Tommonkey

小站点上线差不多有十个月了，期间也一直没有为相关服务组件与服务器进行升级与维护。提供服务的相关组件与相关库也已经落后了好几个大版本了，所以2022/8/5日至2022/8/8进行对服务器及站点服务进行升级与维护:)

Django是啥就不多介绍了，直接步入正题吧

Postgresql是开源的，免费的，并且属于关系型数据库。他与mysql一样都依赖于 SQL(结构化查询语言)

吼吼吼！618打折买的Flash Web开发这本书已经看到Web表单的处理了，接下来估计难度还会加大，所以想暂停一下整理整理

Tips

1
2
3
4
5
6
7
8
9

常见URL编码：
    %20 ：空格
    %23 ：#
    %0a : 回车
    %27 ：单引号 '
    %22 ：双引号 "
    %3b : ;
    %2b : +
    %3d : =

Nacos是阿里开源的 SpringCloud Alibaba 项目下的一项技术，可以实现服务注册中心、分布式配置中心。它可以帮助您轻松构建云本机应用程序和微服务平台。听不明白？不要紧，只要明白如何探测站点是否催在Nacos相关的漏洞就可以了

WhatWeb是一个识别网站CMS的工具，其在KALI上是内置的，无需安装，但如果你想在自己的vps上安装这玩意，那我这篇文章你可以继续看下去了

本文内容仅以学习总结，严禁用于非法行为

上一篇说了Struct2的相关漏洞,这一篇就复现一下Spring相关的漏洞，关于spring产生的漏洞，其实他跟struct2都差不多，都是因为对用户的参数没有采用严格的控制，导致传入表达式而导致的，只不过struct2是OGNL，而spring是spel表达式造成的

Struct2是什么

这里摘自互联网上的一段解释：Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。很多年前Struts2 + Spring + Hibernate 三大框架一起组成了 “SSH”，但现在正在被Spring + Spring MVC/ Spring Boot + MyBatis新三剑客“SSM”所代替