Ed3n's Blog

前置类的更改src/main/java/pojo/IdCard package pojo;import java.io.Serializable;import java.util.Objects;// 身份证public class IdCard implements Serializable { private Integer id; private String idNo; // 身份证号 private String address; // 地址 public IdCard() { } @Override public String toString() { return "IdCard{" + "id=" + id + ", idNo='" + idNo + '\'' + ...

Spring：全功能栈的应用程序框架各模块介绍 Test 对应 spring-test.jar。 Spring 提供的测试工具，可以整合 Junit 测试，简化测试环节。 Core Container Spring 的核心组件，包含了 Spring 框架最基本的支撑。 Beans，对应 spring-beans.jar，Spring 进行对象管理时依赖的jar包。 Core，对应 spring-core.jar，Spring 核心 jar 包。 Context，对应 spring-context.jar，Spring 容器上下文对象。 SpEL，对应 spring-expression.jar，Spring 表达式语言。 AOP 面向切面编程，对应 spring-aop.jar。 Aspects AspectJ 的具体实现，面向切面编程的另一种实现。对应 spring-aspects.jar。 Instrumentation 服务器代理接口的具体实现。对应 spring-instrument.jar。 Messaging 集成 messaging api 和消息协议提供支持。对应 s ...

反射引入在项目中有 People 类，包含 name 和age属性。并生成 getter/setter 和 toString 方法。 public class People { private String name; private int age; //...} 如果我们想给 name 赋值 ’张三‘ ，age 赋值 0 的话： public static void main(String[] args) { Scanner sc = new Scanner(System.in); System.out.println("请输入赋值的属性名称"); String filed = sc.next(); System.out.println("请给这个属性赋值"); String value = sc.next(); People people = new People(); switch (filed) { case "name" ...

web373-web374传送门： XXE学习记录 | Ed3n’s Blog web375先看源码： <?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2021-01-07 12:59:52# @Last Modified by: h1xa# @Last Modified time: 2021-01-07 15:22:05# @email: h1xa@ctfer.com# @link: https://ctfer.com*/error_reporting(0);libxml_disable_entity_loader(false);$xmlfile = file_get_contents('php://input');if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){ die('error');}if(isset($xmlfile)){ ...

文件上传webshell认识 WebShellwebshell 概念Webshell 是黑客经常使用的一种恶意脚本，其目的是获得服务器的执行操作权限，以 aspx、php、jsp 等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。 常见的后端开发语言主要有 Java、.net、php，而 WebShell 就是 jsp、aspx、php等网页文件形式存在的一种命令、代码执行环境，也可以将其称做为一种网页木马后门。 黑客在入侵了一个网站后，通常会将 jsp、aspx 或 php 后门文件与网站服务器 WEB 目录下正常的网页文件混在一起。然后就可以使用浏览 器来访问后门文件，得到一个命令执行环境，以达到控制网站服务器的目的。 优点可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过 http/https 协议（默认 80、443 端口）传递的，因此不会被防火墙拦截。 使用 WebShell 一般不会在系统日志中留下记录，只会在网站的 web 日志（比如 apache 的 access.log）中留下一些数据提交记录，没有经验的管理员是很难看出入侵 ...

前言： 上上周的青少年CTF擂台挑战赛 2024 #Round 1中，有一道XXE的题目，结合我对 moectf 那道XXE的印象，感觉都是直接复制、黏贴答案模板后改改就出了，没有系统的认真学；趁着有想法的时候把 XXE 系统学个一遍。。。 XXE什么是 XXE？XXE 全称是：XML External Entity，也就是 XML 外部实体注入攻击，由于程序在解析输入的 XML 数据时，解析了攻击者伪造的外部实体而产生的。有XXE漏洞的标志性函数为simplexml_load_string()。漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。 XML 基础学习（ XXE 要从认识 XML 开始）：XML指可扩展标记语言（EXtensible Markup Language）是一种标记语言，很类似 HTML。XML的设计宗旨是传输数据，而非显示数据。XML标签没有被预定义。需要自行定义标签。XML被设计为具有自我描述性。XML是 W3C 的推荐标准。 XML 是不作为的：也许这有点难以理解，但是 XML 不会做任何事情。XML 被设计用来结构化、存储以及传输信息。 下面是 Jo ...