WebUploader是由Baidu WebFE(FEX)团队开发的一个简单的以HTML5为主，FLASH为辅的现代文件上传组件。大文件上传实现思路：分片： 按照自定义缓冲区大小，将大文件分成多个小文件片段...

前言在Teaser Dragon CTF 2019中有2道考察Crypto方向的题目，一道Crypto题目，一道Web+Crypto题目，在这里对题目进行一下分析。rsachained题目描述如下：Keys are generated in the...

如果你不是 Java8 的钉子户，你应该早就发现了：String 类的源码已经由 char[] 优化为了 byte[] 来存储字符串内容，为什么要这样做呢？开门见山地说，从 char[] 到 byte[]，最主要的目...

本篇文章参考P神知识星球的《Java漫谈》系列文章，有条件的可以为p牛充电！（星球名：代码审计，我已经冲了）然后推荐想初步理解java反序列化、并且深度了解一两个利用链的萌新，一步一步...

虽说是 Spring 框架漏洞，但以下包含并不仅 Spring Framework，Spring Boot，还有 Spring Cloud，Spring Data，Spring Security 等。CVE-2010-1622 Spring Framework class.classLoad...

简介分块传输编码（Chunked transfer encoding）是超文本传输协议（HTTP）中的一种数据传输机制，允许 HTTP 由应用服务器发送给客户端应用（ 通常是网页浏览器）的数据可以分成多个部分。...

这道题当时出了非预期，session两次base64就能getflag，但是这道题本身的考点是Golang SSTI，正好复盘学习一下。打开题目能看到经典计算器。点开flag在这里发现只有短短一行提示f...

题目地址：http://www.bmzclub.cn/challenges#file-vault 01目录扫描分析代码 这是一道很好反序列化字符串溢出的题目，首先打开容器看到这是一个上传点 先进行目录扫描，发现存在...

前言：什么是mutator？通过使用根据给定语法执行突变的库来启用结构感知模糊测试，进而达成更细致化模糊数据处理的第三方组件，一般由模糊测试人员自己开发编写。在什么环境下需要m...

我们把apk拖入模拟器，然后打开：随意输入一串密码点击输入密码试试。可以看到，提示我们验证码校验失败：我们打开jeb进行分析，直接把apk拖进去： 聊聊jeb的使用，拖入apk即可进行自动反...

本文为看雪论坛优秀‍‍‍文章看雪论坛作者ID：zhenwo最近在研究syscall相关的技术，无意中发现了这个NtSockets（只使用NtCreateFile和NtDeviceIoControlFile 函数，直接操作afd.sy...

Phar RCE今年HITCON上，baby cake这一题，涉及到了今年BlackHat大会上的Sam Thomas分享的File Operation Induced Unserialization via the “phar://” Stream Wrapper这个议题...

最近抽空回顾了下java的序列化和反序列化，觉得之前了解的很浅显，索性对底层代码做了些分析。看了些师傅的文章，把笔记整理了下。个人觉得还可以。序列化与反序列化java序列化指...

0x00前言接到任务，需要对一些违法网站做渗透测试……0x01信息收集根据提供的目标，打开网站如下在尝试弱口令无果后，根据其特征去fofa以及谷歌搜了半天，期间搜出好多个UI差不多的...

1前言目前这个工具不怎么完善，能凑合使用，剩下的部分使用中再慢慢完善。其中部分代码我会开源，其实感觉实现的核心并不怎么复杂，算是一个萌新学习定制ROM过程的一个作品。而且还...

0x00前言接到任务，需要对一些违法网站做渗透测试……0x01信息收集根据提供的目标，打开网站如下在尝试弱口令无果后，根据其特征去fofa以及谷歌搜了半天，期间搜出好多个UI差不多的...

filter型servlet型listener型执行优先级是listener -> filter -> servletfilter型内存马原理filter是javaweb中的过滤器，会对客户端发送的请求进行过滤并做一些操作，我们可以...

背景介绍：今天的故事来自一位ID名为SUNNY的白帽子，他在测试 Adobe Acrobat Reader APP时，发现该应用程序允许用户直接从 http/https URL打开 pdf 的功能，此功能会受到路径遍历漏...