x

扫码登录

登录二维码

你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

phith0n

2020 四月 09
@路人甲: p师傅,想问问你对应届生的选择有什么建议吗?我今年夏天毕业,没拿到什么特别好的offer,但是我希望去到DEFCON,无论是以CTFer还是Speaker,但是以我目前的能力肯定去不了,所以我应该是先选择面包填饱肚子,还是跟着梦想走呢

只是想去DEFCON的话,可以考虑先工作吧(特别是今年受到疫情的影响,很多人手...

phith0n

2020 四月 01
@Rayyy: p神好,我是一只即将毕业的学生狗,想请p神给一些安全开发的学习建议或是学习路线。
之前有前辈分享过对渗透新人的建议,说熟悉了渗透后可以转安全开发方向,我就很迷茫了,不知道渗透能力要怎样才算满足安全开发的要求,某src的前*名?开发能力需要算法、性能调优等?

很少分享安全开放相关的东西,所以可以分享下我的看法。

个人认为安全开发重点还是在开发,安全能力...

phith0n

2020 三月 24
@清秋: p神你好,目前文件上传有白名单限制,除了解析漏洞。还有没有其他的思路

白名单限制通常来说绕过的可能性就不大了,但还是可以从一些逻辑错误的层面来思考思考。主要思考如下几点:...

phith0n

2020 三月 24
@!Hello: 想请问p神,我以前都是渗透测试, 才开始研究代码,有必要刷一些几年前的代码题吗 ,以前的代码会过时吗

10年以上就不建...

phith0n

2020 三月 24
@Scylla: p牛,在php中如何利用这个pcntl_exec来执行命令。disable_function漏了这个函数。

首先,要使用pcntl,编译PHP的时候必须加上--enable-pcntl选项。你可以在PHPIN...

phith0n

2020 三月 11
@Believe: 星主你好,我想问一下如果遇到这种include("files/$file.php")。通过get传的参,可以绕过吗?。想包含其他路径的1.jpg,我在网上找到说是超过260个字符(比如"."这个字符)就可以截断后面的字符.php,windows最大限制260。但是我测试的时候include报错说是失败的文件名

通常来说遇到这种情况不会继续测试了。PHP老版本可以用...

phith0n

2020 二月 18
@不言: 星主,你好,我是一名学生,对于传统漏洞和常见的业务漏洞有一定的学习和了解,但是尝试挖src却力不从心,感觉我所学习到的这些已经不从在了,问:新手如何去进一步去学习探索挖掘src漏洞?

挖SRC需要漏洞细节相关的知识还是较少的,信息搜集比较重要。考虑思考下这些问题:

- 目标公司有哪...

phith0n

2020 二月 16
@kais: 请问p神,有没有微信群可以交流,有些问题微信交流更方便

没有微信群,加一...

phith0n

2020 二月 11
@^_^: p神 java代码审计 想学 有没有好的学习路线和资料

阅读版规,擅用...

phith0n

2020 一月 22
@唐某: 提问一下p牛,最近在复现vulnhub,在复现GlassFish4.1.0任意文件读取漏洞后,想着getShell,拜读了您的文章之后,我传了做好的war包,访问回显404,我看了您的文章中写到改了jsp马的兼容性,想问一问是我的马没改的缘故,还是其他地方步骤出现了问题,才导致访问不到马
GlassFish 目录穿越漏洞测试过程 | 离别歌

最后不好意思,快要过年了,还在麻烦师傅,也祝p师傅新的一年多收获0day

应该是jsp...

图片