记一次上传绕过getshell

前几天挖漏洞,发现一个有意思的上传点,分享给大家。

因为漏洞已经被修复了,这里我就是以文字叙述为主。

Read more   2019/4/19 posted in  杂记

绕过WAF实现阿里账户接管

这篇文章是关于一些客户端漏洞导致了阿里巴巴在多个网站上的账户被接管。

Read more   2019/4/16 posted in  杂记

Burp插件 - 自动标记敏感信息

经常在测试网站的时候存在敏感信息泄漏,但是有的时候我们往往容易忽略一些数据包,导致我们与赏金失之交臂。于是我编写了这个插件,可以自动识别地理位置信息、手机号、身份证号,并将数据包使用不同的颜色进行标记。

Read more   2019/3/16 posted in  杂记

Burp API python 版第一部分

在我们讨论每种语言的细节之前,需要记住一些常规上下文:Burp查找一个名为BurpExtender的类来实例化(没有构造函数参数),然后在此对象上调用registerExtenderCallbacks()并传入一个“callbacks”对象。 将此视为您的扩展的入口点,允许您告诉Burp您的扩展程序的功能,以及Burp何时应该询问您的扩展程序问题。

Read more   2019/3/10 posted in  杂记

编写屏蔽百度推荐插件

每次打开百度,我都会看到一堆广告。除此之外还有就是搜索热点经常诱惑我点开,耽误我学习~~~

Read more   2019/3/9 posted in  杂记

任意PHP大马过安全狗的思路

在之前的文章里,写了一篇《使用include函数打造过狗一句话》

后来在吐司论坛有人提起了这样一句话:是不是只要随便上传一个文件用include包含就可以,于是我就尝试了一下,最后发现只需对包含的内容做一些变换即可。

Read more   2019/2/22 posted in  PHP

使用include函数打造过狗一句话

今天在看文件包含的时候,突然想到如果使用文件包含写一个木马怎么样??
这样可以避免很多杀软,因为在正常的项目文件中不可避免要出现include。

Read more   2019/2/21 posted in  PHP

比特币原理

在2008年11月1日,一个化名为中本聪的人在互联网上发表了《比特币白皮书》,虽然现在我们已经知道了这个备受争议的虚拟货币创造者是澳大利亚科技企业家克莱格·莱特,他正是比特币的创造者。

Read more   2019/2/15 posted in  杂记