wavewindsor

摘要：靶机地址: 192.168.142.112 知识点 Jwt(json web token): 定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任。 当用户通过服务端的校验之后，服务端会根据用户的用户名和密码去查用户的信息，例如：用户id、用户手机号等 阅读全文

摘要：XXL-JOB概述 XXL-JOB 是一个开源的分布式任务调度平台，支持定时任务和分布式任务。该平台提供了一套可视化的任务管理界面，方便用户配置和监控任务的执行情况。 漏洞概述 漏洞影响版本：<=2.2.0 executor默认没有配置认证，未授权的攻击者可以通过RESTful API接口执行任意命 阅读全文

摘要：1、 前台shiro默认key导致反序列化命令执行 工具：shiro反序列化漏洞综合利用工具 增强版 或 LiqunKi 2、 后台sql注入（需要管理员权限） 第1处：点击角色管理，并抓包 数据包如下 Poc： POST /system/role/list HTTP/1.1 Host: ip Co 阅读全文