x

扫码登录

登录二维码

你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

2021 四月 25
@YC:

碰到一个windows上的java命令执行漏洞,但是不能用重定向,只有dns可以出网,http等其它协议无法出网。这种情况下怎么写webshell呢?

有回显...
2021 四月 20
@Ww...:

大佬,最近在看你的joomla漏洞帖子,有一点不太明白。对象注入用的是cms里面的类,为什么生成exp的时候你是自己定义了这两个类呢?

PHP反序列化漏洞...
2021 三月 22
@邪王真眼จุ๊บ:

大佬你好,php的ioncude9加密应该如何去解密,只可能花钱解密吗,我网上查遍了也没有找到解密的方法

2021 三月 22
@Revival:

您好,我是一个小白。最近我在2020年一个ctf题中的一道php审计中遇到了问题,问题如下: 1. 这个new UpdateHelper对象的时候 传参了三个值 但UpdateHelper的构造函数只有两个参数 请问是怎么完成的 2. UpdateHelper的$this->sql的值究竟是什么,在这个析构的时候会调用User类中的__toString方法吗 为什么 不知道如何百度解决这个问题 问题可能无脑 请求解答

学会善用搜索引擎,是这个题吗:从春秋公益赛babyphp学习反序列化长度逃逸...
2021 三月 18
@By0ne:

有没有适合新手的java代码审计项目,有没有开源的?想找几个项目自己练练手,一般这个源码要去哪里获取?

我觉得国内这些Java的项目基本都可以试试 ...
2021 三月 08
@路人甲:

前辈,我在学完Web安全常见的漏洞,打完几个靶场后,这几天开始去src挖洞,几天下来一个洞也没挖到,突然有点迷茫和不知所措,我也没什么想问的,就是单纯的想找个人说一下。

每个人都...
2021 三月 06
@路人甲:

P师傅好像没怎么在小密圈发过漏洞poc,刚才看到群里有人发exchange的poc,请问有详情吗?

我说一下,因为我近距离经历过wooyun的事情,所以我会相对谨慎很多。未公开的,或者新爆出的漏洞,我...
2021 三月 06
@墨迹:

P师傅求一个匹配php动态函数的正则

正则搞不定的,可以参考这个项目 GitHub - open...
2021 三月 06
@路人甲:

p师傅你好,我想问一下getimagesizefromstring是要在什么版本下才能进行phar反序列化吗,我用getimagesize却可以phar反序列化,但是getimagesizefromstring却不行。

getimage...
2021 二月 26
@Maerts:

p神好,师傅们好,用strace记录ssh密码可以,用strace记录私钥一直没成功,能抓到一些key,但是和我测试用的完全不一样,也不能用,是我的姿势不对吗?有成功过的师傅吗,求指点。 linux后渗透之收集登录凭证 - 先知社区

没经...