luke的博客

Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本，相比于 Log4j，Log4j2 在性能、可靠性和灵活性方面都有显著的改进。Log4j2 特点高性能：Log4j2 使用异步日志记录机制，可以提供比传统同步日志记录更高的吞吐量和更低的延迟，因此在高负载情况下仍然能够保持出色的性能。灵活的配置：Log4j2 的配置文件使用 XML、JSON 或 YAML 格式，允许将日志的格式、目标以及日志级别等属性进行灵活的配置和定制。

PhpStudy国内12年老牌公益软件，集安全、高效、功能与一体，已获得全球用户认可安装，运维也高效。支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮 Windows web 面板存在存储型 xss 漏洞，结合后台计划任务即可实现 RCE。

值得注意的是，GET 请求通常不包含请求体，因为 GET 方法主要用于从服务器检索数据，其数据通常通过 URL 的查询字符串传递。然而，技术上讲，HTTP 规范并没有禁止 GET 请求携带请求体，虽然这不是常见的做法。这个特性是独立于 HTTP 请求的方法的，意味着它不仅可以在 POST 请求中使用，也可以在 GET 或其他 HTTP 方法的请求中使用。，当然你也可以自己输入 URL，URL 所指向的页面是插件将处理的页面，不一定需要是当前页面的 URL。配置项关闭，则可以防止 PHP 的读取与解析。

php exit();1亦或者php exit();????123这样即使插入了一句话木马，在被使用的时候也无法被执行。这样的死亡exit通常存在于缓存、配置文件等等不允许用户直接访问的文件当中。

FTP通常用作对远程服务器进行管理，典型应用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全，甚至黑客通过提权可以直接控制服务器。这里剖析渗透FTP服务器的几种方法。（1）基础爆破：ftp爆破工具很多，这里我推owasp的Bruter,hydra以及msf中的ftp爆破模块。（2) ftp匿名访问：用户名：anonymous 密码：为空或者任意邮箱（3）后门vsftpd ：version 2到2.3.4存在后门漏洞，攻击者可以通过该漏洞获取root权限。（https://www.free

*通过门槛：**极高，不仅仅要看权重，而且还要看公司的注册资金，好像是通用型的漏洞，厂商注册资金要超过五千万，而且还不能只提交一个，要提交十个案例才可以。**通过门槛：**门槛比较低，只要是漏洞都收，没有权重或者公司的一些要求，审核不是很严格，刚入门的师傅可以提交到漏洞盒子，练练手，积累一下经验和技巧。一个好的心态，和一个灵活的脑袋，心态很重要，保持一个良好的心态，挖洞的时候细心一点，不怕漏洞挖不到。正所谓心细则能挖天下！**通过门槛：**高，必须要edu和教育相关的网站，例如说大学，中学，高中这些。

使用快捷键 Ctrl+Shift+R 即可。