marin的小窝
一个学习网安的小菜鸡
  文章分类
比赛复现 1 WEB 7 CTFSHOW 5 linux 1
XXE XXE
XXEXXEXXE 全称 XML External Entity Injection 外部实体注入漏洞 XXE 会发生在语言程序解析 XML 时,没有禁止外部实体的加载,导致的漏洞漏洞触发点一般是可以上传 XML 文件的位置,没有进行过滤,
2025-12-05 WEB
web 漏洞
SSTI SSTI
SSTISSTI当前使用的框架,python 的 flask、 java 的 spring 等都是用户的输入传入控制器,然后根据请求类型和请求的指令发送给对应的业务模块进行业务逻辑判断,数据库读取,最后把结果返回给视图层,渲染后展示给用户
2025-12-05 WEB
web 漏洞
HTTP 请求走私 HTTP 请求走私
HTTP 请求走私HTTP 请求走私漏洞成因HTTP 请求走私攻击,就是像走私一样在一个 HTTP 请求包中夹带另一个或者多个 HTTP 请求包,常发生于 HTTP/1.1 中 在现代网络中,用户和应用服务器之间一般不会直接连接,而是通过反
2025-12-05 WEB
web 漏洞
Hackthebox Hackthebox
Hacktheboxvpn 连接,在这里要选择 tcp 我的 wsl 才能连接,不知道为什么 虚拟机需要权限才能连接 ‍ Meow What does the acronym VM stand for? VM 这个缩写代表什么? vi
2025-11-07 WEB
web 刷题
Fastjson 反序列化 Fastjson 反序列化
Fastjson 反序列化FastjsonFastjson 是阿里巴巴开发的一个 json 解析库,主要是对 json 数据进行序列化和反序列化 依赖 <dependency> <groupId>com.al
2025-10-05 WEB
web java
SnakeYAML 反序列化 SnakeYAML 反序列化
SnakeYAML 反序列化SnakeYAML 是 java 中解析 yaml 的库,支持将 java 对象和 YAML 数据互相转换 YAML 基本语法YAML 是一种有极高可读性的数据,是一种以数据为中心的语言,任何有效的 JSON 文
2025-10-01 WEB
web java
JNDI 注入 JNDI 注入
JNDI 注入JNDI 基础JNDI (java Naming and Directory Interface) 也就是 java 命名和目录接口,当程序定义了 JNDI 中的接口后,就可通过接口 API 访问系统的命名服务和目录服务 JN
2025-09-05 WEB
web java