前言Apache官方公告又更新了一个Struts2的漏洞,考虑到很久没有发无密码的博客了,再加上漏洞的影响并不严重,因此公开分享利用的思路。分析影响版本Struts 2.0.0 - Struts 2....
CrushFTP后利用提权分析-CVE-2024-4040
CrushFTP后利用提权分析(CVE-2024-4040)写在前面这个漏洞的利用最终还是被曝光了,这里也不做重复的分析,具体可以点击访问CVE-2024-4040了解漏洞的详情,在这里作者在分析利用...
浅谈Shiro550受Tomcat-Header长度限制影响突破
浅谈Shiro550受Tomcat Header长度限制影响突破0x00 写在前面写个shiro相关的东西,还是秉着写出来才能学的更多的理念,当然个人还是不太喜欢贴上整串代码,只是分享思路心得,在很早...
浅谈Fastjson绕waf
浅谈Fastjson绕waf写在前面 关键时期换个口味,虽然是炒陈饭,但个人认为有干货的慢慢看,从最简单到一些个人认为比较骚的,本人垃圾代码狗,没有实战经验,因而更多是从fastjson的词法解析部...
Java文件上传大杀器-绕waf-针对commons-fileupload组件
Java文件上传大杀器-绕waf(针对commons-fileupload组件)PS:高版本才有1.3以上来个中二的标题,哈哈哈,灵感来源于昨晚赛博群有个师傅@我是killer发了篇新文章,在那篇文章...
XStream反序列化
XStream反序列化XStream简介XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。反序列化基本原理XStrea...