点此阅读：《WAF拦了蚁剑发送的其它参数时怎么操作》

点此阅读：《Defcon China 1.0 胸卡破解笔记》

这次主要说一下蚁剑和 WAF 之间互相对抗的进化过程。

点此阅读：《蚁剑绕WAF进化图鉴》

上周 RealWorld CTF 2018 web 题 bookhub 有个未授权访问的漏洞，比较有意思，赛后看了一下公开的 WriteUp,大家也都没写清楚，所以就有了这篇博文。

前言

这个题是用 flask 框架写的,在 www/bookhub/views/user.py 中，refresh_session方法存在未授权访问漏洞，代码是这样写的：

1
2
3
4

@login_required
@user_blueprint.route('/admin/system/refresh_session/', methods=['POST'])
def refresh_session():
    pass # 这里省略内容

注意看 @login_required 这个装饰器写在了 route 装饰器上面了，导致了 login_required 未调用。那么，为什么会这样子呢？

瞎折腾，开新坑，两年前计划在 AntSword 上做的东西，利用WebShell创建交互式终端，现在基本有个雏形了。

日常瞎折腾，把以前的一个h5游戏移到了微信小程序上，整个过程也就只是照着官方的Demo改了改，不多说，看视频。

诈尸水一篇博文。8月份写的一个解密加密PHP源码的工具( http://d.poetn.cc:7727/)，打算小范围使用。刚好最近看到 PwnHub 上有个解密的题目，p神微博上吐槽居然有人花钱解密了，2333 那分享一波另类解密思路吧。

4月2号时候的样子，因为最近在调整用户系统，所以就直接内置了我自己的账号进去，目前还没做用户系统。

话不多说，看视频先。

把预警的文章在博客同步一下，毕竟半年没写东西了

版权声明：
本文首发于微信号：inn0team
此文章版权归属于 inn0team 所有
转载请务必保留此声明，违者必究。

首先感谢某个朋友，一同完成的漏洞分析与发现。

先上一张效果图（官方Demo）

在内部推行Git的时候，推广下去之后，大家也是只会机械的用add、commit、push、pull这几个命令，很多开始接触Git的同学根本体会不出Git在协作时的优点，把Git活生生用成了FTP。

很僵

这个是我在公司内部分享时做的一张图，拿出来分享一下，结合了一下我司目前的项目情况。