Struts2 S2-045 远程OGNL表达式执行漏洞
Struts2在解析请求的时候会主动把MULTIPART请求给解析成参数,这里的MULTIPART请求被解析了两遍。一遍是框架解析的,另一遍是那个自带的插件解析的。两个地方判断是否是文件上传请求的时候的代码不一致,导致了error。 Struts2的验证是否是MULTIPART的方式: FileUploadBase验证方式: 简单的说就是Struts2的开发者判断是否是MULTIPAR...
阅读全文Elasticsearch 2.X
elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。使用elasticsearch可以快速的构建一个全文检索集群帮助你实时搜索。 一、安装环境 JDK环境安装 Elasticsearch 默认需要安装jdk1.7+版本,首先需要下载 jdk7 选择与当前操作系统相适应的JDK版本下载Java SE Develop...
阅读全文Elasticsearch 1.X
这个文档大约2014年在写的,只是修改了下版本号,这个文档写的非常简单,后面有空再发。 elasticsearch和solr都非常适合拿来做分布式全文索引,可以轻松的处理海量数据。 最近一年也没咋发文章,攒了很多都被弄丢掉了... elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。使用elasticsearch...
阅读全文Shimo-4.1.4.2 破解版 (支持Mac OS sierra PPTP 客户端)
Mac OS sierra 更新后不再PPTP支持了,从国内的mac分享破解软件里面找的Shimo都不兼容。从google翻到了个Shimo-4.1.4.2破解版,测试可用。 下载地址:Shimo-4.1.4.2.dmg...
阅读全文Gogland 发布 - JetBrains Go IDE
三年前JetBrains公司决定开发Golang插件,如今JetBrains 终于发布了一款全新的Go IDE-Gogland。 官方网站:https://www.jetbrains.com/go/ ,目前需要提交申请才能获取下载地址。...
阅读全文multipart/form-data PHP和Java通用的WAF绕过方法
依旧是multipart/form-data,去年的时候说道了利用PHP的特性去绕过WAF.轻松绕各种WAF的POST注入、跨站防御(比如安全狗) 原文简单的描述了PHP在处理POST请求的时候会解析multipart/form-data的内容。 那么这个multipart/form-data到底是个啥呢? 大概长成上面这样.HTML代码就更加简单了: <!DOCTYPE html> ...
阅读全文DNS Records (ANY)
这是一个来自Rapid7的LDNS库,包含了大约5亿域名A记录. Dataset Details The dataset contains snapshots taken within a timeframe of maximum 8 hours each. New snapshots will be added as additional data is collected. The forwa...
阅读全文java reflect cmd
看了 @动后河 jsp上传cmd马却遇到防火墙的绕过方法,很久以前和 @xcoder 师傅搞过类似的东东。贴出我的执行CMD利用代码: import java.io.InputStream; import java.lang.reflect.Method; import java.util.Scanner; public class ReflectTest { public static Stri...
阅读全文