x

扫码登录

登录二维码

重要通知

受到银行渠道不可用的影响,我们会将2020年5月8号至2020年5月29号期间加入星球的同学暂时移出去,并退款。退款的费用大概是189元(三天内的全额退款),知识星球星球手续费没法退。

被退出的老用户仍然可以重新加入星球,只需联系小助手的微信(请备注一下自己的星球昵称):zhang_buchan。补发一下退款的金额即可(可以减免20元)。

从未加入星球的新用户,暂时无法加入星球,请等待我们重新开放。

phith0n

2019 十一月 08
@路人甲: 最近用uwsgi+nginx 部署一个使用了 websocket 的Django 项目时发现 uwsgi 对这方面好像处理的并不是更好。网上这方面的资料特别少而且乱,师傅有啥推荐吗

websocket不用uwsgi,试下django官方的asgiref+dap...

phith0n

2019 十一月 07
@Catcher: 大佬们,请教个问题,在使用msf打到靶机建立meterpreter通信隧道后,执行run checkvm命令,checkvm是ruby脚本,但是靶机是linux没有ruby环境,那是怎么执行这个操作的呢?目前我只找到靶机是windows 的原理,是通过dll反射注入,但是靶机是Linux 的情况下不知道原理是否一样呢?是在攻击机上把ruby脚本处理成汇编或机器码然后怼到靶机的内存中执行么?
有相关材料可以分享么,不胜感激~

Ruby应该是在你本地执行的。这些后...

phith0n

2019 十一月 05
@孔振: Php里头可以用addhandler指定可以执行的脚本,asp里头可以在iis里面配置可以执行的脚本,java能在tomcat里配置abc可以执行吗?python呢?

Python不以后缀名来判断...

代码审计小助手

2019 十一月 01
@Y: faf487e

Hi,小助手自己通过了至今所有...

phith0n

2019 十月 29
@0x1234: 在做ctf题以及mxss,rop的这种客户端语言的攻击中,很多时候利用了这些客户端语言的容错性,这种方式可以叫一个一个的tricks,但是这些容错机制让我很迷惑,浏览器到底会怎么去修复这些语法错误,修复完成到底是什么,什么样的错误不会被修复,在网上好像没有看到详细介绍浏览器容错机制的文章,希望师傅能给我解惑一下

关于容错的系统性的文章似乎我也没见过,可以看看大家有没有。

不过关于浏览器安全(非二进制相关)倒是...

phith0n

2019 十月 16
@黑白: p神我问一个问题:
引申自你的一篇文章:
无字母数字webshell之提高篇 | 离别歌
这里我明白可以采用异或和取反来进行绕过:
playload:
(~%8F%97%8F%96%91%99%90)();//phpinfo();显示了phpinfo页面
但是,我想执行更多操作,比如:system(ls);
我构造了:
(~%8C%86%8C%8B%9A%92)(~%93%8C);//system(ls);
却无法将列出的目录显示在浏览器上面,这是为什么呢?
自己进行了很多尝试,弄了好

我列出了,...

图片


phith0n

2019 十月 15
@心如止水: 提问: 在利用反序列化漏洞,出现反序列化失败,提示:__PHP_Incomplete_Class。该如何解决呢?不能去包含该类

额。。。没看懂你想解决什么问题。只要不出现这个错误就行吗?那就不反序列化这个对象不就行了……还是说你...

phith0n

2019 十月 15
@yth: 你好 想问问phithon大师有什么中阶的ctf推荐可以来提升个人安全方面的能力?我做过了picoctf 想尝试一些总体难度比它大一些的

phith0n

2019 十月 11
@路人甲: 今天小伙伴问了个问题,sql注入过滤了concat里的逗号咋办,百度了下,有 https://blog.csdn.net/zz_Caleb/article/details/90416073
小伙伴补充了一条比如updatexml(concat("|",user(),1)) 这种,过滤逗号咋整额。
请教p神

你的目的是成功...

phith0n

2019 九月 24
@路人甲: 有没有一些Linux系统应急和调查取证方面比较系统一点的资料,请各位推荐一下,谢谢!