声明：该文章来自笔者日常学习笔记，未经授权，严禁转载，如需转载，评论留言。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章笔者和本博客无关。测试授权目标时，通过工具扫描出了zookeeper未授权（CVE-2014-085）之后就是进行漏洞利用由于目标系统较敏感，没有执行其它操作，所以准备本地复现Zookeeper安装部署之后默认情况下不需要任何身份验证，造成攻击者可以远程利用Zookeeper，安装zookeeper后默认端口为2181这个为配置文件直接进行漏洞利用echoenvi|ncxxxxx  2181直接输出目标服务器环境信息，非常详细os名称版本 服务器名称版本

web安全不安全的反序列、命令执行漏洞解析1.不安全的反序列化原理：​序列化即是把对象转变为字节流，存放在内存、文件数据库中，而反序列化即是把字节流转变为对象。该漏洞的原因出自于如果应用对恶意构造的用户输入的数据进行反序列化，这样就会产生非预期的对象，从而有可能产生远程代码执行。或者应用中存在可以在反序列化过程中或者之后被改变行为的类，则攻击者可以通过改变应用逻辑或者实现远程代码执行攻击。我们将其称为对象和数据结构攻击。危害：​1.远程执行代码：攻击者可能会在序列化数据中注入恶意代码，并将其发送到受感染的应用程序。一旦反序列化，攻击者就可以远程控制应用程序的执行，可能导致整个系统被完全接管。​

0x01产品简介  金蝶Apusic应用服务器（ApusicApplicationServer，AAS）是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件，全面支持JakartaEE8/9的技术规范，提供满足该规范的Web容器、EJB容器以及WebService容器等，支持Websocket1.1、Servlet4.0、HTTP2.0等最新的技术规范，为企业级应用的便捷开发、灵活部署、可靠运行、高效管控以及快速集成等提供关键支撑。0x02漏洞概述  金蝶Apusic应用服务器 deployApp 接口存在任意文件上传漏洞，攻击者可通过双斜杠绕过鉴权并上传恶意压缩包接管服务器权限。0

SpringBoot整合Redis缓存一、缓存概念知识1、是什么缓存2、缓存的优缺点3、为什么使用缓存二、Redis概念知识1、Redis简介2、为什么用Redis作为缓存3、Redis支持的数据类型4、Redis缓存常见问题1.缓存穿透2.缓存击穿3.缓存雪崩4.缓存一致性三、SpringBoot整合redis1、使用redis缓存1.引入redis依赖2.修改项目启动类3.配置redis数据库4.创建redis配置类5.操作redis2、使用SpringCache的注解1.注解说明2.常用注解配置参数3.自动缓存四、案例说明一、缓存概念知识1、是什么缓存日常生活中经常会听到缓存这个词，那到

记录之前刚学习Redis的笔记，主要包括Redis的基本数据结构、Redis发布订阅机制、Redis事务、Redis服务器相关及采用SpringBoot集成Redis实现增删改查基本功能一：常用命令及数据结构1.Redis键(key)#设置key和value127.0.0.1:6379>setmykeyhelloOK#获取key对应的内容127.0.0.1:6379>getmykey"hello"#序列化给定key，并返回被序列化的值127.0.0.1:6379>dumpmykey"\x00\x05hello\t\x00\xb3\x80\x8e\xba1\xb2C\xbb"#判断是否存在某个k

 MS11-030：DNS解析中的漏洞允许远程代码执行(2509553)安装的WindowsDNS客户端处理链接-本地多播名称解析(LLMNR)查询的方法中存在一个缺陷，攻击者可利用此缺陷在NetworkService帐户的上下文中执行任意代码。请注意，WindowsXP和2003不支持LLMNR。要在这些平台上成功利用此漏洞，需要本地访问权限以及运行特殊应用程序的权限。但是，在WindowsVista、2008、7和2008R2中，可以远程利用此漏洞。Microsoft已发布一系列用于WindowsXP、2003、Vista、2008、7和2008R2的修补程序。复现准备靶机：Winxp，2

是最近的vulnerabilitiestoJava也是对主要用Java编程的Android系统的威胁？我已经从我的计算机上禁用并卸载了Java，因为很多人都建议防止这些漏洞利用。我还应该担心我的Android设备吗？最后，这会影响Java和/或Android设备的编程吗？谢谢 最佳答案 他们没有。最近的Java漏洞仅涵盖在applet上下文中运行Java的情况，并且仅涉及Oracle的JVM。小程序的上下文是受限的，具有一定的权限，而最近的这些漏洞绕过了这些权限以获得更高的权限，即运行浏览器的用户的全部权限，而不是插件的安全上下文授

黑客攻击实战案例：12种开源情报收集、缓冲区溢出漏洞挖掘、路径遍历漏洞、自定义参数Cookie参数绕过2FA、二维码的XSS、恶意文件上传清单、反射型XSS漏洞、威胁情报搜索引擎。目前漏洞挖掘的常用方法只有一种就是人工分析为主，漏洞挖掘在很大程度上是个人行为，漏洞挖掘的思路和方法因人而异根据对已有漏洞的分析发现，绝大多数的漏洞都是由固定的几种原因造成的，通过对上述原因的分析，可得出这样一个结论这些问题都可以通过软件测试技术检查，因此可以通过软件测试技术进行漏洞挖掘。软件测试技术根据是否可以访问源代码分为白盒测试、黑盒测试和灰盒测试。缓冲区溢出漏洞挖掘以下核心要点：理解缓冲区溢出：缓冲区溢出是一

Redis是基于内存的K-V键值对内存数据库浅谈Redis7新特性主要是自身底层性能和资源利用率上的提高和优化。多AOF文件支持config命令增强限制客户端内存使用listpack紧凑列表调整访问安全性增强RedisFunctions（要抢Lua脚本的饭碗）RDB保存时间调整，保存规则发生变化。命令新增和变动Redis服务与客户端日常操作redis.conf配置文件，改完后确保生效，记得重启后台启动：默认daemonizeno改为daemonizeyes关闭保护模式：默认protected-modeyes改为protected-modeno注释掉bind127.0.0.1直接注释掉这行(默认

0.引言redis作为当今最常用的非关系型数据库，被广泛应用于数据缓存场景。而macm1采用arm芯片，使得众多软件安装成为问题，今天我们来看macm1如何安装redis1.本机安装redis1、下载redis安装包：https://redis.io/download/这里选择6.2版本下载（经测试5.0版本的安装会有报错），如果下载缓慢的可在下述网盘地址下载：redis网盘下载提取码:tteb2、解压安装包3、在该目录下执行编译测试指令sudomaketest4、如上图所示没有报错，则说明环境正常，开始正式安装sudomakeinstall5、启动redis-server6、连接redisr