Apache Shiro 是一个功能强大的 Java 安全框架,提供认证、授权、加密和会话管理等功能。 Shiro-550漏洞原理 Apache Shiro内的RememberMe 功能 存在反序列化漏洞(CVE-2016-4437,也称为 Shiro-550),在特定条件下可能导致远程代码执行(R
发布于 2025-08-23
0x01 前言 在 C3P0 后面写这篇的目的是为了补一补之前的基础,突然发现前面的好多内容都忘得差不多了,现在就是遇到什么就好好补一下遇到的问题。 0x02 RMI 基础 RMI 介绍 RMI(Remote Method Invocation,远程方法调用)是 Java 编程语言中用于实现分布式对
发布于 2025-08-22
首先我们看一个最基础的c++shellcode加载器 //1.申请内存 //2.copy shellcode到内存 //3.执行内存中的shellcode #include <windows.h> //windows.h头文件包含了Windows API的函数和数据类型 #pragma commen
发布于 2025-08-19
0x01 概念 Java是一个依赖于JVM实现的跨平台的开发语言。Java程序在运行前需要先编译成class文件,Java类初始化的时候会调用java.lang.ClassLoader加载类字节码,ClassLoader会调用JVM的native方法(defineClass0/1/2)来定义一个ja
发布于 2025-08-19
[攻击者] --> [SSRF 漏洞] --> [Redis 未授权访问] --> [写入 WebShell] --> [访问 shell.php 执行 RCE] 漏洞原理 原理概述: SSRF(服务器端请求伪造)漏洞允许攻击者通过目标服务器发起对内网资源的请求。结合 Redis 的未授权访问漏洞,
发布于 2025-08-15
/etc/docker/daemon.json { "registry-mirrors": [ "https://05f073ad3c0010ea0f4bc00b7105ec20.mirror.swr.myhuaweicloud.com", "https://mirror.ccs
发布于 2025-08-14
0x01 前言 更在这个博客中的第一篇文章。 0x02 C3P0 组件介绍 C3P0 是一款在 Java 开发中广泛使用的 JDBC 连接池开源组件,实现了数据源和JNDI的绑定,支持JDBC2和JDBC3的标准扩展,主要用于数据库连接的管理与优化。 使用Java程序访问数据库时,Java 代码并不
发布于 2025-08-14
CS4.5,服务端推荐部署在linux系统上 链接: https://pan.baidu.com/s/1RrRMbJXzydHpvEGIcs08Hw?pwd=6666 提取码: 6666 --来自百度网盘超级会员v2的分享 常见上线方式:
发布于 2025-08-13
首先在这里声明本文章所涉及图片均为靶场环境。 Cookie 是一个通用的客户端存储工具,可以存任何数据,包括用户偏好(像网站语言选择)、广告跟踪 ID,或者其他无关身份验证的数据,就是说也有可能什么ID都不带,只存无关数据(如theme=dark)。 在身份验证场景中,Cookie通常会携带sess
发布于 2025-08-11
