环境配置 jdk：8u65 pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apa…

Login Panel 查看源代码 const ajnsdjkamsf = 'ba773c013e5c07e8831bdb2f1cee06f349ea1da550ef4766f5e7f7ec842d836e'; // replaceconst lanfffiewnu = '48d2a5bbcf422ccd1b69e2a82fb90bafb52384953e77e304bef856084be052b…

fastjson1.2.4x绕过 1.2.25--1.2.41 我们可以看到在1.2.25版本中fastjson对直接加载 引入了checkAutoType安全机制 public Class<?> checkAutoType(String typeName, Class<?> expectClass, int features) {      …

坏了，写过的cc2怎么没在这里面！o(╥﹏╥)o 环境配置 CC：Commons-Collections 4.0 jdk版本：jdk8u65 修改pom.xml为4.0版本即可 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4<…

苦苦学习一个暑假过后想着开学了，带好小登，然后自己接着按着自己的规划学习，争取把我们实验室建设的更强，正好我也变成了社长 一切的苦难都要以学校的审核评估开始，这里就简单记录一下了 首先是社联，要一堆资料，开一堆会，大多都没什么用，然后光是社团海报就做了5次，还强制要求举办社团摆摊活动，广告纸和海报都要翻新重新做，东西自己准备，隔三差五就安排各种杂事，像是要求社团活动照片指导老师讲课，公众号推文，海…

Resin是什么❓ 作为一款高性能的java web服务器，他的角色类似于Apache Tomcat或jetty 为什么反序列化总提到Resin呢？因为其引入了一套独特的数据传输协议，Resin服务器默认深度集成了Hessian协议，Hessian是一种二进制序列化协议 我们通常指的是：我们利用Resin对Hessian协议的处理机制，发送恶意的Hessian序列化数据，当Resin接收并解析数据…

XSS博大精深，自己原来也没有深入学习过太多，此文章用于记录深入学习，长期更新 包括bp实验室或者各种比赛或者文章上关于xss的知识或者学到的新姿势都会慢慢记录 BP实验室 Lab: Reflected XSS into HTML context with nothing encoded 反射型-输入框嵌套到前段 <script>alert("xss")<script> L…

先占个坑

概述 Fastjson是阿里巴巴开源的json解析库，他可以解析json格式的字符串并且支持将JAVA Object序列化为json字符串，也可以从json字符串反序列化到java object 它主要提供了两个接口来分别实现对java Object的序列化和反序列化的操作 JSON.toJSONString JSON.parseObject/JSON.parse 方法返回值用途适用场景JSON.…

说在前面 首先感谢cyl_love师傅带我打awd同时给了我很大的帮助，借着他的笔记我也来审计一下此cms框架 环境搭建 框架下载地址 下载1.4版本即可，用小皮本地搭建即可 搭建好后访问/install按照步骤下载，配置，安装即可 CMS请求处理格式 前台入口文件 配置文件：/inc/config.inc.php <?php /** * 【梦想cms】 http://www.lmxcms.…