Defcon China 1.0 胸卡破解笔记
蚁剑绕WAF进化图鉴
Flask 装饰器顺序问题
上周 RealWorld CTF 2018 web 题 bookhub 有个未授权访问的漏洞,比较有意思,赛后看了一下公开的 WriteUp,大家也都没写清楚,所以就有了这篇博文。
前言
这个题是用 flask 框架写的,在 www/bookhub/views/user.py
中,refresh_session
方法存在未授权访问漏洞,代码是这样写的:
1 | @login_required |
注意看 @login_required
这个装饰器写在了 route
装饰器上面了,导致了 login_required
未调用。那么,为什么会这样子呢?
WebShell下的交互式Shell
瞎折腾,开新坑,两年前计划在 AntSword 上做的东西,利用WebShell创建交互式终端,现在基本有个雏形了。
微信小游戏开发Demo
日常瞎折腾,把以前的一个h5游戏移到了微信小程序上,整个过程也就只是照着官方的Demo改了改,不多说,看视频。
PHPDecode 在线解密工具
诈尸水一篇博文。8月份写的一个解密加密PHP源码的工具( http://d.poetn.cc:7727/),打算小范围使用。刚好最近看到 PwnHub 上有个解密的题目,p神微博上吐槽居然有人花钱解密了,2333 那分享一波另类解密思路吧。
BugScan小程序v0.0.2演示
漏洞预警_PHPCMSv9前台GetShell (2017/04/09)
把预警的文章在博客同步一下,毕竟半年没写东西了
版权声明:
本文首发于微信号:inn0team
此文章版权归属于 inn0team 所有
转载请务必保留此声明,违者必究。
首先感谢某个朋友,一同完成的漏洞分析与发现。
先上一张效果图(官方Demo)
Git Flow 实践
在内部推行Git的时候,推广下去之后,大家也是只会机械的用add
、commit
、push
、pull
这几个命令,很多开始接触Git的同学根本体会不出Git在协作时的优点,把Git活生生用成了FTP。
很僵
这个是我在公司内部分享时做的一张图,拿出来分享一下,结合了一下我司目前的项目情况。