发简信
IP属地:江苏
-
XXE——参数实体攻击(CVE-2017-14949)
XML参数实体 参数实体必须定义在单独的DTD文档中或XML文档的DTD区(但是引用只能在DTD文档中,即外部子集,而不能在XML文档的DTD区...
-
Windows下的变量大全
ping %COMPUTERNAME%.baidu.com [/size][/align] [align=left][size=3]%COMPU...
-
JAVA反序列化利用java反序列化实现RCE。 转自:https://security.tencent.com/index.php/blog/msg/97 若...
-
JAVA反序列化中的反射链从反射链的构造看JAVA反序列化 http://www.freebuf.com/news/150872.html 构造反射链:Transform...
-
JAVA反射机制exp
通过一个类获取任意的类。如已知java.lang.Math 这个类,然后调用java.lang.Math.class.forName('xx)就...
-
struts2处理http请求参数的流程以struts2 s2-21为例,分析跟踪请求从tomcat容器到struts2框架的代码处理流程。 tomcat部分: tomcat 调用JI...
-
一些常见后门
linux后门 一、前提:已经是root用户,想留一个后门 suid shell .woot前面的'.'并不是必须的,只是为了隐藏文件( 在文件...
-
windows下一种提权方法利用不正确文件和服务的权限设置 需要用到的工具: 1、icacls(适用于win7及以上系统)/cacls (适用于winxp及win2000系...
-
web缓存欺骗
参考bobao.360.cn/learning/detail/4175.html 关于web缓存 一些静态文件,如jpg、js、css文件会被中...