Tommonkey

Nacos是阿里开源的 SpringCloud Alibaba 项目下的一项技术，可以实现服务注册中心、分布式配置中心。它可以帮助您轻松构建云本机应用程序和微服务平台。听不明白？不要紧，只要明白如何探测站点是否催在Nacos相关的漏洞就可以了

WhatWeb是一个识别网站CMS的工具，其在KALI上是内置的，无需安装，但如果你想在自己的vps上安装这玩意，那我这篇文章你可以继续看下去了

本文内容仅以学习总结，严禁用于非法行为

上一篇说了Struct2的相关漏洞,这一篇就复现一下Spring相关的漏洞，关于spring产生的漏洞，其实他跟struct2都差不多，都是因为对用户的参数没有采用严格的控制，导致传入表达式而导致的，只不过struct2是OGNL，而spring是spel表达式造成的

Struct2是什么

这里摘自互联网上的一段解释：Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。很多年前Struts2 + Spring + Hibernate 三大框架一起组成了 “SSH”，但现在正在被Spring + Spring MVC/ Spring Boot + MyBatis新三剑客“SSM”所代替

最近在GitHub上欣赏别人写的代码，发现一个常用的模块–argparse，居然我到现在才知道，简直是罪过，于是马上开始了这个模块用法的学习

代理类型

代理相当于一个中介，我们委托中介去帮我们做一些事情，我们在幕后操作就OK了。代理的类型大致分为

漏洞信息

漏洞时间：2022-3-29
CVE编号：CVE-2022-22963
漏洞影响范围及条件：

1
2
3

JDK 9 及以上版本
Spring框架的5.3.0至5.3.17、5.2.0至5.2.19版本，以及旧版本
Tomcat服务器

推荐一个XSS接收平台来自github，github项目地址

事先声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及重大损失，均由使用者本人负责，本网站与作者Tommonkey不为此承担任何责任