安全脉搏

18

文章

300

积分

0

收藏

0

关注

7

粉丝

至今

2019-9-11
CTF

TokyoWesterns CTF 2019 PHP Note WriteUp 

最近上班很忙,玩的时间少,希望尽量做到每个比赛学习一道自己觉得有意思的题目。<!--more--> 相关信息从响应中发现一个有趣的字段,该题目的搭建环境为Windows10 Se…

2019-6-14
Web安全

PHP内核分析-FPM和disable_function安全问题 

可能最近工作比较忙吧,也可能是比较懒了,效率不太高,最近几个月里断断续续看了部分PHP内核源码。在今年的TCTF中,出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_funct…

2019-5-29
CTF

0CTF-2019-Wallbreaker-Easy-WriteUp 

Web狗表示游戏体验有点差,被虐惨了。题目质量很高,赞一个,抽空记录一下解题学习思路,细节慢慢补充。题目信息题目如下Imagick is a awesome l…

2019-5-7
CTF

CTF 2019 Mywebsql Echohub WriteUp 

很有意思的题目,研究了一下自认为感觉比较有意思的两个Web题目,记录一下过程。Mywebsql题目信息打开题目链接后发现运行MyWebSQL程序,版本为3.7,搜索得到相关漏洞信息:http://ww…

2019-2-28
Web安全

Drupal Core RESTful RCE (CVE-2019-6340) 

近日,Drupal官方更新了一个非常关键的安全补丁,修复了因为接受的反序列化数据过滤不够严格,在开启RESTful Web Services拓展模块的情况下,可能导致PHP代码执行的严重安全。漏洞条件…

2019-1-14
代码审计

Thinkphp5框架变量覆盖导致远程代码执行 

Thinkphp5.0.x框架对输入数据过滤不严,导致Request类成员存在变量覆盖问题,在一定情况下能导致远程代码执行漏洞。介绍Thinkphp框架官方提供核心版和完整版两种:核心版因默认缺少利用…

2019-1-9
CTF

35C3 CTF Filemanager Wrtieup 

Check out my web-based filemanager running at https://filemanager.appspot.com.The admin is usin…

2018-12-24
Web安全

Thinkphp5-x远程代码执行漏洞分析 

漏洞介绍Thinkphp5.x版本(5.0.20)中没有对路由中的控制器进行严格过滤,在存在admin、index模块、没有开启强制路由的条件下(默认不开启),导致可以注入恶意代码利用反射类调用命名空…

2018-11-23
Web安全

Python反序列漏洞分析 

什么是序列化?程序运行的过程中,变量都是在内存中的,当程序一旦执行完毕结束退出后,变量占有的内存就被释放。如果将内存中的变量持久化存储到磁盘中,这个过程就成为序列化;下次运行的时候从磁盘中读取变量到内…

2018-11-20
CTF

HCTF 2018 Web WriteUp 

划了一波HCTF 2018 ,扶我起来我还能划,珍惜这个宝贵的和大家学习的过程。Warmup得到Flag位置的提示:flag not here, and fla…

2018-11-12
CTF

SECCON 2018 GhostKingdom WriteUp 

题目信息进入网站后注册用户,登录界面如下:登录的请求为GET型。http://ghostkingdom.pwn.seccon.jp/?user=rai4over&pass=test123&am…

2018-9-10
Web安全

Git信息泄漏原理探究 

 简介记录一下Git的基础操作原理,还有Git信息泄漏在比赛中的一些问题。 Git基本操作git init创建一个git_test文件夹,并使用git init命令初始化一个空的G…

2018-7-27
代码审计

PHP源码调试分析 

 前言在看代码的时候遇到了PHP的一些函数,有些函数的特性很魔性,并不好理解。 于是尝试搭建环境对PHP源码进行调试,希望更加深入的一些理解PHP的特性。必备安装目标:在Windo…

2018-7-23
Web安全

PyCalx&PyCalx2-MeePwn-2018 

PyCalx题目信息This code is supposed to be unexploitable :/ anoth…

2018-7-19
CTF

Web QCTF-WrtieUp-2018 

前言玩了下QCTF的Web部分,非职业赛棍学到了不少的东西,Web部分同时感觉并不是很难,可能是因为同样是X-Man选拔赛的原因,Web,RE,Misc等考点比较全面,ORZ。写的时候赛题已经关闭,但…