爆破网站不会被拦截，这里无法通过代理连接是因为，要爆破的地址是虚拟机内网地址，而这个代理地址是公网地址 ，主要学习配置的思路。存在的问题： waf产品太多了，只能了解一两种，遇到别的没办法，各种waf绕过的难度也不一样。这里用百度的ua，安全狗也不会有限制登录，这里没爆破出来结果是可能不支持，头部信息需要完整。以软件的形式安装在服务器上面，可以接触到服务器上的文件，因此就可以检测服务器上。就是来自

jboss通常占用的端口为1098，1099，4444，4445，8080，8009，8063，8093。fofa搜索："glassfish" && port="4848" && protocol="http"序列化的操作，运行java脚本，echo 后面是反弹shell的base64编码，生成可以利用的poc。fofa搜索： "JBoss" && title=="Welcome to JBoss