正文之前先了解一下SPI机制。

SPI全称Service Provider Interface，是Java提供的一套用来被第三方实现或者扩展的接口，它可以用来启用框架扩展和替换组件。 SPI的作用就是为这些被扩展的API寻找服务实现。

关于 XXE 攻击方式汇总的相应靶场通关记录已经完成，靶场使用的是 Port Swigger 靶场，若有需要，欢迎师傅们前往学习，Github地址：XXE 靶场通关笔记

ISCC2022[让我康康]这道赛题在初次接触时令我记忆犹新，之前由于学习知识其他也一直没有对HTTP请求走私进行相关学习，最近学习过后简单总结如下，希望能对正在学习HTTP请求走私的师傅有所帮助。

这是 喵喵 2022 Hackergame WriteUp 的第三篇，主要也是一些难度稍大的题目，以及喵喵的碎碎念。

中国科学技术大学第九届信息安全大赛

最近参加了浙江省信息安全竞赛，遇到了一道攻击fastcgi的题目，发现自己对php-fpm不够了解，于是做了一个归纳总结。

JXPath是apache公司提供的XPath的java实现，JXPath 提供了用于遍历 JavaBean、DOM 和其他类型的对象的图形的 API，同时提供了一套扩展机制使我们可以增加对这些对象之外的其他对象模型的支持(重点).

前一段时间某管理系统被黑客批量植入冰蝎并进行勒索，引发了本人对于ASP.NET无文件攻击检测的思考。搜了一下目前还没有相关的文章，就自己研究了一下。

各种方式制作java免杀马。

Phar反序列化是PHP反序列化的一个重要部分，进行相关学习后，简单总结如下，希望对正在学习的师傅有所帮助。

总结常用Java框架SQL注入场景。

在进行系统学习过后，对XXE进行简单总结，希望能对正在学习XXE的师傅有所帮助

为什么会有此篇文章，随着攻防大环境的深入，ATT&CK攻防矩阵也逐渐步入各个企业视野，越来越多的企业采用ATT&CK矩阵来作为反入侵检测，但是笔者很少看到有文章具体分析每一条策略的检测逻辑已经绕过方案，WINDOWS端的或许是零零碎碎的技术细节，MAC的更无从谈起，笔者从事安全的时间也不长，对于ATT&CK矩阵的了解也只能是略知一二，本文就以T1059策略作为切入点，分析一下ATT&CK矩阵中的攻与防，如果读者认为此篇文章能学到一些不一样的东西，笔者自然是很开心，笔者后续也会把ATT&CK矩阵的所有TTP做一个技术分析。

若依管理系统是基于SpringBoot框架开发的，并利用MyBatis框架进行数据库操作。在RuoYi <=4.6.1版本中后台存在sql注入漏洞，本着对MyBatis框架中sql注入学习的态度，对该漏洞进行了以下分析。