03 2021 档案
摘要:前言 学习一样东西,我们总是需要知道是什么东西,让我们看看什么jndi,jndi是什么玩意,之后会通过fastjson,去了解jndi。同时,这也是上文中所提到的rmi加载远程类中,需要用到的一个玩意 0x01、JNDI概述 JNDI(Java Naming and Directory Inte
阅读全文
摘要:0x01、什么是RMI RMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,RMI实现了Java程序之间跨JVM的远程通信。顾名思义,远程方法调用:客户端比如说是在手机,然后服务端是在电脑;同时都有java环境,然后我要在手机端调用服务端那
阅读全文
摘要:前言 有时间打算分析weblogic历史漏洞,但是又要面试啥的,没空。又刚好最近面试会问weblogic反序列化。具体啥时候分析weblogic反序列化,可能会在护网后,或者我开学了再分析。期间可能我会分析一下fastjson的吧。环境我都打包到附件中 0x01、环境搭建 不想动手去下载的,可以去网
阅读全文
摘要:前言 最近一段时间再找工作面试,然后hw也面试,就没时间写博客啥的,找工作还得面谈,前天刚从厦门回来,明天又要去泉州了。但是我发现面试好像都喜欢问ssrf,那么我就想着写一篇ssrf,然后看看有时间的话我顺便写下xxe这玩意儿。 0x01、SSRF ssrf原理是啥?个人理解如下 ssrf是服务端请
阅读全文
摘要:0x00 简介 本文章来自 公众号:404安全 PHP反序列化漏洞,在我们使用unserialize()进行反序列化的时候,如果反序列化对象中存在一些我们可以利用的魔法函数且传入的变量可控,那么这个过程就可能触发这个魔法函数,来执行我们想要的过程。 0x01 初识反序列化 反序列化我们需要了解php
阅读全文
摘要:Requests库的基础使用 Get/Post请求 Get请求 requests.get('http://www.baidu.com',参数) Post请求 requests.post('http://www.baidu.com',参数) 0x01 .响应体内容 用法 解释 r.encoding 获
阅读全文
摘要:0x01.数组的定义与类型 如何定义数组? 一般都是使用 array() 函数定义的数组 <?php $arr = array('jsp','asp','php'); print_r($arr); ?> 数组的两种类型 数组类型分 1.索引数组 2.关联数组 索引数组,其实就是全名叫 数字索引数组,
阅读全文
浙公网安备 33010602011771号