Tommonkey

上一篇说了Struct2的相关漏洞,这一篇就复现一下Spring相关的漏洞，关于spring产生的漏洞，其实他跟struct2都差不多，都是因为对用户的参数没有采用严格的控制，导致传入表达式而导致的，只不过struct2是OGNL，而spring是spel表达式造成的

Struct2是什么

这里摘自互联网上的一段解释：Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。很多年前Struts2 + Spring + Hibernate 三大框架一起组成了 “SSH”，但现在正在被Spring + Spring MVC/ Spring Boot + MyBatis新三剑客“SSM”所代替

最近在GitHub上欣赏别人写的代码，发现一个常用的模块–argparse，居然我到现在才知道，简直是罪过，于是马上开始了这个模块用法的学习

代理类型

代理相当于一个中介，我们委托中介去帮我们做一些事情，我们在幕后操作就OK了。代理的类型大致分为

漏洞信息

漏洞时间：2022-3-29
CVE编号：CVE-2022-22963
漏洞影响范围及条件：

1
2
3

JDK 9 及以上版本
Spring框架的5.3.0至5.3.17、5.2.0至5.2.19版本，以及旧版本
Tomcat服务器

推荐一个XSS接收平台来自github，github项目地址

事先声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及重大损失，均由使用者本人负责，本网站与作者Tommonkey不为此承担任何责任

何为一句话木马？他跟其他木马有什么区别吗？
一句话木马的叫法是来自他代码结构简单，简单到什么地步？最简单的一句话木马甚至可以就一句代码就结束了

ARL采用python3.6开发，Web API接口通过flask构建，数据存储在mongo中，任务调度采用celery进行分发。目前其运行环境仅局限于Linux于Mac平台

这次主要练习的是图形用户界面设计，当然也有一些乱起八糟的东西，但主要是Applet的内容