简介SpringBoot简绍 Spring是java web里非常常见的组件了, 自然也是研究的热门, 好用的漏洞主要是Spring BootActuators反序列化 Actuator简绍 Spring Boot 是 Spring 框架的扩展。Actuator 是 Springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator，开发者可以很方便地对应用系统的某些监

简介 Fastjson是阿里巴巴公司开源的一款JSON解析器，它可以解析 JSON 格式的字符串，是一个 Java 库， 支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 Java Bean。可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象，即使

简介Apache Shiro是一种功能强大且易于使用的Java安全框架，它执行身份验证、授权、加密和会话管理，可用于保护任何应用程序的安全。 Shiro提供了应用程序安全性API来执行以下方面： 身份验证：证明用户身份，通常称为用户”登录” 授权：访问控制 密码术：保护或隐藏数据以防窥视 会话管理：每个用户的时间敏感状态 上述四个方面也被称为应用程序安全性的四个基石。 关于这个漏洞

简介当我再做wife_wife的时候发现，这没有思路。所以学习一点新东西，并记录一下 javascript JavaScript（简称“JS”） 是一种具有函数优先的轻量级，解释型或即时编译型的编程语言。虽然它是作为开发Web页面的脚本语言而出名，但是它也被用到了很多非浏览器环境中，JavaScript 基于原型编程、多范式的动态脚本语言，并且支持面向对象、命令式、声明式、函数式编程范式 Nod

Thinkphp简介 Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。 很多cms就是基于 thinkphp 二次开发的，所以 thinkphp 出问题的话，会影响很多基于 thinkphp开发的网站。 判断网站是否使用thinkphp 看报错是否是笑脸 批量检查漏洞 使用

struts2漏洞简介 Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级 Java Web 应用的开源MVC框架，主要提供两个版本框架产品： Struts1和Struts2；Struts2是一个基于 MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器 (Controll

环境安装信息收集现在是已经知道ip的前提之下，我们尝试攻击 通过ip直接就扫描端口 出现了一个php探针 尝试爆破一下 发现存在弱口令 root root 有服务就就尝试搜索一下子域名 刚才有一个弱口令，现在如果有一个phpmyadmin就好了 然后他来了 目录扫描 子域名爆破 跳板机通过phpmyadmin+慢日志getshell 由于扫出来了phpmyadmin，所以

php[HUBUCTF 2022 新生赛]checkin0x00 这道题知道了原理还是很简单的，值得学习的地方是反序列化和序列化 0x01 123456789101112131415<?phpshow_source(__FILE__);$username = "this_is_secret"; $password = "this_is_not_known_

windwos域认证包括三个方面 本地认证：用户直接操作计算机登录账户网络认证：远程连接到工作组中的某个设备域认证：登陆到域环境中的某个设备 域内认证即采用了 Kerberos 协议的认证机制，与前两者相比最大的区别是有一个可信的第三方机构 KDC（主要是域控） 的参与 活动目录 活动目录：Active Diretory，AD，是指域环境中提供目录服务的组件。目录用于存储有关网络对