从两道HCTF题分析flask客户端session安全问题 2018年12月11日 jjrrxxnnmm Leave a comment 技术 客户端session,顾名思义就是存在客户端的session(即放在cookie里)。对于很多我们熟悉的w […] Continue reading
爬取拼多多百万条商品数据 2018年12月9日2019年2月16日 jjrrxxnnmm 10 Comments 技术 内容已更新2019.2.16 一个跟导师做的项目需要拼多多的数据,就当练练手。爬完最后拿到了100万+的商 […] Continue reading
NCTF 2018 复现 2018年12月7日 jjrrxxnnmm Leave a comment 技术 这几周太忙了,一堆的实验课和大作业,这几天才把nctf2018从github上clone下来复现了一下。题 […] Continue reading
Phar协议与反序列化漏洞 2018年11月28日 jjrrxxnnmm Leave a comment 技术 这次柏鹭杯其中的一道web,题目并不难,就是利用这个知识点。做的时候依稀记得有一个点,可是不能上网最后没做出来 […] Continue reading
Python沙箱逃逸与模板注入(SSTI)(二) 2018年11月14日2018年12月7日 jjrrxxnnmm 1 Comment 技术 前几天总结了python沙箱逃逸,这篇我来总结一下flask服务端模板注入(Server Site Tem […] Continue reading
Python沙箱逃逸与模板注入(SSTI)(一) 2018年11月8日2019年3月20日 jjrrxxnnmm 3 Comments 技术 最近恰巧同时研究了一下python沙箱逃逸和jinja2模板注入,而且模板注入使用了很多沙箱逃逸的方法,所以 […] Continue reading
[代码审计] bluecms v1.6 2018年11月7日2018年11月7日 jjrrxxnnmm Leave a comment 技术 开始练习代码审计,先从小cms开始。 审计思路 在审计之前还把《代码审计–企业级Web代码安全架构 […] Continue reading
2018“骇极杯”上海大学生网络安全大赛 Web题解 2018年11月6日2018年11月7日 jjrrxxnnmm Leave a comment 技术 又被师傅们教育了,还是太菜了,代码审计还得继续学习。 Web1 what are you doing? 进去源 […] Continue reading
Solve me writeup 2018年10月29日2018年11月1日 jjrrxxnnmm Leave a comment 技术 warmup 题目链接:http://warmup.solveme.peng.kr/ 签到题,打开上面有一个b […] Continue reading
Gemini Inc V2 渗透测试笔记 2018年10月23日2018年10月28日 jjrrxxnnmm Leave a comment 技术 最近发现了https://www.vulnhub.com/这个网站,里面有很多用于渗透测试的镜像。这几天对Ge […] Continue reading