Apache Shiro 漏洞复现

简介

Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,Shiro 框架直观、易用、同时也能提供健壮的安全性。

局域网共享系统代理

前言

有时会遇到需要配置代理,但是有时候局域网中有很多设备,给每个设备都配置一遍会非常的麻烦,所以采用共享的办法,让局域网中其他设备直接连接即可使用。

注:本文仅介绍配置方法,仅用于技术教学,不涉及任何代理的贩卖等操作。

网络安全学习-Java 反序列化漏洞基础

简介

序列化:对象 -> 字符串; 反序列化:字符串 -> 对象;

序列化与反序列化主要是用来传输数据,当两个进程进行通信时,可以通过序列化和反序列化来进行传输。

序列化的好处:

  1. 能够实现数据的持久化,通过序列化可以把数据永久地保存在硬盘上,相当于通过序列化的方式将数据保存在文件中。
  2. 利用序列化实现远程通信,在网络上传输对象的字节序列。

序列化与反序列化应用的场景

  1. 把内存中的对象保存在文件或数据库中。
  2. 用套接字(Socket)在网络上传输对象。
  3. 通过 RMI 传输对象的时候。
靶场练习-Lampiao

环境搭建

访问官网:https://www.vulnhub.com/entry/lampiao-1,249/

页面向下滑找到 Download 下载靶场;下载成功后,启动虚拟机,单击“打开”选项,找到刚刚下载并解压好的靶场文件,等待导入完成;

完成后启动靶机,可以看到只有一个登录窗口,此时靶机已经成功运行。

启动 kali 虚拟机,并同时设置两个机器的网络配置为 NAT 模式;

这样可以使所有的虚拟机共同处在一个独立的网段(和物理机不在同一个网段),方便后续探索靶机 ip 时更快的找到靶机 ip;

网络安全学习-文件上传

简介

文件上传本身是指一个功能,比如用户可以上传头像、上传资料等。如果能够上传文件,则可能存在文件上传的漏洞。

任意文件上传漏洞的产生需要满足三个条件:

  1. 文件能被上传;
  2. 文件能被服务器解析 (上传的文件能够被当作后端脚本处理);
  3. 能访问的到上传的文件,如果访问不到,则无法对文件进行控制,也就没有漏洞的说法。