[TOC] 【java安全】JNDI注入概述什么是JNDI？JNDI(Java Naming and Directory Interface)是Java提供的Java命名和目录接口。通过调用JNDI的API可以定位资源和其他程序对象。 命名服务将名称和对象联系起来，使得我们可以用名称访问对象 JDNI的结构jndi的作用主要在于”定位”。比如定位rmi中注册的对象,访问ldap的目录服务等等 其实

[TOC] 【java安全】Log4j反序列化漏洞关于Apache Log4jLog4j是Apache的开源项目，可以实现对System.out等打印语句的替代，并且可以结合spring等项目，实现把日志输出到控制台或文件等。而且它还可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码，满足了大多数要求。 就是用来打印日志的 漏洞成因本文介绍的Log4j反序列化漏洞都是由于未对传入的需要发

[TOC] 【java安全】ctfshow-java反序列化web846ctfshow会对你post提交的ctfshow参数进行base64解码然后进行反序列化构造出对当前题目地址的dns查询即可获得flag 直接使用URLDNS，我们可以使用ysoserial生成payload 123java -jar ysoserial.jar URLDNS "http://2ef37b64-c9

[TOC] 【NepCTF2023】复现MISC与AI共舞的哈夫曼年轻人就要年轻，正经人谁自己写代码啊 直接用gpt写出decompress()： 12345678910111213141516171819202122232425262728293031def decompress(input_file, output_file): with open(input_file, 'r

[TOC] [vulnhub]oscp(SUID提权)环境搭建oscp 下载解压后，使用vmware打开 信息收集常规思路： 扫描ip 扫描开放端口 扫描目录 先扫ip：12nmap -sP 192.168.56.0/24 -T4# -sP 使用ping来探测 -T4代表使用快速扫描 这里学到一个新的命令，也可以扫描ip 1netdiscover -r 192.168.56.0/

[TOC] 第三届陕西省大学生网络安全技能大赛wpwebezpop在源码找到base64 解码： /pop3ZTgMw.php，访问获得源码： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960<?phphighlig

前言经常写博客、markdown的人都会使用图床。图床是什么呢？其实相当于一个存储图片的网站，类似百度云这样，不过上传图片到图床后可以直接通过外链进行访问。 工具选择此处我们使用图片上传工具：PicGo 这个工具可以将剪切板上的图片上传 配置github配置1、创建仓库首先我们需要登录github，然后创建一个仓库，点击右上角： 2、配置token key点击右上角设置，然后选择 Devel

一、使用PHP连接MySQL数据库使用PHP函数 mysqli_connect 连接上mysql数据库语法：$conn = mysqli_connect('主机名','用户名','密码','数据库名',端口); 连接成功返回资源对象，失败返回false$conn 称为【数据库连接标识】 123header("Content-

一、域名1、什么是域名？域名（英语：Domain Name），又称网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）。 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点，人们设计出了域名，并通过网域名称系统（DNS，Domain Name System）来将域名和IP地址相互映射，使人更方便地访问

例如： 1如果md文件名为：hexo.md 那么图片路径为 ![] (hexo/xxx.jpg) 即可，图片放在同名的文件夹下面 12如果图片的引入方式为<img src=""> 方式，那么图片路径直接写图片名称：xxx.jpg即可然后设置typora的格式->图像->设置图片根目录即可在hexo博客显示图片