一个热衷于网络安全的技术宅，这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议，常常调调漏洞，目标是在0和1之间找到属于自己的战斗力。

本文围绕Apache Struts2框架中的安全漏洞展开分析，重点介绍了OGNL表达式注入漏洞的原理、成因及其利用方法。通过对典型漏洞案例的解析，揭示了攻击者如何利用漏洞执行远程代码，进而对系统造成严重威胁。同时，本文还探讨了漏洞的检测手段和防护策略，旨在帮助安全研究人员和开发者提升对Struts2漏洞的认识和防御能力，保障Web应用的安全稳定运行。

本文详细介绍了如何搭建Struts 2.0.8开发环境，包括项目创建、依赖导入、过滤器配置、类文件编写、JSP页面创建、XML配置文件设置以及Tomcat服务器部署。由于该版本较旧，作者特别强调要严格按步骤操作，并提供了批量添加JAR包的脚本。最后展示了完整的项目目录结构及运行效果。全文以图文并茂的方式，逐步指导完成环境搭建的全过程，为后续漏洞分析打下基础。

Redis未授权访问漏洞分析 Redis默认配置存在未授权访问风险，若以root身份运行且未设置密码，攻击者可利用该漏洞获取系统权限。漏洞利用方式包括：通过写入SSH公钥实现免密登录、利用crontab反弹shell、在Web目录写入WebShell等。攻击者无需认证即可访问内部数据，甚至执行任意命令，危害严重。环境复现显示，通过redis-cli连接目标服务器后，攻击者可通过修改Redis配置实现文件写入，最终获取系统控制权。防范措施包括设置强密码、限制访问权限、不以root身份运行Redis服务等。

Apache Shiro 是一款常用的 Java 安全框架，其 RememberMe 功能因使用 Java 原生序列化方式存在严重安全隐患，导致多个版本出现远程代码执行（RCE）漏洞。本文主要分析了 Shiro 的两个典型反序列化漏洞：Shiro-550（CVE-2016-4437）和 Shiro-

JSON是一种轻量级的数据交换格式.它使用键值对（key-value）的结构表示数据，易于人阅读和编写，也易于机器解析和生成。虽然起源于 JavaScript，但现在已经成为编程语言之间通信的通用格式，比如在前后端之间传输数据、配置文件、接口请求等场景中广泛使用。

遇到问题可以先看注意事项！！！