自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

公众号shadow sock7

公众号shadow sock7

  • 博客(823)
  • 收藏
  • 关注

原创 application.yml和bootstrap.yml关系

bootstrap.yml(bootstrap.properties)用来在程序引导时执行,应用于更加早期配置信息读取,如可以使用来配置application.yml中使用到参数等。application.yml(application.properties) 应用程序特有配置信息,可以用来配置后续各个模块中需使用的公共参数等。bootstrap.yml 先于 application.yml加载。...

2022-07-20 10:43:34 4823 1

原创 Citrix StoreFront安装

下载地址:https://downloads.citrix.com/20485/CitrixStoreFront-x64.exe?gda=exp=1647316056acl=/*hmac=e1d93b68fe499e2bfc52c5d45967fe872c2ff24d424652c321c60e642076ee49需要Windows Server来安装。需要下载:Citrix Virtual Apps and Desktopshttps://www.citrix.com/zh-cn/downloa

2022-03-17 15:28:21 6714

原创 java.sql.SQLNonTransientConnectionException: Public Key Retrieval is not allowed

在mysql 8中碰到这个问题。我先创建用户,创建数据库,以及分配用户数据库的权限create user 'test'@'192.168.96.1' identified by 'test';grant all privileges on test.* to test@192.168.96.1;结果:我已经在数据库连接的url里指定了:AllowPublicKeyRetrieval=True但是还是出现这个错误。参考:https://stackoverflow.com/a/5330

2021-11-30 16:23:10 7300

原创 调试Java应用

使用spotbugs的时候,加载find-sec-bugs插件,但是由于我之前删了一些东西,导致界面抛出了空指针异常,而且没有错误的日志错误堆栈之类的。先在IDEA中设置remote debug:复制命令,然后加入到启动命令中。于是使用调试命令启动:[~/GitProjects/spotbugs-4.4.2]$ java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar ./lib/spotbugs.ja

2021-10-23 21:48:33 6587

原创 ModuleNotFoundError: No module named ‘lsb_release‘

参考:https://askubuntu.com/questions/952302/python-modulenotfounderror-commandnotfoundhttps://blog.csdn.net/weixin_42730667/article/details/100260883

2021-10-22 13:52:21 6739

原创 使用IDEA对jar进行diff

参考:https://www.jetbrains.com/help/idea/differences-viewer.html#keyboard-shortcuts点击项目中的jar,然后点击Command + D,就可以进行diff了。

2021-06-10 18:54:09 5766 2

原创 Mac上按键速度慢

2021-06-04 11:01:07 516

原创 javax.net.ssl.SSLHandshakeException

: No appropriate protocol (protocol is disabled or cipher suites看这里说的是java版本的问题,https://stackoverflow.com/questions/38205947/sslhandshakeexception-no-appropriate-protocol因为我下载的版本比较高1.8.0_291,所以需要下载较低的版本,191之前的?比如我下载181:就不报错了。...

2021-05-28 16:51:31 263

原创 java: Compilation failed: internal java compiler error

参考:https://merikan.com/2021/02/unable-to-build-my-project-with-intellij/https://github.com/projectlombok/lombok/issues/2592要么Compiler里的,Shared build process VM options加上这个参数:-Djps.track.ap.dependencies=false要么提高lombok的版本到1.18.18。...

2021-05-28 15:29:08 180

原创 Xorg相关(Centos7在windows10的vmware的黑屏问题)

centos7总是黑屏,网上说可能是需要在宿主机上用这个命令:netsh winsock reset结果貌似没啥用,查看/var/log/Xorg.0.log文件:[ 12.065] (==) Log file: "/var/log/Xorg.0.log", Time: Mon Apr 12 19:16:05 2021[ 12.067] (==) Using config directory: "/etc/X11/xorg.conf.d"[ 12.067] (==) Usin

2021-04-13 14:04:56 749

原创 [CVE-2018-2894] WebLogic文件上传漏洞

CVE-2018-2894:/ws_utc 这个路径的文件上传漏洞两个上传接口触发点:/ws_utc/resources/ws/config/import/ws_utc/config.do本poc以前者为例,进行poc和利用。上传成功之后会响应500,抛出NullPointerException,但是利用已经成功。关于weblogic各版本的可利用情况:10.3.6版本上未发现该功能,需手动开启:登录控制台-》配置-》高级-》勾选启用Web服务测试页 -》保存12.1.3.0默认开启

2021-03-29 14:13:39 769

原创 kafa安装

开启zk:[cqq@localhost apache-zookeeper-3.6.1-bin]$ bin/zkServer.sh start开启kafka:./kafka-server-start.sh …/config/server.properties

2021-03-25 11:16:49 160

原创 ‘utf-8‘ codec can‘t decode byte 0xc5 in position 119: invalid continuation byte

使用pocsuite进行验证时,碰到这种错误。主要是因为不想用requests库,想自己用socket封装HTTP请求,而在接收数据进行解码时碰到unicode字符串解决方法:1、buf.decode(errors=‘ignore’)参考:https://www.cnblogs.com/zz22–/p/8799071.html2、hello.decode(‘unicode_escape’)参考:https://www.cnblogs.com/xiaolan-Lin/p/11653432.html

2021-03-24 11:49:25 324

原创 IDEA导出war包

IDEA中设置:导出的shiro环境war包:https://github.com/shadowsock5/Poc/blob/master/Shiro/samples-web-1.2.4.war

2021-03-24 11:02:38 158

原创 cloudera安装

参考:https://my.oschina.net/u/4262067/blog/4693381https://docs.cloudera.com/documentation/other/Licenses/topics/ctpl_topic_4_2.html

2021-03-23 14:35:40 213

原创 clickhouse安装与启动

安装参考:https://clickhouse.tech/docs/zh/getting-started/install/sudo yum install yum-utilssudo rpm --import https://repo.clickhouse.tech/CLICKHOUSE-KEY.GPGsudo yum-config-manager --add-repo https://repo.clickhouse.tech/rpm/stable/x86_64sudo yum install c

2021-03-12 15:20:13 2143

原创 CentOS7环境搭建笔记

简易安装完centos之后,发现没有网卡vi /etc/sysconfig/network-scripts/ifcfg-enp0s3将ONBOOT=no改为ONBOOT=yes,即开机启动。参考:https://www.jianshu.com/p/d897bc755532

2021-03-05 18:59:50 274

原创 移除掉firefox里的无用请求

经常用firefox进行代理到burp上,firefox容易发出大量无用请求,影响体验,参考:https://twitter.com/hackerscrolls/status/1261224450827190272https://gist.github.com/AetherEternity/5a6bb6e493a3d34988fc7342013f2ea6// Mozilla User Preferences// To change a preference value, you can eith

2021-02-20 10:29:24 675

原创 [CVE-2020-13924] Apache Ambari任意文件下载

安装方式:http://ambari.apache.org/install.htmlhttps://blog.e-zest.com/installing-and-setting-hdfs-cluster-through-ambari来源:https://seclists.org/oss-sec/2021/q1/116

2021-02-08 10:42:13 1401

原创 Apache Druid远程代码执行漏洞[CVE-2021-25646]

安装教程:参考:https://druid.apache.org/docs/latest/tutorials/index.html执行用户提供的脚本:https://druid.apache.org/docs/latest/development/javascript.html

2021-02-01 14:09:49 633 1

原创 [CVE-2020-17532] Apache servicecomb-java-chassis Yaml remote deserialization vulnerability

修复的commit还有测试用例都在里面:https://github.com/apache/servicecomb-java-chassis/commit/839a52e27c754cb5ce14f20063902f21065bd26c又是yaml反序列化:!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://127.0.0.1/"]]]]或者:!!javax.script.

2021-01-21 20:24:50 414

原创 关于WebLogic中的Netuix

参考:https://docs.oracle.com/cd/E13218_01/wlp/docs81/whitepapers/netix/body.html需要配置一个xml格式的.portal文件。像jsp文件可以包含其他jsp文件一样,.portal文件可以包含其他.pinc文件。

2021-01-20 19:28:21 333 1

原创 JumpServer未授权RCE

参考https://saucer-man.com/information_security/520.htmlhttps://blog.riskivy.com/jumpserver-%e4%bb%8e%e4%bf%a1%e6%81%af%e6%b3%84%e9%9c%b2%e5%88%b0%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/https://www.o2oxy

2021-01-19 11:54:24 1095 1

原创 反序列化新的Gadget:com.sun.jndi.ldap.LdapAttribute

这个CTF是1.4的Java。同时由于这个类在1.8中依然存在,所以也可以在1.8利用:一些新手可能会被 ysoserial 里标注的利用链依赖库版本所迷惑,认为某个链就只能在对应标注的依赖版本下起作用,其实并非如此。像 ysoserial 里 CommonsBeanutils1 这个链,作者标注的依赖版本是:commons-beanutils:1.9.2, commons-collections:3.1, commons-logging:1.2但这些版本实际上反映的只是 ysoserial 作者在

2021-01-14 12:00:28 963

原创 鉴权/认证框架Spring Security和Apache Shiro比较

参考:https://www.cnblogs.com/minxiang-luo/p/12492905.htmlhttps://www.javadevjournal.com/spring-boot/spring-boot-application-intellij/松哥手把手教你在 SpringBoot 中防御 CSRF 攻击!so easy!打开IDEA => File => New => Project,选择选择 Spring Initializr如果IDEA自动下载的依赖中

2021-01-13 17:42:34 1516

原创 Laravel <= v8.4.2 debug mode: Remote code execution

步骤:$ git clone https://github.com/laravel/laravel.git$ cd laravel$ git checkout e849812$ composer install$ composer require facade/ignition==2.5.1$ php artisan serve安装composer:curl -sS https://getcomposer.org/installer -o composer-setup.phpsudo p

2021-01-13 11:27:55 703 1

原创 Apache Flink漏洞CVE-2020-17518

参考:https://www.freebuf.com/vuls/260257.htmlhttps://www.anquanke.com/post/id/227668

2021-01-08 19:15:19 686

原创 alibaba nacos

下载地址:https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.zip安装启动方法:cd nacos\bin.\startup.cmd -m standalone启动输出:PS C:\Users\Administrator\Downloads\nacos-server-2.0.0-ALPHA.1\nacos\bin> .\startup.cmd -m st

2020-12-31 11:26:31 1923

原创 Dubbo新漏洞

Dubbo的反序列化漏洞比较:[CVE-2019-17564] 当用户选择http协议进行通信时,Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验,因此可以造成反序列化执行任意代码。[CVE-2020-1948] 默认反序列化方式存在代码执行漏洞,当 Dubbo 服务端暴露时(默认端口:20880),攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合附加恶意的参数负载。当恶意参数被反序列化时,它将执行恶意代码。参考:ht

2020-12-25 14:22:39 2216

原创 [CVE-2020-7200] HPE Systems Insight Manager (SIM) AMF反序列化RCE

参考:https://testbnull.medium.com/hpe-system-insight-manager-sim-amf-deserialization-lead-to-rce-cve-2020-7200-d49a9cf143c0https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c05350888下载地址:https://support.hpe.com/hpesc/public/docDisplay?docId=em

2020-12-22 16:51:34 956

原创 [CVE-2020-35476] OpenTSDB <=2.4.0 RCE

安装条件:ZookeeperHBaseZookeeperwget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.6.2/apache-zookeeper-3.6.2.tar.gzcd confcp zoo_sample.cfg zoo.cfgvi zoo.cfg# 修改dataDir=data,然后启动bin/zkServer.sh startHBaseopentsdb的后端数据存储依赖于HB

2020-12-21 16:52:01 1026

原创 helm安装

参考:https://helm.sh/docs/intro/install/https://github.com/helm/helm/releaseshttps://blog.sonatype.com/how-to-use-nexus-repository-and-helm-for-ci/cd如何使用Sonatype Nexus管理Helm Charts

2020-12-18 17:20:39 181 1

原创 Gitlab 任意文件读取漏洞(CVE-2016-9086)以及gitlab SSRF to redis

使用vulhub的环境:https://github.com/vulhub/vulhub/tree/master/gitlab/CVE-2016-9086任意文件读取漏洞(CVE-2016-9086):GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13任意用户authentication_token泄露漏洞:Gitlab CE/EE versions 8.10.3-8.10.5docker起来之后是这样:新建项目的时候有一个从Gitl

2020-12-16 16:07:08 1145

原创 [CVE-2020-26258/26259]Xstream任意文件删除/SSRF漏洞

漏洞详情CVE-2020-26259:任意文件删除。CVE-2020-26258:SSRF细节poc[CVE-2020-26258] SSRF<map> <entry> <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class='com.sun.xml.internal.bind.v2.run

2020-12-15 11:22:19 3097 8

原创 AMF反序列化/XXE/SSRF漏洞

参考:CVE-2017-5641Previous versions of Apache Flex BlazeDS (4.7.2 and earlier) did not restrict which types were allowed for AMF(X) object deserialization by default.Adobe/Apache Flex Java library历史原因:Flex BlazeDS by Adobe (retired, contributed Flex

2020-12-04 11:16:15 3450

原创 mosec-maven-plugin检测maven项目的第三方库漏洞

settings.xml里:<!-- 添加pluginGroup可简化命令行参数 --><pluginGroups> <pluginGroup>com.immomo.momosec</pluginGroup></pluginGroups><profiles> <profile> <id>momo-plugin</id> <pluginReposi

2020-11-25 14:58:48 838

原创 配置apollo

https://github.com/nobodyiam/apollo-build-scriptshttps://github.com/ctripcorp/apollo/wiki/Quick-Start

2020-11-24 17:45:46 494

原创 maven仓库配置

一般在settings.xml中配置的是:<mirror> <id>alimaven</id> <name>aliyun maven</name> <url>http://maven.aliyun.com/nexus/content/groups/public/</url>; <mirrorOf>central</mirrorOf></mirror>然后让IDEA设

2020-11-23 16:04:33 1142

原创 [CVE-2020-8277]nodejs DNS DOS

漏洞描述:A Node.js application that allows an attacker to trigger a DNS request for a host of their choice could trigger a Denial of Service in versions < 15.2.1, < 14.15.1, and < 12.19.1 by getting the application to resolve a DNS record with a lar

2020-11-20 15:02:11 474

原创 maven排除某依赖并按照指定版本的artifact

比如:pom.xml中 <dependency> <groupId>com.自研框架</groupId> <artifactId>自研框架-spring-boot-starter-shiro</artifactId> </dependency>然后有一个默认的版本号,而shiro继承在里面,想改shiro的版本,就得改自研框架-spring-boot-

2020-11-12 18:54:09 3972 1

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除