JEP290 理论部分 漫谈 JEP 290 (seebug.org) JEP 介绍 JDK Enhancement Proposal 简称JEP，是 JDK 增强提议的一个项目，目前索引编号已经达到了JEP415，本文重点来谈谈什么是JEP290，JEP290做了哪些事，JEP290绕过的方法总结等。 JEP290 介绍 JEP290的描述是Fi…

Proxifier + burp 联动抓包 微信小程序 出于小程序的测试，所以想整个这个 需要安装proxifier，严格按照下面配置 代理服务器 8080就是我们Burp监听地址 我们退出来，在代理规则里面新增wechat这个规则，严格按照下面这个，不然会监听到一些其他杂音（乱七八糟的其他ip域名的请求，会占用咱们的代理），然后有时候弹出的自动配…

成都纪行 旅行者……当你重新踏上旅途之后，一定要记得旅途本身的意义。提瓦特的飞鸟、诗歌和城邦，女皇、愚人和怪物……都是你旅途的一部分。终点并不意味着一切，在抵达终点之前，用你的眼睛，多多观察这个世界吧。 出发地：广东深圳 目的地：四川成都 起因是实习，拿到成都微步的offer后就去成都实习了，从深圳坐高铁去成都，800元8小时，从10:00 a.m…

外网打点（上） 信息搜集在攻防演练或者漏洞挖掘项目中是第一步，虽然比较无脑，但是不可或缺 基本方法，无非就是信息搜集-->找到脆弱资产-->漏洞利用→getshell，说起来是很简单的。 目标资产类型 明确目标 公司 - 子公司 - 产品 当项目经理告诉了你攻击目标的时候 →得到公司名→上爱企查查搜公司名→搜出来一堆公司和子公司 这时候…

frp使用 frp介绍 frp 是一个专注于内网穿透的高性能的反向代理应用，支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。 端口映射 工具：frp 原理功能： 可以把ip1的port1转发到ip2的port2上，例子就是把本地的ssh22端口转发到公网vps的某某端…

2023春 日常实习面试准备 顺丰科技（信息安全工程师，校招储备） jd 岗位职责： 1、负责主机、数据库、中间件、网络、存储和终端的信息安全基线标准制定与符合性检查，以及上述工作所需支撑工具与系统的开发和维护； 2、负责集团各应用系统的安全评估，检查软件开发中信息安全要求的落实情况，预防应用系统安全漏洞； 3、开展网络流量及系统日志记录、采集及分…

jndi-互相攻击 基础知识 开始前有必要回忆一下server,register,client的知识点 client是如何反序列化加载register的远程对象的： client暴露了lookup方法，参数可控 server提供了恶意类的地址，并向register注册自己远程（恶意）类的服务 register为server提供注册功能，同时接受并处…

杭州纪行 又是铁轨，真令人怀念 愿此行，终抵群星 出发地：四川成都 目的地：浙江杭州 2023.3.17-2023.3.20 没有人知道旅途的前方等待自己的会是什么，因此仅仅是踏出这一步就足以令人恐惧。 day1 2023.3.17 成都 天府国际机场 20℃ 阴 序章-出发，通往群星的轨道 由于起飞时间是9点左右，加上很久没坐飞机了需要提前准备，…

phar绕过前后脏数据 当我们可以写入日志但又会有一些系统自动添加的脏数据时，我们要如何进行phar反序列化攻击呢？ 绕过前面脏数据 具体的说， 假如题目会自动在前面加上脏数据，并且内容已知： 那么很好办，只需要正常使用phar脚本并将这部分放进去一起生成phar，他就会自动计算签名了，之后删掉前面脏数据就好 绕过后面脏数据 假如题目会自动在后面加…

twst