W0ngk，一个安全菜鸡，一直在模仿，尚未有超越。

一、ThinkPHP简介基础介绍：ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初，2007年元旦正式更名为ThinkPHP，并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进。近期发布历史：2015年12月11日，ThinkPHP 5.0 Beta 发布；2017年02.

一、Apache Shiro 简介1、什么是shiroApache Shiro提供了认证、授权、加密和会话管理功能，将复杂的问题隐藏起来，提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务，当然也能做到与这些环境的整合，使其在任何环境下都可拿来使用。Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证（Authentication）、授权（Authorization）、会话管理（Session Management）和加.

前言： 漏洞复现环境来自于掌控者安全，在此深表感谢！！!复现环境在“掌控者安全”，有兴趣的朋友可以去复现一下。上图略微有颜色，不过毕竟挖洞太乏味，需要让生活精彩嘛，介意请撤退。。漏洞简介：Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Ap.

一、Fastjson 概况1、fastjson简介Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点，应用范围广泛。优点：FastJson数度快,无论序列化和反序列化,都是当之无愧的fast功能强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum)零依赖(没有依赖其它任何类库)2、漏洞.

前言：本篇文章中复现的漏洞不是特别全面，但是挑选了最近两年的漏洞进行复现，旨在对漏洞进行有用复现，毕竟一些老漏洞已经基本不存在了。一、Struts简介1、简介基本介绍：Struts是Apache软件基金会（ASF）赞助的一个开源项目。它最初是Jakarta项目中的一个子项目，并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术，实现了基于[Java EE](https://.