摘要：漏洞原理 shiro在登录处提供了Remember Me这个功能，来记录用户登录的凭证，然后shiro使用了CookieRememberMeManager类对用户的登陆凭证，也就是Remember Me的内容进行一系列处理： 使用Java序列化 > 使用密钥进行AES加密 > Base64加密 > 阅读全文

摘要：深夜睡不着，打开QQ音乐，音乐想起，情到深处，于是我这个菜逼决定写一点最近工作遇到的点。。。 1.这周对业务进行全网扫描时，发现几个有趣的URL （漏洞前天已被修复），基本结构形式如下，都带有一个target的参数。 2.看到target，我第一反应是否可以重定向，于是验证了，并未跳转。 3.换了个 阅读全文

摘要：下午进行业务渗透测试，通过目录扫描扫到业务的几个接口。 1.其中一个接口是上传接口，访问页面如下: 提示: Request method 'GET' not supported 既不支持GET请求方式 2.通过burp抓包，看看请求包 根据响应包提示，既然不支持get请求，那不如就构造一个Post请 阅读全文

摘要：新买了个imac，但是由于第一次用mac，不太熟悉，所于决定搭建个win10虚拟机，装好我的渗透工具 因为直接装入磁盘，所以并没有进行分区，win10虚拟机里只有一个C盘，但是在c盘的指定目录路径下想直接进入dos窗口时，出现如下问题： 似乎是iMAC与虚拟机的的共享路径不允许该操作，所以想着不如关 阅读全文