你还没有登录

未登录用户只能查看少量内容,且不能下载附件。请加入【代码审计】知识星球查看所有内容,或者登录本系统。

phith0n

2019 Sep 17
@路人甲: 各位大佬,最近想换个渗透测试工作,请问有没有什么面试教程分享,分享我点干货,感激不尽

分享一下。

首先简历请用pdf,不要发word,简历文件名规范一点,比如“[学校] - [姓名]…

phith0n

2019 Sep 14
@路人甲: 想请教师傅shrio的的反序列化漏洞的问题,里面有个坑点是shrio原生的依赖是conllections3.2.1打不了,老外博客(见图)有写原因是反序列化中出现数组的问题,但是创宇的这篇paper.seebug.org/shiro-rememberme-1-2-4/加了conllections4就可以打,按照这篇我本地复现了确实可以打,可是4应该也是用到了Treansform数组吧。然后我看到这篇blog.zsxsoft.com/post/35,感觉答案在里面碍于水平最后深入的分析没有怎么看懂。文章最后提到了path的问题我猜是不是因为创宇配置到pom里面算直接依赖,原生算间接依赖的原因。

图片


phith0n

2019 Sep 03
@今天: 您好,我购买了咱们的星球,可以通过pc端登录学习吗?

可以。
不…

phith0n

2019 Aug 21
@dark: 想问下P神有没有针对新手做一些指导性的教程呢?感觉圈里讨论的大多数问题都要求好高,对新手很不友好,能不能针对基础差一些的新手出一些题目、解题?或者针对实际遇到的项目进行分析终结?

我是这么想的,网上有太多针对新手的入门教学了,不缺我们一个。但针对进阶级选手,分享与交流的地方少之…

phith0n

2019 Aug 20
@leezp: p神,php代码审计 cms,新手,有什么好的策略,求推荐一些直接易上手的资料,还有有什么该注意的呢

月经问题,好的策略就是先学会挖…

phith0n

2019 Aug 20
@唐某: 提问p神,想问一下,JEECMS搭的网站后台,在已经爆出列名 admin 和加密后的密码的情况下,能用sql注入去进行修改管理员密码吗

如果支持JDBC开启了堆叠…

图片


phith0n

2019 Aug 20
@。: p牛好,自编写的检测struts2的xray插件,经过测试,貌似会将?后的截断导致漏报,不知道是插件编写的问题还是bug。。。

xray的问题可以…

图片


phith0n

2019 Aug 20
@。: php在序列化和反序列的过程中遇到了偏移错误的问题,代码如图。 在将序列化之后的内容输出后,复制赋值给变量再反序列化就会报错,把里面小写的s改成大写的S就可以正常反序列化,想问下这是为什么?有什么解决方案吗?

序列化的时候private和pr…

图片


phith0n

2019 Aug 13
@erpang: p牛,我遇到一个问题,我在我们phpstorm调试laravel的时候,出现断点但是不能单步跟踪的情况,放过以后就一直显示等待,不知道该怎么解决,这种情况是为什么啊,php版本7.1.13 nts phpstudy

没遇到过,问几…

图片


phith0n

2019 Aug 09
@请添加备注: 初学代码审计,最近看到一篇关于discuz!ML 的rce漏洞分析,想尝试复现一下,就是这篇漏洞分析+|+Discuz+ML!+V3.X+代码注入漏洞。但在一开始就遇到一个问题,就是我在报错以后就只有空白页面,没办法出现他第一张那个报错页面的图。百度了各种办法,也都没成功。想来问问怎样开启这样的报错页面。或者有什么更好的分析方法

没有研究过这个CMS和漏洞。通…