最近在写网络程序设计的大作业,大概就是一个聊天室的功能,牵扯到并发的问题,开始尝试使用多线程进行编写,但是发现结构稍微复杂,后来从《高质量嵌入式 Linux C编程》一书中了解到,除了多线程、多进程之外,还有一种高并发的设计模式,那就是多路I/O复用技术(synchronous I/O multiplexing),这个技术在特定条件下(I/O成本远远低于处理流程、单核CPU等)的情况下,效率是要比前两者高的,其实质就是在单线程的情况下同时监控多个I/O,最基本的机制就是
select()机制,但是当然也有他的缺点以及优化版本(epoll等)
经过了多次比赛web的碰壁,发现现在单纯的web题已经很少见了。。大多都混合了如密码学、逆向等的知识。所以打算入坑pwn,打开新的大门。
Apache Commons Collections反序列化漏洞
好久没写博客,,,因为考虑到没有扎实的掌握一门流行的编程语言,所以花了两个月左右的时间补了Java的坑,最终当然也是要回归到安全方面上(ps:打OPPO的OGeek比赛时就碰到了Bind XXE类型,结合了tomcat的一些东西,结果除了扫目录毛线都不会)。这次主要想记录一下学习Java反序列化漏洞的过程,主要涉及Java的RMI(Remote Method Invocation)、RMP(Java Remote Message Protocol,Java 远程消息交换协议)、JDNI的概念。
ps:没有各位师傅的指导我可能会走更多的路,感谢这些师傅们的博客。
http://pupiles.com/java_unserialize1.html
https://kingx.me/Exploit-Java-Deserialization-with-RMI.html
http://sunsec.top/2019/10/16/JavaSpring反序列化
好久不写博客了,也是慢慢的明确了自己想要学习渗透测试的方向,开始不断的接触新姿势和新思想。今天主要想用永恒之蓝这个漏洞来对Metaspl oit的使用熟练程度、分析流程以及Meterpreter后渗透的一些手法进行小结和复习。
第三部分。首先要明确这些都属于前期的被动信息收集,并没有与目标发生直接的网络接触。下面介绍常用的搜索引擎使用方法
