环境配置 jdk：8u65 pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apa…

Login Panel 查看源代码 const ajnsdjkamsf = 'ba773c013e5c07e8831bdb2f1cee06f349ea1da550ef4766f5e7f7ec842d836e'; // replaceconst lanfffiewnu = '48d2a5bbcf422ccd1b69e2a82fb90bafb52384953e77e304bef856084be052b…

fastjson1.2.4x绕过 1.2.25--1.2.41 我们可以看到在1.2.25版本中fastjson对直接加载 引入了checkAutoType安全机制 public Class<?> checkAutoType(String typeName, Class<?> expectClass, int features) {      …

坏了，写过的cc2怎么没在这里面！o(╥﹏╥)o 环境配置 CC：Commons-Collections 4.0 jdk版本：jdk8u65 修改pom.xml为4.0版本即可 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4<…

Resin是什么❓ 作为一款高性能的java web服务器，他的角色类似于Apache Tomcat或jetty 为什么反序列化总提到Resin呢？因为其引入了一套独特的数据传输协议，Resin服务器默认深度集成了Hessian协议，Hessian是一种二进制序列化协议 我们通常指的是：我们利用Resin对Hessian协议的处理机制，发送恶意的Hessian序列化数据，当Resin接收并解析数据…

XSS博大精深，自己原来也没有深入学习过太多，此文章用于记录深入学习，长期更新 包括bp实验室或者各种比赛或者文章上关于xss的知识或者学到的新姿势都会慢慢记录 BP实验室 Lab: Reflected XSS into HTML context with nothing encoded 反射型-输入框嵌套到前段 <script>alert("xss")<script> L…

先占个坑

概述 Fastjson是阿里巴巴开源的json解析库，他可以解析json格式的字符串并且支持将JAVA Object序列化为json字符串，也可以从json字符串反序列化到java object 它主要提供了两个接口来分别实现对java Object的序列化和反序列化的操作 JSON.toJSONString JSON.parseObject/JSON.parse 方法返回值用途适用场景JSON.…

说在前面 首先感谢cyl_love师傅带我打awd同时给了我很大的帮助，借着他的笔记我也来审计一下此cms框架 环境搭建 框架下载地址 下载1.4版本即可，用小皮本地搭建即可 搭建好后访问/install按照步骤下载，配置，安装即可 CMS请求处理格式 前台入口文件 配置文件：/inc/config.inc.php <?php /** * 【梦想cms】 http://www.lmxcms.…

涉及前置知识 类的加载机制 在java动态加载字节码中写到过 java文件的编译，java文件编译过程包括 .java源代码->词法分析->语法分析->语义分析->注释处理->字节码生成->.class文件 类加载过程有包括 类加载器->查找字节码->读取字节流->方法区存储->创建Class对象 环境配置 jdk8u65Commons-…