Aur0ra

摘要： 从攻防对抗辩证性分析jsp免杀 从最早的最朴素木马 <%@ page import="java.io.InputStream" %> <%@ page import="java.io.BufferedReader" %> <%@ page import="java.io.InputStreamRea 阅读全文

摘要： 访问 随便测试 猜测后端逻辑 select * from table where id = $input; 当结果为1时，返回 当结果为0 语法错误 尝试bool盲注 构造payload (select 1)/1 有waf，直接fuzz 为什么会存在另外一种语法正确，可以返回值，但不是返回1 发现是 阅读全文

摘要： Shiro反序列化漏洞分析及代码审计 漏洞简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 Apache Shiro默认使用了CookieRememberMeManager，用户登录成功后会生成经过加密并编码的cookie，在服务端对rememb 阅读全文

摘要： JVM浅析 这里我就不再分析思路，只给出重要的概念图，如果有兴趣的可以百度或者愿意的话可以和我聊聊 想了解的还可以看**双亲委派机制分析** 阅读全文

摘要： Strut2-007 漏洞描述 Struts2-007是一个远程代码执行漏洞。 影响版本 Struts 2.0.0 - Struts 2.2.3 漏洞分析 当碰到validator校验失败的会将数据重写后放到OverrideStack 在处理时将字符串两边同时添加了一个单引号 Struts2 结束标 阅读全文