# Apache log4j2-RCE 漏洞复现#CTL{\n}#CTL{\n}#CTL{\n}#CTL{\n}## 0x01 漏洞简介#CTL{\n}Apache **Log4j2**是一个基于Java的日志记录工具。由于Apache Lo

0x00 前言前几天听说了这个漏洞一直没有机会复现，今天决定复现一下，参考了几篇文章之后自己就开始动手进行了复现0x01 漏洞概述2021年04月13日，360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情，漏洞等级：严重漏洞评分：9.8Chrome是四大浏览器内核之一，统称为Chromium内核或Chrome内核。chrome是开放源代码的，目前采用Ch

题目页面进入靶场进入靶场后我们首先看到了这句话他说flag还是这个页面，但是我们看不到，那么这个时候我们就需要用Burp来抓个返回包来看看通过抓返回包我们发现这里有flag我们尝试着把这个提交发现并不对，那flag在哪呢？他会不会通过js文件隐藏了？于是我们注意到了这里点进去之后我们发现了别有洞天我们发现他给我们返回了这么个东西我们看到fromCharCode()这个方法我

盲注介绍注入攻击的本质，是把用户输入的数据当作代码执行。这里有两个关键条件：第一个是用户能够控制输入第二个是原本程序要执行的代码，凭借了用户输入的数据盲注所对应的是显错注入，显错注入我们之前说过，但是很多时候Web服务器关闭了错误回显，这时候我们就没有办法实行SQL注入了吗？答案当然是否定的所谓的盲注就是在服务器没有错误回显的时候完成的注入攻击服务器没有错误回显，对于攻击者来说其实就缺少

kali中间人攻击目标使用kali系统模拟攻击，利用中间人攻击手段来获取用户登录的用户名与密码环境介绍及拓扑图虚拟软件VMware V15.5版本虚拟机Windows-XP—-模拟客户机Windows Server 2003—-模拟Web及FTP服务器kali—-模拟攻击机知识介绍我们知道任何一台电脑想要联网都需要有网卡我们安装了VMware的同时他又会在你的真实机上安装两块网卡VMnet

POST注入介绍注入攻击的本质，是把用户输入的数据当作代码执行这里有两个关键条件：第一个是用户能够控制输入第二个是原本程序要执行的代码，拼接了用户输入的数据POST注入属于注入的一种，POST注入就是使用POST传参进行传参的注入，本质上和GET类型的没什么区别POST注入高危点：登录框查询框等各种和数据库有交互的框最经典的POST注入莫过于万能密码：' or 1=1 #接下来我