kudo4869

摘要： [Vulhub靶机]JARBAS靶机渗透 靶机搭建 下载地址: https://download.vulnhub.com/jarbas/Jarbas.zip 下载后设置nat模式即可与攻击机同一网段 kali:192.168.88.133 1.信息收集 主机发现 首先对C段进行扫描,发现131这台主 阅读全文

摘要： [红队渗透]Vulhub-W1R3S靶机渗透 靶机W1R3S下载地址以及配置: https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip 直接使用nat模式把靶机设置为和攻击机（kali）同一个网段 kali:192.168.88.133 渗透流程思路: 阅读全文

摘要： CNVD 实战笔记：通过 Java 代码审计挖掘 SSRF 漏洞 首先通过搜索关键词来寻找cms中ssrf的使用 /** * 审计的函数 * 1. URL * 2. HttpClient * 3. OkHttpClient * 4. HttpURLConnection * 5. Socket * 6 阅读全文

摘要： java代码审计 Shiro认证授权部分 前言: 这两天发现自己读shiro权限这块有点忘了，于是再好好学一遍shiro，然后结合实战代码审计记录练下 1.Shiro 核心组件 shiro中的权限定义:用户，角色，权限 ，如图所示 1、UsernamePasswordToken，Shiro 用来封装 阅读全文

摘要： Hello-javasec 代码审计 环境: https://github.com/j3ers3/Hello-Java-Sec 配置数据库，然后直接启动即可 这个项目是springboot搭建的 Swaggeer,Actuator未授权访问 在查看依赖时发现存在这两个依赖，遂查看相关配置 swagg 阅读全文

摘要： 内存马学习 Tomcat内存马 首先servlet知识是必须得知道的 一文看懂内存马 - FreeBuf网络安全行业门户(基础的知识) 然后选了两个比较好的图 Filter类型内存马 写一个servlet,filter的demo 添加tomcat lib下的依赖，可以调试分析 serlvet @We 阅读全文

摘要： Java SSTI注入分析学习 FreeMarker FreeMarker模板文件主要由如下4个部分组成： （1）文本：直接输出的部分 （2）注释：使用<#-- ... -->格式做注释，里面内容不会输出 （3）插值：即${...}或#{...}格式的部分，类似于占位符，将使用数据模型中的部分替代输 阅读全文

摘要： SpringMvc源码分析学习 Spring MVC是基于Servlet API构建的原始Web框架，从一开始就包含在对应为spring-webmvc包。它遵循Model-View-Controller (MVC) 设计模式 DispatcherServlet初始化 前端控制器，负责接受客户端请求， 阅读全文

摘要： Spring学习(三) 学习视频: 【黑马程序员SSM框架教程_Spring+SpringMVC+Maven高级+SpringBoot+MyBatisPlus企业实用开发技术】https://www.bilibili.com/video/BV1Fi4y1S7ix?p=109&vd_source=28 阅读全文

摘要： Spring框架学习(二) Spring整合Mybatis 学习视频:【黑马程序员SSM框架教程_Spring+SpringMVC+Maven高级+SpringBoot+MyBatisPlus企业实用开发技术】https://www.bilibili.com/video/BV1Fi4y1S7ix?p 阅读全文