2024-11-07 厉飞雨 阅读(21) 评论(0) 赞(4)

暑假写的文章了，最近博客没干货，发出来娱乐一下。 为了响应爱慕锅（Mramydnei）、撸大师（索马里的海贼）、fd牛（/fd）的号召成立的parsec团队，以及各位老师多年来对我的教育，我要写篇回忆稿。看标题大家可能觉得，这陈芝麻烂谷子的事你还拿出来说啥。当然，我自己搓一点都无所谓，但怎么能丢了parsec的脸，各位还是且听我娓娓道来\~ [0×01 最初的phpcms头...

2024-11-07 厉飞雨 阅读(17) 评论(0) 赞(4)

> 本文2014年10月发表于乌云Drops，原文地址为：<http://drops.wooyun.org/tips/3424> [0x00 背景](#0x00) {#0x00} ------------------------ 这个估计很多同学看了不屑，认为是烂大街的东西了： [.htaccess文件构成的PHP后门](http://zone.wooy...

2024-11-07 厉飞雨 阅读(19) 评论(0) 赞(4)

先简单说一下php调用mail()函数的过程。 看到源码ext/mail.c 236行： ``` char *sendmail_path = INI_STR("sendmail_path"); char *sendmail_cmd = NULL; ``` 从INI中获得sendmail_path变量。我们看看php.ini里是怎么说明的： ...

2024-11-07 厉飞雨 阅读(22) 评论(0) 赞(2)

之前乌云上被提交的漏洞，今天突然被人发出来了，然后就各种中枪。奈何各种考试马上就来了，我也没工夫去写exp或脚本什么的，趁点休息时间把代码看看就好。实话说我很讨厌这种情况，一大堆人会的不会的拿着别人发的exp刷漏洞，刷分刷钱。不如静下心来分析一下漏洞产生的原因，也算是我吃不到葡萄在说葡萄酸吧，笑。 因为有同学给出POC了，POC如下： http://www.xxx.com/...

2024-11-07 厉飞雨 阅读(18) 评论(0) 赞(3)

########################## # by phithon # [https://www.leavesongs.com](https://51tbox.com/) # f4ck team \& xdsec 请勿转载 ########################## <br /> 本来只是发在法客内部的，不过今天...

2024-11-07 厉飞雨 阅读(19) 评论(0) 赞(5)

这篇文章好几天前写了，给协会里新成员普及知识，看大家也都玩的差不多了，就发表到博客里，增加一点噱头和访问量，哈哈\~ [0x01 什么是上传漏洞](#0x01) {#0x01} ----------------------------- 很多cms为了丰富自己的功能都提供了上传头像、上传图片等功能。但如果上传的内容没有做好过滤，则等于说给了攻击者一个执行任意代码的途径。比如...

2024-11-07 厉飞雨 阅读(18) 评论(0) 赞(5)

手头买了一个500G的SSD移动硬盘，带外壳的。虽然感觉翻车风险挺高，但是到手了，容量是真的也不是清零盘，速度也还ok，也就那样吧。 然后想了想，可不可以把这弄成一个工具包呢？ 因为某些原因，要接触到各种大数据处理，所以想内置各代各种环境。 原本是想用音速启动的，后来想了想算了，还不如直接用文件管理，然后用各种ini魔改美化一下就差不多了。 接下来就是环境的问题...

2024-11-07 厉飞雨 阅读(19) 评论(0) 赞(3)

前言 === 之前聊天的时候nux提了一嘴，能不能在裤子里插🐎，几百MB发给别人，一般警惕性差的就直接运行了，哪怕警惕性好一点的，几百M或者几百G的裤子想要检查也检查不了。这个想法我一直记得，于是乎今天就来研究研究。 为什么选用.sql呢？主要是目标受众好，并且对这个玩意警惕性不高，大家洗数据的时候就直接丢进mysql里运行了，一般也不会想太多，并且和压缩包钓鱼不同，只要...

2024-11-07 厉飞雨 阅读(23) 评论(0) 赞(3)

现在正坐在安静的寝室里，寒假俨然已经离我而去了......今天发的是我寒假里搞的最后一次学习，之后的时间就一直在看海贼王了。 以前写过一个[C语言的遍历目录+复制文件的程序](https://51tbox.com/)，很长很复杂，现在用PHP一样可以实现遍历目录，而代码就短了不少。这个程序目的是遍历目录，找到所有指定文件名的文件，并删除其中指定的字符串。 ``` <?...

2024-11-07 厉飞雨 阅读(22) 评论(0) 赞(1)

这段时间在写php脚本，接触到web前端以及web安全问题比较多，这时给大家简单地谈一下我们网站验证码的验证过程及其安全问题。 从三个方面去谈一下关于验证码的使用：验证码的生成，验证的过程，验证中注意的安全问题。 验证码的生成，首先还是要说说验证码的作用。众所周知，验证码的存在，是为了防止一些机器，或是刷恶意留言、无限注册用户或是暴力破解账号密码。现在普通的验证码是由一个p...