Yue1one-CSDN博客

原创文件上传之Webshell连接方法

Webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页木马后门,攻击者可以通过这种网页后门获得网站服务器操作权限,控制网站服务器以进行上传下载文件, 查看数据库执行命令通过服务器开放的端口获取服务器的某些权限。往目标网站中上传一句话木马，然后你就可以在本地通过Shell管理工具连接即可获取和控制整个网站目录。

2023-04-19 15:21:15 6614

以上就是完成投票系统的全部代码，花费一个晚自习的时间,还是有难点的,但是我完成此功能利用到的知识点不是很多，只有封装get和set构造方法来传递数据,整体的逻辑为数组定义10个值为学生的姓名, 利用for循环搭配 Scanner键盘录入,遍历数组的长度,每次来确定投票给谁,给出三个“班干部”，接收输入来对票数进行统计........,循环结束是没错,结束了就可以统计,但是这是正常的结束才可以这样做,但程序中还存在强制退出的功能点,如果写在下方的话那么就不满足10次,10次不到可能就会执行。

2023-04-11 16:30:14 6074 2

原创 java实现银行存取款

功能的点只有存钱 + 取钱 .但在实际开发中肯定要考虑代码安全.要对金额取出有限制及不能出现负数或者其他字符的情况.当然这种小小练习是不用考虑,只管练手就是了。

2023-04-11 15:08:55 6246 1

原创 Java实现查看手机配置与功能

案例上的小练习,实现功能并不难，用到了有参构造器和if判断输入简单的面向对象.相信看过之后对初学者肯定有帮助

2023-04-10 20:30:04 3147 1

原创 ApacheShiro反序列化 550 721漏洞

Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理个漏洞被称为Shiro550是因为在问题跟踪器中，该漏洞最初被标记为第550个问题,721漏洞名称也是由此而来。

2024-10-17 17:27:08 758

原创 MongoDB未授权访问

MongoDB)是一种流行的开源文档数据库管理系统（DBMS），基于分布式文件存储的数据库属于NoSQL数据库的一种。开启服务时不添加任何参数时,默认是没有权限验证的登录的用户可以通过默认端口27017无需密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。

2024-10-17 17:14:17 235

原创 Jboss未授权 CVE-2017-7504

JBOSS是一个基于J2EE的开放源代码应用服务器，也是一个管理EJB的容器和服务器，默认使用8080端口监听

2024-10-17 17:10:29 189

原创 Redis历史漏洞未授权RCE复现

Redis是一个开源的内存数据库，它用于存储数据，并提供高性能、可扩展性和丰富的数据结构支持。默认情况下，会绑定在，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源ip访问等，这样将会将Redis服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问Redis的情况下，利用Redis自身的提供的config命令，可以进行写文件操作,并且写公匙登录。

2024-10-17 17:01:02 560

原创红日安全vulnstack (二)

红日安全从0-1第二套内网靶机一曾内网

2024-10-16 17:17:42 1219

原创红日安全vulnstack (一)

红日靶场从0-1教程,参考大量文章复现而来有踩过的坑也有真正拿下权限的时候,有失有得这才是渗透嘛

2024-10-16 17:15:20 1236

原创日期时间类包装类

介绍了Java编程语言中处理日期时间的API，重点讲解了java.time包下的几个核心类：LocalDate、LocalTime、Instant、Duration和Period。每个类都有其特定的功能和用途

2024-10-16 17:09:47 747

原创 Map 双列集合根接口 HashMap TreeMap

介绍了Java编程中Map接口及其常见实现类的功能、特性及使用方法。Map接口是一个双列集合，其中每个元素由一个Key对象和一个Value对象组成，它们之间存在一对一的映射关系。常见的Map实现类包括HashMap、LinkedHashMap和TreeMap等

2024-10-16 17:04:16 838

原创 Collection 单列集合 List Set

介绍了Java集合框架的基础知识，重点讲解了Collection和Map两种主要的集合类型以及它们的子接口（如List和Set）和实现类（例如ArrayList和HashSet）。文章详细阐述了单列集合（Collection）和双列集合（Map）的特点、用途及其操作方法。特别指出了集合框架中的核心接口（如List、Set）及其常见实现类的功能与用法，并通过示例代码展示了如何使用这些集合类型进行数据的存储、遍历以及修改

2024-10-16 16:57:11 695

原创 Java环境变量配置及源文件命名规则

介绍了环境变量配置、Java程序的源文件及编译的基本知识，并通过具体的步骤说明了如何正确地配置Java环境变量及其新手学习Java容易犯错的问题

2024-10-16 16:53:23 765

原创 Java实现系统注册验证

进行系统注册时通常需要输入用户名和密码，其中用户名要求由8个字母字符组成、密码由6个 (含6) 以上数字字符组成。满足要求，则提示“注册成功”，否则根据实际情况提示“**不符合要求”(**为用户名或密码)

2024-10-16 16:49:41 419

原创 JWT认证原理

介绍了JWT（JSON Web Token）的基本概念、认证原理及其在网络安全方面的应用。JWT是一种用于在网络中安全地传递信息的开发标准，特别适用于身份认证和授权场景。它的核心在于将用户的个人信息加密存储在一个Token中，这个Token包含了用户的身份验证信息，而服务器并不直接保存用户的原始信息，仅需保留加密所需的密钥信息

2024-10-16 16:41:09 362

原创云安全攻防基础挖掘姿势

云安全是一组程序和技术的集合，旨在解决企业安全所面临的外部和内部威胁。将各种云端工具和服务纳入企业基础架构中时，需要云安全保障业务顺利进行,在云存储中，您可以设置不同的权限级别，以控制谁可以访问存储桶中的数据以及以何种方式进行访问。当这些权限配置出现问题时，就会导致潜在的安全风险各大厂商云域名前缀,常见的是阿里云和腾讯云分辨厂商看域名前缀存储桶为空利用脚本跑出数据。

2024-10-16 16:35:46 971

原创 Windows应急响蓝安服面试

整理蓝队应急响应常见方式和方法,为初入蓝队师傅提供小小帮助,常见远控工具CS MSF介绍面试回答方式

2024-10-11 17:24:50 895

原创常见加解密算法代码实现加密与解密

介绍了常见的加密算法及其特点，包括不可逆加密算法（如MD5）、对称加密（如DES、AES）与非对称加密（如RSA），以及伪加密（如Base64）。文章还讨论了如何通过密文特征和源代码来识别加密类型，并提供了几种加密和解密的JavaScript实现，例如MD5.js和AES加密的Java代码示例。

2024-10-11 16:45:17 745

原创 Java序列化以及反序列化思考

序列化其实就是将数据转化成一种可逆的数据结构，自然，逆向的过程就叫做反序列化，序列化与反序列化的根本目的是数据的传输。

2024-10-11 16:24:34 623

原创 IDEA配置MyBatis实现数据库增删改查

您的支持是我持续创作的动力，也欢迎留言交流，让我们一起探讨技术，共同成长！🚀✨”

2024-03-17 16:08:47 1362 1

原创 SRC信息收集高效方式

SRC信息收集方法论,从深到浅给讲述信息收集的流程和工具使用

2024-03-12 00:25:37 670 3

原创 JavaServlet类

Java语言的Web编程技术,部署在后端的Web容器里,获取前端访问请求,并根据请求升响应信息返回到客户端平台独立的Java类,编写一个实际上就是按照规范写一个Java类,被编译为平台独立字节码,可以动态加载到支持Java技术的后端服务器中运行

2024-03-11 09:34:07 671 1

原创内网安全信息收集

内网指的是局域网,即一个范围内多个通信设备组成的网络,在这个局域网内,计算机之间可以实现通信,文件传输,软件硬件的共享。

2024-03-11 09:11:54 1353 2

原创 BURP保存多个监听器配置

在进行漏洞挖掘或渗透测试时BURP应该会有多个代理端口,有的负责小程序有的是APP有的是WEB,但是我发现BURP每次开启关闭后都只会保留一个代理,也就是其余的会消失,虽然再次添加代理端口会正常抓包但是每次这样也比较烦人,于是看文章研究了一下补充一下细节问题。

2024-02-27 21:13:59 351

原创 Windows代理配合Burp抓取客户端+小程序数据包

在渗透测试漏洞挖掘中抓取数据包是最基本的操作,Web网站数据包搭配证书Burp抓取是没有问题的,但是我们漏洞挖掘不仅仅局限于Web层面,小程序和客户端仍是我们在测试中不可忽视的地方写出这篇文章前我也尝试过多种代理软件抓取数据包,如原理大都是基于流量转发相当于中间人身份,将流量通过代理软件再转发到Bp,但有很多包不知道从哪里冒出来的,根本分析不了请求,但今天发现Windows其实是可以设置代理的,配合Burp可以完美的实现抓包,也不需要任何证书操作！打开。

2023-12-05 17:50:49 1047 1

原创 DC-1渗透靶场实战速通版

开启 Kali 和 DC靶机,确保二者互相可以ping通,Kali地址根据命令可以查找到,但是DC靶机我们是没有画面的,只是开启了一个环境,我们可以在虚拟机的设置里面找到。得出新的admin的密码后,又开始重复步骤,登录数据库,使用数据库语句修改指定表指定字段中的值,修改密码为我们123456加密后的值。回到终端,退出数据库,使用命令查看提示文件。

2023-12-01 16:26:35 1002 2

原创 JavaWeb技术JSP连接数据库操作

既然是JavaWeb技术并且还需要连接数据库少不了2样配置,但是我也贴心的准备好了文章,需要的同学可以去看,配置好后创建对应的JavaWbe项目两个教程都是我自己一步步配置过的并且成功,如果已经成功创建了JavaWeb项目的可以跳过。

2023-11-06 16:54:52 732 1

原创 JavaIDEA配置JDBC数据库连接+可视化页面

点击后跳转到下载数据库驱动页面,选择对应的操作系统这里我以windows为例,下方选择压缩文件类型,选择自己喜欢的就可以,然后点击Download跳转到新的页面,但是发现下载并未开始,这是因为网站提示我们登录,这里翻译一下就知道意思了,我们直接点击下方的得到包,这个包就是我们所需要的驱动包。

2023-11-06 16:02:53 872 1

原创 java实现控制台购书系统

面向对象实现相信看了对你理解更为透彻

2023-04-11 15:22:22 4182 2

saber的博客