xiaofuc's Blog

未完待续环境配置本人近几天一直头疼于怎么配置这个shiro550的源码环境，这里我给出详细的步骤，以免后人再踩进我踩过的大坑… 首先，下载p神的shiro源码： https://github.com/phith0n/JavaThings/ 下载好之后用IDEA打开这个shirodemo。 我的JDK版本：8u66，正常来说pom.xml里面是不会爆红的。 接着去配置Tomcat，这个步骤比较简单，网上教程也很多，这里不多赘述，推荐： IntelliJ IDEA中配置Tomcat（超详细）_intellij idea配置tomcat-CSDN博客 我下载的是9.0.100版本。 在项目中配置 接着来到项目结构的工件这里： 可以看到已经有两个部署好的工件，选择下面这个，点应用。 编辑配置里头新建本地Tomcat： 点击应用后直接运行login.jsp，记得修改下它的端口号。 然后我们点击这里： 即可启动。 漏洞分析数据包特点在登录框中我们先简单地抓个包（点击了Remember me）： 没点击的包： 相比之下得出结论： 勾选了remember me之后，在返回的数据包上多 ...

详情请见我的语雀： https://www.yuque.com/xiaofuc/gwq0yd/xanzsbn4b7u83wzv

盲打部分信息搜集经典扫C段： 1sudo nmap -sn 61.139.2.0/24 定位到目标IP 扫端口： 1sudo nmap --min-rate 10000 -p- 61.139.2.130 扫目录： 1python dirsearch.py -u http://61.139.2.130/ -t 100000 我第一次知道这个dirsearch是可以用-t参数加线程的，为了方便我直接开100000 Web信息杂七杂八的路径/robots.txt12345User-agent: *Disallow: /old/Disallow: /test/Disallow: /TR2/Disallow: /Backnode_files/ /test 什么鬼，给了个Apache的版本其他没用 /old同上 /TR2 /Backnode_files这里面有很多东西 但仔细翻翻都是些前端文件。 Phpinfodir之前爆出来的：/info.php 出现了phpinfo。 还有一大坨Disable_functions ...

环境1234567891011<dependency> <groupId>org.javassist</groupId> <artifactId>javassist</artifactId> <version>3.19.0-GA</version></dependency><dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.48</version></dependency> 链子1（FastJSON版本<=1.2.48）JSON类中的toString()能调用toJSONString()，toJSONString()是FastJSON的序列化关键函数。 我们在FastJSON基础篇中提到：用toJSONString()进行序列化时，能 ...