前言

学习shiro反序列化

是什么

Apache Shiro是一种功能强大且易于使用的Java安全框架，它执行身份验证、授权、加密和会话管理，可用于保护任何应用程序的安全。

Shiro提供了应用程序安全性API来执行以下方面：

• 身份验证：证明用户身份，通常称为用户登录

• 授权：访问控制

• 密码术：保护或隐藏数据以防窥视；

• 会话管理：每个用户的时间敏感状态。

Shiro还支持一些辅助功能，例如Web应用程序安全性，单元测试和多线程支持，它们的存在也是为了加强上述四个方面。

前言

md，弄好了发现免费的代理质量太差了，根本没法达到预期….还是记录下吧。

前言

Linux Polkit 本地提权漏洞，cvss评分 7.8，高危漏洞

polkit的pkexec 存在本地权限提升漏洞
已获得普通权限的攻击者可以通过此漏洞提权至root权限

前言

前台RCE审计一。环境：win11 + php7 + PHPMyWind v5.6.beta

RMI

关于RMI这部分的学习：Java RMI 攻击由浅入深 | 素十八 以及 RMI反序列化漏洞之三顾茅庐-流程分析 | Halfblue，推个视频：Java反序列化RMI专题

RMI，即 Remote Method Invocation，Java 的远程方法调用。RMI 为应用提供了远程调用的接口，可以理解为 Java 自带的 RPC 框架，实现RMI的协议叫JRMP，RMI实现的过程中进行了java对象的传递，自然使用了序列化和反序列化，也自然产生了反序列化漏洞。

本地：mysql5.7

前言

W&M：强网拟态 2022 By W&M - W&M Team (wm-team.cn)

两道phar题目

漏洞描述

phpok v6.2存在前台反序列化漏洞，可写入webshell