fastjson漏洞介绍：Fastjson是阿里巴巴的一个开源项目，在GitHub上开源，使用Apache 2.0协议。它是一个支持Java Object和JSON字符串互相转换的Java库。 JSON.toJSONString 和 JSON.parseObject/JSON.parse 分别实现序列化和反序列化 12String text = JSON.toJSONString(obj

方法一使用工具：夜神模拟器安卓5版本、xposed、Fiddle、BP 情况一：可以设置代理，但使用xposed时，安卓7不能正常访问百度，安卓5可以访问（怀疑app的数据也受到了影响） 工具作用：使用 Xposed + JustTruestMe 来突破SSL。一旦 app 校验了证书的指纹信息。我们的证书不再受信任了。自然而然就无法建立连接，所以必须想办法让 app 信任，才能继续抓包。 整体思

前期准备买了一个云服务器和两个域名 整体思路使用Gophish钓鱼平台，使用腾讯的邮件推送服务作为邮件服务器 腾讯邮件服务器的操作流程1、登录腾讯邮件推送服务，点击立即开始 2、点击新建 3、选择买的域名 4、点击验证 5、验证按照此链接完成就行 参考链接：邮件推送 身份验证和配置相关问题-常见问题-文档中心-腾讯云 (tencent.com) 6、点击发信地址配置

原题文件中存在两个文件message.txt和task.py message.txt文件 123n=122031686138696619599914690767764286094562842112088225311503826014006886039069083192974599712685027825111684852235230039182216245029714786480541087