环境搭建git clone https://github.com/apache/shiro cd shiro git checkout shiro-root-1.2.4 将 shiro/samples/web/pom.xml 中的jstl

走进fastjson我们先通过官方文档来了解一下fastjson是一个什么东西？ fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列

梦想cms1.4审计一个简单的mvc，直接去看配置文件和控制器,配置文件中无waf：先来后台的，后台的都比较容易 后台sql注入1BookAction.class.php文件：有传参，跟进下getReply方法： 进行了字符串拼接操作，并且

这里给大家推荐两个phpdebug的docker容器，也是我一直在用的，不用配置很复杂的环境，即开即用： 框架介绍基本信息ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架，遵循Apache 2开源协议发布，使用面向对象的开

BlueCMS v1.6审计大致看了下几乎都包含了common.inc.phpok，看一下这个全局配置文件: 看下deep_addslashes函数就是简单重下了下addslashe函数，这里先看下Seay的自动审计结果，先不考虑利用有单双

嘟嘟牛app算法hookadb install 安装完后，打开登录界面 手机挂好sock代理，抓到加密后的包： 搜索一下关键字Encrypt，重点看下 com.dodonew下的： 最后都hook一遍发现是在 com.dodonew.

string.trim这个还是比较关键的，没准可以从这里得到加密方式，或者挖到sql注入，文件上传等漏洞。进一步利用可以打印堆栈来用 Java.perform(function(){ function showS

一个通杀md5，sha，mac，des，3des，aes，rsa，数字签名 算法的hook脚本。 原理呢其实就是hook监控了一些加密库会调用到的底层函数。 先贴代码： Java.perform(function () &#123

Android基础把java学好因为好多apk是java写的，不然反编译出来的代码都看不懂。把c学好，要不然同样so层看不懂。把linux学好，因为Android系统是基于linux开发的，好多命令都是相通的 推荐大家准备一个谷歌的那个pi