其实漏洞的原理无外乎就2点：1. 能连接Redis，这是利用的前提。2. linux一切皆文件，要利用的服务可通过修改文件内容达成。

Fastjson是阿里巴巴公司开源的一款json解析器，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到JavaBean。

在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改，以便最

搜索名字in:name XXX搜索描述in:description XXX搜索readmein:readme XXX按starsstars:>2000按forkfork:>3000仓库大小size:>=5000【说明单位为K，即>5000K】按更新时间pushed:>2021-01-01按语言language:python按作者名user:XXX搜索方式可以是上面的组

内部存储存储位置：将数据以文件的形式存储到应用中。存储路径：data/data/< pakagename >/目录下其它应用操作该文件时：需要设置权限删除文件：当应用被卸载时，该文件也会被删除操作数据：通过openFileOutput()方法和openFileInput()方法获取FileOutputStream和FileInputStream操作对象File外部存储...