秦筱柯

摘要： 漏洞原理 shiro在登录处提供了Remember Me这个功能，来记录用户登录的凭证，然后shiro使用了CookieRememberMeManager类对用户的登陆凭证，也就是Remember Me的内容进行一系列处理： 使用Java序列化 > 使用密钥进行AES加密 > Base64加密 > 阅读全文

摘要： 深夜睡不着，打开QQ音乐，音乐想起，情到深处，于是我这个菜逼决定写一点最近工作遇到的点。。。 1.这周对业务进行全网扫描时，发现几个有趣的URL （漏洞前天已被修复），基本结构形式如下，都带有一个target的参数。 2.看到target，我第一反应是否可以重定向，于是验证了，并未跳转。 3.换了个 阅读全文

摘要： 下午进行业务渗透测试，通过目录扫描扫到业务的几个接口。 1.其中一个接口是上传接口，访问页面如下: 提示: Request method 'GET' not supported 既不支持GET请求方式 2.通过burp抓包，看看请求包 根据响应包提示，既然不支持get请求，那不如就构造一个Post请 阅读全文

摘要： 新买了个imac，但是由于第一次用mac，不太熟悉，所于决定搭建个win10虚拟机，装好我的渗透工具 因为直接装入磁盘，所以并没有进行分区，win10虚拟机里只有一个C盘，但是在c盘的指定目录路径下想直接进入dos窗口时，出现如下问题： 似乎是iMAC与虚拟机的的共享路径不允许该操作，所以想着不如关 阅读全文

摘要： 漏洞描述：佑友防火墙 后台维护工具存在命令执行，由于没有过滤危险字符，导致可以执行任意命令 1.登录页面如下： 2.默认密码登录 User: admin Pass: hicomadmin 3.进入后台后，点击系统管理->维护工具->Ping (或操作) 实现命令执行 阅读全文

摘要： **星辰 天*汉马 USG防火墙 后台弱口令/逻辑缺陷漏洞 阅读全文

摘要： 核心创天云桌面系统远程命令执行 阅读全文