0x00 前言千里之行，始于足下······Java反序列化基础篇的第一篇文章。 参考教程：白日梦组长的视频 Java反序列化漏洞专题 Java反序列化基础篇-01-反序列化概念与利用 | Drunkbaby’s Blog 0x01 基础概述序列化与...

0x00 前言当学习感到吃力且无趣时，正是学到深处时，当不畏艰苦、细细研究。 0x01 phar概述phar文件介绍PHAR（PHP Archive）是一种将多个 PHP 文件和资源打包成一个单独文件的格式，类似于 Java 的 JAR 文件。其用于...

概述XMLXML（eXtensible Markup Language），即可扩展标记语言，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。 XML结构分为： XML声明 DTD文档类型定义(可选) 文档元素 XML...

浅浅一记

命令注入，一般是Linux命令注入，本文也以Linux命令注入为主

CRLF 指的是回车符（CR，ASCII 13，\r，%0d）和换行符（LF，ASCII 10，\n，%0a），通过对HTTP报文添加CRLF可以制造CRLF Injection

Cross-site request forgery 跨站点请求伪造，是一种 Web 安全漏洞，它允许攻击者诱使用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略，该策略旨在防止不同网站相互干扰。

基础不牢，地动山摇！

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

Gopher是互联网早期的一种协议，利用gopher协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp 等，也可以发送 GET、POST 请求，这可以拓宽 SSRF 的攻击面。