2024-11-07 厉飞雨 阅读(415) 评论(0) 赞(16)

<p><strong>本次教程来自YanXia，转载请注明作者信息,博客地址<a href="http://www.535yx.cn">http://www.535yx.cn</a>，感谢</strong><br /> <strong>注意!!!本篇文章仅为技术文章，仅为教大...

2024-11-07 厉飞雨 阅读(289) 评论(0) 赞(16)

<h2>代码</h2> <pre><code class="language-lang-php">&lt;?php /** * @author 教书先生 * @link https://blog.oioweb.cn * @date 2021年6月13日10:29:04 * @msg PHPCur...

2024-11-07 厉飞雨 阅读(366) 评论(0) 赞(37)

这个问题困扰了我不知多少次，之前在用别人的虚拟主机时，有的主机用curl访问https总是不成功，最后只能换个主机再用。这个问题一直被我称之为由于不可名状的问题，，，后来经历过本地php环境部署之后，又是东找西凑的百度，终于解决了这个可恶的问题啊啊啊啊！！！！ 首先，这个问题的原因就是少一个证书 ![](/usr/themes/VOID/assets/libs/owo/bia...

2024-11-07 厉飞雨 阅读(556) 评论(0) 赞(19)

<p>昨天晚上 @roker 在小密圈里问了一个问题，就是eval(xxx)，xxx长度限制为16个字符，而且不能用eval或assert，怎么执行命令。</p> <p>我把他的叙述写成代码，大概如下：</p> <pre><code>&lt;?php $param = $_REQUEST['...

2024-11-07 厉飞雨 阅读(308) 评论(0) 赞(31)

搭过php相关环境的同学应该对fastcgi不陌生，那么fastcgi究竟是什么东西，为什么nginx可以通过fastcgi来对接php？ [Fastcgi Record](#fastcgi-record) {#fastcgi-record} --------------------------------------------------- Fastcgi其实是一个通信...

2024-11-07 厉飞雨 阅读(495) 评论(0) 赞(18)

CVE-2012-1823出来时据说是"PHP远程代码执行漏洞"，曾经也"轰动一时"，当时的我只是刚踏入安全门的一个小菜，直到前段时间tomato师傅让我看一个案例，我才想起来这个漏洞。通过在[Vulhub](https://github.com/phith0n/vulhub/tree/master/php/CVE-2012-1823)中...

2024-11-07 厉飞雨 阅读(399) 评论(0) 赞(15)

<p>刚才先知分享了一个漏洞（ <a href="https://xianzhi.aliyun.com/forum/read/1813.html">https://xianzhi.aliyun.com/forum/read/1813.html</a> ），文中说到这是一个信息泄露漏洞，但经过我的分析，除了泄露信息以外，这里...

2024-11-07 厉飞雨 阅读(335) 评论(0) 赞(16)

<p>Pwnhub公开赛出了个简单的PHP代码审计题目，考点有两个：</p> <ol> <li>由 <a href="http://www.phpjiami.com/">http://www.phpjiami.com/</a> 加密过的源码还原</li> <li>...

2024-11-07 厉飞雨 阅读(377) 评论(0) 赞(19)

这次Code-Breaking Puzzles中我出了一道看似很简单的题目[pcrewaf](https://code-breaking.com/puzzle/2/)，将其代码简化如下： <?php function is_php($data){ return preg_match('/<\?.*[(`;?>]...

2024-11-07 厉飞雨 阅读(437) 评论(0) 赞(18)

<p>今天看到了某家厂商的Webshell检测引擎，实测效果还可以，确实把PHP Webshell检测这个难题实质上地推进了一步。</p> <p>我在八月的KCon中发布了一个议题《<a href="https://github.com/knownsec/KCon/blob/master/2019/25%E6%97%A5/PH...