- 博客(15)
- 收藏
- 关注
RSS订阅原创 蚂蚁宝剑、哥斯拉、冰蝎、Cobalt Strike 的流量特征
在网络安全和加密通信领域,特别是涉及 SSL/TLS 证书相关内容时,“Own”(所有者)和 “Issuer”(颁发者)是两个重要的概念。DLL 即动态链接库(Dynamic - Link Library),是一种文件格式,在 Windows 操作系统等环境中广泛应用。(也称为 “URL 编码” 或 “百分号编码”)是一种将数据转换为适合在 URL 中传输的格式的编码方式。不会显示命令行控制台窗口(适用于那些不需要在控制台输出信息的 Java 应用程序,比如图形界面程序等)。
2024-12-14 20:27:10
1687
原创 网络安全--Fastjson1.2.24-RCE漏洞
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,autoType标注了类对应的原始类型,方便在反序列化的时候定位到具体类型,fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。因为有了autoType功能,那么fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。
2024-12-04 22:12:13
706
原创 网络安全--框架漏洞记录【log4j2漏洞】
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
2024-12-02 21:29:43
765
原创 中间件漏洞记录
jpg,我们的网站在拦截判断中的白名单里面是允许jpg上传的,这里是不是满足条件,是jpg吧,ok我们可以上传到服务器中,在服务器中执行时,注意我们的后缀;这个就是/xx.asp/xx.jpg目录解析的使用方法,其实我们很容易发现,我们直接上传个asp文件肯定会被拦截,而我们上传jpg文件又不会被解析,当我们使用这种目录解析的方法是不是就解决了这个问题,这种方法是通杀的,无论怎么样都能用,但是他的限制是IIS中间件版本,高于使用版本就无法使用了。找一个大马比如123.cer,把他的后缀改为asp;
2024-12-02 09:00:00
200
原创 idea连接数据库报错invalid fetch size
bug记录(idea连接数据库出现invalid fetch size)附解决过程
2022-09-22 11:51:23
7671
1
原创 前段异步(axios)bug记录
axios异步请求数据错误:TypeError: response.data is not a function
2022-09-18 02:45:24
1274
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人