08 2021 档案
摘要:实战中遇到了不少,现在特地学习一下 fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 由于其特点是快,以性能为优势快速占领了大量用户,并且其 AP
阅读全文
摘要:Java的站点,登录有限制5次,admin已经被锁定了,验证码没啥用,分两次请求,一次是验证验证码的,一次是验证登录的,因此只要为伪造第二次的请求即可 验证验证码 发送验证请求 Key/Iv硬编码 审计js源码发现,Aes中的Key/Iv使用了硬编码 但是没有用户名,当然可以尝试爆破,但是感觉效率不
阅读全文
摘要:最近遇到了很多需要Relay的场景,于是现在特定的来学习一下常见的Relay攻击以及手法 NTLM Relay NTLM认证过程 参考 https://www.freebuf.com/articles/web/269876.html Windows的NTLM认证就是利用NTLM Hash进行的认证,
阅读全文