国庆回来看到先知上新增了两条关于vaadin的利用链，分别是jdbc和jndi，其实两种方法的前半段的调用是一样的只不过最后进行利用的类不一样 ,因为是新链，在一些存在反序列化漏洞但存在反序列化黑名单的场景下可以尝试进行利用#CTL{\n}#CTL{\n}jdbc的调用是最后是通过SimpleJDBCConnectionPool的reserveConnection方法进行触发的，结合H2数据库可以