THINKPHP 5.1.39 反序列化分析

本质:通过反序列化调用TP内置类,达到getshell或者其他漏洞的目的。

之前一直有TP的反序列化不断的爆出来,但是一直没有分析,追其原因还是因为自己太懒。。

寒假抽时间理解了一下TP的autoload以及命名空间的概念,把这些漏洞给补一补。

Read more
Python中的多线程、多进程、协程研究以及比较

在学习Python的过程中,总是需要触发不少IO操作,比如访问某个网站等,而这时候如果使用单线程就显得比较鸡肋了,因为单线程是顺序执行,即执行完一个再执行一个,那么不可避免的就需要学习到Python中并发操作相关的知识,本文将对三种并发操作进行总结。

Read more
动态爬虫联动XRAY进行自动化渗透测试

现在XRAY挺火的,刚好领了个社区版,网上也有很多这方面的资料了,做个总结吧。

Read more
编写sqlmap中的tamper

在对某目标站点进行注入时,如果遇到了waf等,如果可以手动绕过,那么我们的下一步就是用自动化将数据提取出来,这里有两种方式:1.自己编写脚本 2.使用sqlmap配合tamper进行注入。

阅读本文需要基础sql注入知识以及Python脚本编写能力。

Read more
Oauth账户劫持漏洞个人总结

想学习这类漏洞很久了,挑了个考试完的时间研究了一下,在此总结。

Read more
Burp Extension - JSONP Hunter

最近几天想研究一下Burp插件是如何开发的,并尝试开发一款小插件试试,于是就有了JSONP Hunter。

Read more
SWPUCTF WEB Writeup

前言

这次swpuctf的题目质量都还可以,有幸拿了三个一血,也是第一次ak web,在此记录一下解题过程。

Read more
MYSQL Injection Learning

前言

打算把这篇文章作为一篇总结文,帮助刚踏入网络安全这块的师傅们了解一下SQL注入这么一个列在高危列表中的漏洞类型,本文从三个层次入手,详细解释SQL注入的产生/SQL注入类型/常规Bypass手法。

阅读本文需要基础的MYSQL语法知识。

Read more
代码审计之旅

前言

本文首发于先知

仅以本文记录暑假这些天在学习代码审计过程中遇到的一些知识点,以及一些代码审计常用的方法,如果有什么不对的地方,也欢迎师傅们斧正,在下面讲解常见漏洞时,我会举一些例子,其中包括部分小0day,如果有其他好玩的漏洞点,也希望师傅们能ddw。

Read more
I-SOON CTF出题笔记

前言

这是一篇记录了今年安洵杯我出的一道题相关的笔记,也记录了一个WEB🐶出题的心酸历程。

Read more