
✅ 已完成: 0
📋 总任务: 0
| 日期 | 任务 | 完成 |
|---|---|---|
| 周六 5/16 | Gadget库对比笔记 | |
| CC6链调用链路图 | ||
| ISCC第一道题解题记录 | ||
| 周日 5/17 | CC6链手工POC + ysoserial验证 | |
| 数据链路层实验 | ||
| ISCC第一道题Writeup | ||
| 周一 5/18 | CC5链分析 | |
| 文件上传原理 + Upload-Labs前5关 | ||
| ISCC第二道题解题记录 | ||
| CC1 vs CC6对比表(草稿) | ||
| 周二 5/19 | CC7链分析 | |
| 文件上传进阶(Upload-Labs 6-10关) | ||
| ISCC第二道题Writeup | ||
| CC1 vs CC6对比表(完成) | ||
| 周三 5/20 | CC5/6/7三条链总结对比表 | |
| ISCC剩余Web题复盘 + Writeup | ||
| WebGoat反序列化模块通关 | ||
| 周四 5/21 | CC链手写POC + 调用链默写 | |
| 命令注入 + 文件上传混合作战 | ||
| EDUSRC挖洞测试 | ||
| 周五 5/22 | 查漏补缺 | |
| 本周复盘 + 整理仓库 | ||
| 下周计划草稿 |
📝 周记
📋 本周概览¶
| 维度 | 内容 | 优先级 |
|---|---|---|
| Java反序列化 | Gadget库对比、CC6/CC5/CC7链、CC1 vs CC6对比、WebGoat反序列化模块 | 🔴 高 |
| ISCC复盘 | 3-4道Web题目复现 + Writeup撰写 | 🔴 高 |
| Web漏洞 | 命令注入 + 文件上传(原理 + 靶场) | 🟡 中 |
| 实战尝试 | EDUSRC挖洞练手(Web方向) | 🟢 低 |
🗓️ 每日安排¶
第1天(周六 / 5.16)¶
| 时间段 | 任务 |
|---|---|
| 上午 | Gadget库对比:整理CC链 vs Spring链 vs Jackson链的差异 |
| 下午 | CC6链入门:理解 HashMap + TiedMapEntry + LazyMap 调用链 |
| 晚上 | ISCC复盘:挑选第一道Web题,记录解题过程 |
产出: - [ ] Gadget库对比笔记(表格形式) - [ ] CC6链调用链路图
第2天(周日 / 5.17)¶
| 时间段 | 任务 |
|---|---|
| 上午 | CC6链调试:手工POC + ysoserial 验证 |
| 下午 | 数据链路层实验 |
| 晚上 | ISCC复盘:完成第一道题的Writeup |
产出: - [ ] CC6链POC代码 - [ ] 数据链路层实验报告
第3天(周一 / 5.18)¶
| 时间段 | 任务 |
|---|---|
| 上午 | CC5链分析:BadAttributeValueExpException 触发链 |
| 下午 | 文件上传原理学习:Upload-Labs 前5关 |
| 晚上 | ISCC复盘:挑选第二道Web题,记录解题过程 |
| 零散时间 | CC1 vs CC6对比:整理入口、依赖、JDK限制差异表 |
产出: - [ ] CC5链笔记(与CC1/CC6的对比) - [ ] 文件上传笔记 + 绕过技巧总结 - [ ] CC1 vs CC6对比表(草稿)
第4天(周二 / 5.19)¶
| 时间段 | 任务 |
|---|---|
| 上午 | CC7链分析:Hashtable 触发链 |
| 下午 | 文件上传进阶:Upload-Labs 第6-10关(图片马、竞争上传) |
| 晚上 | ISCC复盘:完成第二道题的Writeup |
| 零散时间 | CC1 vs CC6对比:完成对比表 + 调用链差异分析 |
产出: - [ ] CC7链笔记 + 与CC5/CC6的对比表 - [ ] 文件上传通关记录 - [ ] CC1 vs CC6完整对比文档
第5天(周三 / 5.20)¶
| 时间段 | 任务 |
|---|---|
| 上午 | CC5/CC6/CC7总结:整理三条链的异同、适用版本、触发点 |
| 下午 | ISCC复盘:集中完成剩余Web题的复盘和Writeup |
| 晚上 | WebGoat反序列化模块:实战验证CC链知识 |
产出: - [ ] CC5/6/7对比总结表 - [ ] ISCC Web题Writeup(3-4篇) - [ ] WebGoat反序列化模块通关截图
第6天(周四 / 5.21)¶
| 时间段 | 任务 |
|---|---|
| 上午 | CC链综合复习:手写POC + 默写调用链 |
| 下午 | Web漏洞巩固:命令注入 + 文件上传混合作战 |
| 晚上 | EDUSRC挖洞:尝试测试1-2个目标 |
产出: - [ ] 手写POC通过 - [ ] SRC漏洞记录(如有发现)
第7天(周五 / 5.22)¶
| 时间段 | 任务 |
|---|---|
| 上午 | 查漏补缺:补本周未完成的任务 |
| 下午 | 本周复盘:整理笔记、代码、Writeup到Git仓库 |
| 晚上 | 下周计划:根据本周完成情况微调 |
产出: - [ ] 本周学习周报 - [ ] 下周计划草稿
📊 本周产出清单¶
| 类别 | 产出 | 状态 |
|---|---|---|
| Java反序列化 | Gadget库对比笔记 | ⬜ |
| CC6链POC + 调用链图 | ⬜ | |
| CC5链笔记 | ⬜ | |
| CC7链笔记 | ⬜ | |
| CC1/5/6/7对比表 | ⬜ | |
| 数据链路层实验报告 | ⬜ | |
| WebGoat反序列化模块通关 | ⬜ | |
| ISCC复盘 | 3-4篇Web题Writeup | ⬜ |
| Web漏洞 | 命令注入笔记 + 靶场截图 | ⬜ |
| 文件上传笔记 + 靶场通关 | ⬜ | |
| 实战尝试 | EDUSRC测试记录(可选) | ⬜ |
| 周报 | Week 2 复盘周报 | ⬜ |
🎯 里程碑检查点¶
| 时间 | 检查点 | 通过标准 |
|---|---|---|
| 周二 | 反序列化进度 | 能画出CC6调用链图 + CC1 vs CC6对比表 |
| 周三 | WebGoat验证 | WebGoat反序列化模块通关 |
| 周四 | Web漏洞进度 | 能手工绕过Upload-Labs前10关 |
| 周五 | ISCC复盘进度 | 至少3篇Writeup完成 |
⚠️ 注意事项¶
- CC1 vs CC6对比:本周重点,能帮你理清两条最核心链的差异
- WebGoat反序列化模块:做完CC链后立刻实战验证,效果更好
- CC5/CC7链:使用频率低于CC6,以理解为主,不需花太多时间调试
- ISCC复盘:Writeup要写得清晰(题目 → 思路 → 解题过程 → flag),方便以后复习
💪 本周寄语
反序列化是Java安全的深水区,CC链是敲门砖。一周啃下三条链,你已经超越了大多数人。
—— 加油,⛽️ 青春沙盒主