文章目录0x01前言：0x02Shiro登录认证流程图：0x02版本范围：0x03Shiro登录验证流程调试分析：0x04复现漏洞:0x01前言：ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。shiro相比于springsecurity简单许多，官方号称10分钟就能学会。shiro反序列化漏洞是Java经典漏洞，于2016年被挖掘出来，到现在依旧很多系统存在该漏洞，非常值得学习，对加深shiro认证机制的理解以及java代码审计颇有帮助。本文针对Shiro进行了一个原理性的讲解，从源码层面来分析了Shiro的认证和授权的整个流程，说明rememb

WindowsServer2019安装开始前，请提前下载好WindowsServer2019系统镜像文件.打开安装好的Hyper-V管理器，选择test主机右击—“新建”—“虚拟机”更改自取名称——“DC”选择要安装位置，这里是E:\VM\点击——“下一步”选择“第二代”点击——“下一步”分配内存“2048”点击——“下一步”2G就行，电脑内存大多分一点也行.配置网络选择“内部”点击——“下一步”连接虚拟硬盘这里不用选择已经创建好了，直接点击——“下一步”选择“从可启动的镜像文件安装操作系统”选中准备好的WindowServer2019.IOS镜像文件，点击——“下一步”这里直接点击——“完成

Tomcat--文件上传--文件包含--(CVE-2017-12615)&&(CVE-2020-1938)复现环境采用Vulfocus靶场环境进行复现，搭建操作和文章参考具体搭建教程参考vulfocus不能同步的解决方法/vulfocus同步失败。CVE-2017-12615文件上传漏洞简介当存在漏洞的Tomcat运行在Windows/Linux主机上，且启用了HTTPPUT请求方法（例如，将readonly初始化参数由默认值设置为false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件，JSP文件中的恶意代码将能被服务器执行，导致服务器

Jenkins命令执行--jetty敏感信息泄露--(CVE-2021-2816)&&(CVE-2017-1000353)&&(CVE-2018-1000861)jetty敏感信息泄露（CVE-2021-28169）漏洞简介对于/concat?/%2557EB-INF/web.xml的请求可以检索web.xml文件。这可能会泄露有关Web应用程序实施的敏感信息。漏洞复现直接在url路径请求如下地址/%2e/WEB-INF/web.xml/.%00/WEB-INF/web.xml/%u002e/WEB-INF/web.xml/static?/WEB-INF/web.xml/a/b/..%00/W

SpringBoot目录遍历--表达式注入--代码执行--(CVE-2021-21234)&&(CVE-2022-22963)&&(CVE-2022-22947)&&(CVE-2022-2296)SpringBoot目录遍历（CVE-2021-21234）漏洞简介spring-boot-actuator-logview是一个简单的日志文件查看器作为SpringBoot执行器端点，在0.2.13版本之前存在着目录遍历漏洞，编号CVE-2021-21234。漏洞本质是SpringBoot执行器通过请求的参数来指定文件名和文件夹路径，经过组合拼接达到目录遍历，虽然源码中检查了文件名（filename

问题描述Windows7Server服务器也被漏洞扫描找出来几个漏洞，如下：端口协议服务漏洞解决方案445TCPmicrosoft-dsMicrosoftWindowsSMB远程代码执行漏洞(CVE-2017-0143)(MS17-010)【原理扫描】``MicrosoftWindowsSMB远程代码执行漏洞(CVE-2017-0144)(MS17-010)【原理扫描】``MicrosoftWindowsSMB远程代码执行漏洞(CVE-2017-0145)(MS17-010)【原理扫描】``MicrosoftWindowsSMB远程代码执行漏洞(CVE-2017-0146)(MS17-010)

  GPT1：ImporovingLanguageUnderstandingBy GenerativePre-trainingGPT2：LanuageModelsAreUnsupervisedMultitaskLearnersGPT3：LanguageModelsAreFew-shotLearnersGitHub：https://github.com/openai/gpt-3从GPT三个版本的论文名也能看出各版本模型的重点：GPT1：强调预训练GPT2：强调UnsupervisedMultitask就是说下游任务fintune的时候不用重新调整模型结构了GPT3：强调Few-shot就是连fi

网上找了很久，修复主要是Windows只有下列第二种方法，Linux服务器直接命令升级版本或者修复系统版本：windowsserver2008、iis7.0一、更新openssl版本这个漏洞我目前了解到是直接使用系统自带版本，版本过低引起的弱加密信息泄露，直接更新。更新会同时把标题两个漏洞都补上先下载一波安装包：http://slproweb.com/products/Win32OpenSSL.html因为是Windows版本我们直接下载exe文件我本人是直接安装的这版本，其他版本没有试过，如果这个不行，可以自行尝试在服务器点exe安装，路径可以改，但最好不要改直接运行，按步骤走中间都直接下一

SERVER2019评估版显示如下将WindowsServer2019评估版转换为WindowsServer2019标准版：dism/online/set-edition:ServerStandard/productkey:N69G4-B89J2-4G8F4-WWYCC-J464C/accepteula将WindowsServer2019评估版转换为WindowsServer2019 数据中心版： dism/online/set-edition:ServerDatacenter/productkey:WMDGN-G9PQG-XVVXX-R3X43-63DFG/accepteula 转换完重启电

1.漏洞介绍。ApacheActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务，集群，SpringFramework等。ApacheActiveMQ5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务（JMS）ObjectMessage对象利用该漏洞执行任意代码。2.环境介绍。复现环境采用kali搭建Vulhub。靶机：172.18.0.1:8161环境运行后，将监听61616和8161两个端口。其中61616是工作端口，消息在这个端口进行传递；8161是Web