HTTP 请求走私HTTP 请求走私漏洞成因HTTP 请求走私攻击，就是像走私一样在一个 HTTP 请求包中夹带另一个或者多个 HTTP 请求包，常发生于 HTTP/1.1 中 在现代网络中，用户和应用服务器之间一般不会直接连接，而是通过反

SSTISSTI当前使用的框架，python 的 flask、 java 的 spring 等都是用户的输入传入控制器，然后根据请求类型和请求的指令发送给对应的业务模块进行业务逻辑判断，数据库读取，最后把结果返回给视图层，渲染后展示给用户

XXEXXEXXE 全称 XML External Entity Injection 外部实体注入漏洞 XXE 会发生在语言程序解析 XML 时，没有禁止外部实体的加载，导致的漏洞漏洞触发点一般是可以上传 XML 文件的位置，没有进行过滤，

2025 ciscn 威胁检测与网络流量分析忘记那时候写了啥了，重新做一下 Kiwi 李华的电脑被植入了恶意程序，恶意程序发送了一个流量包，请你尝试根据截获的流量和病毒样本程序，获取 Windows 用户 Lihua 的登录密码。最终提交格

Hacktheboxvpn 连接，在这里要选择 tcp 我的 wsl 才能连接，不知道为什么 虚拟机需要权限才能连接 ‍ Meow What does the acronym VM stand for? VM 这个缩写代表什么？ vi

Fastjson 反序列化FastjsonFastjson 是阿里巴巴开发的一个 json 解析库，主要是对 json 数据进行序列化和反序列化 依赖 <dependency> <groupId>com.al

SnakeYAML 反序列化SnakeYAML 是 java 中解析 yaml 的库，支持将 java 对象和 YAML 数据互相转换 YAML 基本语法YAML 是一种有极高可读性的数据，是一种以数据为中心的语言，任何有效的 JSON 文

JNDI 注入JNDI 基础JNDI (java Naming and Directory Interface) 也就是 java 命名和目录接口，当程序定义了 JNDI 中的接口后，就可通过接口 API 访问系统的命名服务和目录服务 JN

XXEweb373<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php:&

JWTweb345查看源码发现提示 /admin 然后查看请求 JWT，可以发现就没有加密 这里可以看到换表是这个，但是我修改 user 为 admin，然后加密后不行，但是修改 alg 的参数反而可以得到 但是在 burp 的编码

linux 基础这个本来应该之前就要学的，但是之前只是把 wsl 当作一个工具的启动器，所以没有专门记录过 linux 该怎么用 orz 搞了一个 vps 之后感觉还是要学一下 linuxlinux 系统的特性就是一切皆是文件，是一种类 u

XSSweb 316XSS 题，网页给了提示，反射型 XSS 填入简单的 payload <script>alert(document.cookie)</script> 显示不是 admin，这里是看 w