gaorenyusi

摘要： beef-xss 安装 参考：https://cloud.tencent.com/developer/article/2196746 apt-get install beef-xss 启动 beef-xss beef-xss 关闭 beef-xss beef-xss-stop 钓鱼 精华就在于把下面 阅读全文

摘要： jackson 原生反序列化触发 getter 方法 jackson的POJONode方法可以任意调用getter jackson序列化会任意调用getter 分析 jackson 序列化会调用任意 getter 方法，jackson 反序列化也会任意调用 getter ，这两个都不需要多说什么了， 阅读全文

摘要： SpEL 表达式注入 spel 是什么 SpEL（Spring Expression Language），即Spring表达式语言，比JSP的EL更强大的一种表达式语言。特别是方法调用和基本的字符串模板功能。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系，而SpEl 阅读全文

摘要： jackson 反序列化学习 jackson 介绍 Jackson 是一个用于处理 JSON 数据的开源 Java 库。Spring MVC 的默认 json 解析器便是 Jackson。 Jackson 优点很多。 Jackson 所依赖的 jar 包较少，简单易用。与其他 Java 的 json 阅读全文

摘要： java LDAP 学习 基础概念 目录系统是关于某些类别的对象（例如人）的信息列表。目录可以用于查找特定对象的信息，也可以反方向查找满足特定需求的对象。 企业中的员工通讯录就是一个目录系统。目录访问协议（directory access protocol）就是用来访问目录中数据的标准化方式。最广泛 阅读全文

摘要： Java JRMP反序化 RMI依赖的通信协议为JRMP(Java Remote Message Protocol ，Java 远程消息交换协议)，该协议为Java定制，基于TCP/IP之上，RMI协议之下，当需要进行RMI远程方法调用通信的时候要求服务端与客户端都为Java编写。、 这个协议就像H 阅读全文

摘要： java 二次反序列化 SignedObject 该类是 java.security 下一个用于创建真实运行时对象的类，更具体地说，SignedObject 包含另一个 Serializable 对象。 先看其构造函数方法。 看到参数接受一个可序列化的对象，然后又进行了一次序列化，继续看到该类的 g 阅读全文

摘要： Tomcat 内存马学习 内存马主要分为以下几类： servlet-api类 filter型 servlet型 spring类 拦截器 controller型 Java Instrumentation类 agent型 Tomcat 环境搭建 按照教程来就行了 参考：https://www.cnblo 阅读全文

摘要： thinkPHP6 反序列化 thinkPHP v6.0.0-6.0.3 环境搭建 新版v6基于 PHP7.1+ 开发 php-7.3.4 ThinkPHP v6.0.3 使用composer进行安装 composer create-project topthink/think=6.0.3 tp6. 阅读全文

摘要： DC-3.2 信息搜集 IP 探测 arp-scan -l nmap -sn 192.168.179.0/24 netdiscover -r 192.168.179.0/24 目标及 ip 就为 192.168.179.134。 端口探测 nmap -sT --min-rate 10000 -p- 阅读全文