-
sdcms-qing 代码审计
存储XSS漏洞点在f.php文件中的getip函数里 123456789101112131415161718192021222324252627282930#getip函数function getip($type=0){ $ip=... -
记录一个免杀思路(并不新
主要思路AST抽象语法树+图片隐写 思路以及部分代码来源https://github.com/RobinDavid/LSB-Steganographyhttps://unsafe.sh/go-167427.html shellcode选择的是CS4.... -
Burp 插件开发学习笔记
1burp从2022.9.1版本后,就换了新api,虽然可以向下兼容,但是新api的资料太少了,所以我下了一个2022.3.7的版本来学习插件开发 2先简单配置好环境, idea动态调试 burp启动,我下的时www.ddosi.org上的burp... -
前端解密-CDP调用-笔记
屁话 在面对前端加密http参数的时候,如果需要解密,以前我一直是两步: 首先在js代码中找到加密逻辑,这一步一般比较快,通过搜索加密关键字比如text,data,或者encode,encrypt等,然后全部打上断点,一步一步分析。如果没找... -
app 杂项笔记
记录一下折腾app的一些过程与奇奇怪怪的问题 环境: 小米6一台(已root) termux(0.118.0) adb(1.0.36(nox夜神模拟器里的)) magisk 版本25.2(25200) 模块(启动Zygisk): Shami... -
《我与地坛》
比如摇滚与写作 …… 于是,年轻的恋人四处流浪。 心在流浪。 春天,所有的心在流浪,不管人在何处。 都在挣扎。 在河边,在桥上,在烦闷的家里,不知所云的字行间。在寂寞的画廊,画廊中的故作优雅。阴云中有隐隐的雷声,或太阳里是无依... -
xp面板xss(搭配定时任务rce)
我先去装个win虚拟机 参考:https://mp.weixin.qq.com/s/5w4yE3xX-Ep72O6GJy569g -
clash 0.20.12 RCE
参考:https://github.com/Fndroid/clash_for_windows_pkg/issues/3891https://mp.weixin.qq.com/s/RFVkocx1ZE6E71zh5vk-Iw config.yaml ... -
记录一种抓app的包的新方法
记录一个新的安卓抓包思路参考:https://www.52pojie.cn/thread-1701215-1-1.html简单来说就是: app > vmos > clash >(无线局域网)> burp 先说一下设备 ... -
Baijiacms 代码审计
系统路由这个系统采用的路由大部分由两步组成,我暂且给他们命名为模块,文件 定位模块先总结,定位模块由请求参数 act 决定。比如下面的url。就会定位到manager模块下 1http://127.0.0.1/baiji...