ttpfx's blog
博客
分类
标签
归档
友链
关于
博客
分类
标签
归档
友链
关于
ttpfx's blog
Everyone is just a screw in society
AntCTF&D^3CTF 2021 WEB WP
AntCTF&D^3CTF 2021 WEB WP 不愧是蚂蚁SRC和三电联合主办的CTF,质量很顶(太菜了,被虐de太惨了 Pool Calc考点 简单Node.Js代码审计、简单的反编译、Python Pickle反序列化、PHP Swoole反序列化RCE、JavaRMI反序列化 这是一道需要拿到主机(Node服务)和三个docker flag的合成题,有点可惜,本来做到深...
2021-03-12
CTF
阅读全文
Java安全相关基础知识总结
Java安全相关基础知识总结JVM运行机制 java作为当今最热门的语言之一,具有一次编译 随处运行的特点。而Java拥有的有这种跨平台特性离不开Java特有的JVM JVM,全称Java virtual machine,即Java虚拟机,它是模拟出的一个虚拟计算机,用于解析Java程序编译产生的class文件,而JVM针对每个操作系统都有其对应的解释器,故Java能够做到一次编译 随处运...
2021-03-02
WEB
阅读全文
Apache-Commons-Collections3.1反序列化分析
Apache-Commons-Collections3.1反序列化漏洞分析 Apache Commons是Apache一个开源的通用项目 Commons的目的是提供可重用的、开源的Java代码 Commons由三部分组成:Proper(一些已发布的项目)、Sandbox(一些正在开发的项目)和Dormant(一些刚启动或者已经停止维护的项目) 环境搭建在IDEA新建Maven项目 1Fil...
2021-02-25
WEB
阅读全文
JAVA反序列化
JAVA反序列化序列化与反序列化什么是序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中,而Java反序列化则就是把字节序列恢复为Java 对象的过程 序列化与反序列化的用处 Java反序列化与反序列化可以使Java对象脱离运行环境,有效的实现多平台之间的通信、对象持久化存储。 如RMI(远程调用Remote Method Invocatio...
2021-02-20
WEB
阅读全文
Node.Js代码审计
Re:从零开始的Node.Js代码审计Re0真好康 又咕了好久博客,放一篇node.js审计简单总结吧 基础知识语言基础Node.Js 中文网的入门教程就不错 传送门 上面对有些点的介绍是在其他入门指南里所看不到的,如package.json等,了解这些知识点有助于对Node.Jsweb项目文件的理解,此外里面还说明了在学Node.Js前应掌握的JavaScript的内容 至于J...
2021-02-15
WEB
阅读全文
JS原型链污染
JS原型链污染之前看P牛的文章似懂非懂,而后面遇到原型链污染的题又不是很会,不如趁着寒假重学一遍 prototype、__proto__、constructor在JavaScript中,class关键词其实就是一个语法糖,而定义一个类,本质上就是定义函数 12345678function test(){ this.func = () => console.log("...
2021-01-28
WEB
阅读全文
Redis攻击简单总结
Redis攻击简单总结前言 Redis默认端口为6379,默认密码为空。而当我们没有将该端口做防火墙措施,且未设置密码时就会存在redis未授权漏洞。 该漏洞导致用户可以利用redis的config命令来进行文件读写导致getshell 常见利用方式写webshell1234set x "<?php phpinfo(); ?>"config ...
2020-12-08
WEB
阅读全文
博客搬迁
原博客:传送门 博客搬迁2020-11-28 考虑了很久,还是想换个博客,感觉原来的WordPress过于懒狗(观看效果也8太行,没有很好的MackDown支持,没有侧边文章目录,没有代码高亮),这里就换成了HEXO的volantis主题 作为资深懒狗,不想搬运原博客文章,所以将Apache转了个端口,然后配了一下Nginx反向代理 同时跑nginx和apache,感觉怪怪的 应该问题不大...
2020-11-28
碎碎念
阅读全文
复制文本
复制链接
在新标签页打开
复制图片地址
常见问题
联系作者
D0g3
本站源码
主题源码
打印页面