Von's Blog

Thinking will not overcome fear but action will.

一些编程概念的探讨

写在前面 最近好像挺久没有更新博客了,主要意识到之前那种为了安全而学习安全的方法是错误的。安全的前提还是开发,开发技能不行,安全技能也没办法达到多高的程度,所以最近觉得还是得沉下心来,学习开发技能。 编译型语言与解释型语言 我们知道,计算机实际上只能理解二进制代码,所以我们用各种高级语言写出来的代码,都要经过相关的过程才能转化为机器语言(二进制代码)。解释型语言和编译型语言就是针对这两种不同...

Posted by Von on November 6, 2020

文件包含中几个常用包含目录的记录

超级水文

写在前面 这几次的比赛中常常出现文件包含的相关考题。以前对文件包含的认知和实践只停留在直接包含或者伪协议上,这几次比赛中学到了很多,打算通过几篇文章总结一下。 用户信息 /etc/passwd # 用来记录每个拥有系统访问权的注册用户 /etc/shadow # 密码信息,获取到后可用 John the Ripper 爆破 /root/.bash_histor...

Posted by Von on September 2, 2020

内网渗透学习(一)

内网基础知识

工作组 工作组其实就是类似于将电脑分组整理,比如行政部门组,财务部门组。主要有以下两个特点: 可以自由进出(只需修改自己电脑的工作组名称即可加入或者退出) 完全平等,没有管理和被管理之分 所以工作组虽然有一定的对内网网络进行分门别类的作用,但是不便于管理。 域(Domain) 域是工作组的升级版,但是不同的是,域有一定的安全措施。域有且至少有一个“域控制器(域控,Dom...

Posted by Von on August 30, 2020

RMI学习(一)

RMI基础

前言 今天就开始具体Java安全的学习了,首先从RMI安全开始,但是由于RMI的不少安全问题都涉及了反序列化的问题,这方面的内容为目前暂未涉足,因此本文只是对RMI入门的第一篇文章啦。 什么是RMI RMI全称为Remote Method Invocation(远程方法调用),是让某个Java虚拟机上的对象调⽤另⼀个Java虚拟机中对象上的⽅法(也即客户端如何调用服务器端的方法)。 ...

Posted by Von on August 25, 2020

无字母数字webshell总结

文章首发于先知社区: https://xz.aliyun.com/t/8107 建议看先知社区的那篇,博客这篇由于Jekyll的某些特性和Latex编译器的一些性质,排版有点不足 写在前面 关于无字母数字Webshell这个话题,可以说是老生常谈了。但是一直以来我都没怎么去系统的研究过这个问题,在这里做一波研究与总结。所谓无字符webshell,其基本原型就是对以下代码的绕过: <?p...

Posted by Von on August 14, 2020

open_basedir绕过

什么是open_basedir Open_basedir是PHP设置中为了防御PHP跨目录进行文件(目录)读写的方法,所有PHP中有关文件读、写的函数都会经过open_basedir的检查。Open_basedir实际上是一些目录的集合,在定义了open_basedir以后,php可以读写的文件、目录都将被限制在这些目录中。 一般情况下,我们最多可以绕过open_basedir的限制对其进行...

Posted by Von on July 10, 2020

如何正确使用Docker出一道CTF题目

写在前面 前几天忙着出minil的题目,Frank要求要用Docker并且要支持动态Flag,看了网上也没有一篇文章彻底详细的讲解这个过程,鼓捣了好久才搞明白的,于是写一篇文章记录一下这个过程,也让后来的出题人可以学习一下不用走那么长的弯路。 在之前的内容中,我们已经学习了Docker的基本用法,但当时我们构建的题目,都只能在一个固定的端口上使用,如果我们要实现像每个用户分配一个动态容器,还...

Posted by Von on May 1, 2020

Java基础学习(三)

内部类 内部类顾名思义,就是一个类当中包含另一个类,包含成员内部类和局部内部类。 成员内部类 成员内部类的定义格式为: 修饰符 class 外部类名称{ 修饰符 class 内部类名称{ } } 内部类可以任意调用外部类的属性和方法,而外部类如果要使用内部类的属性和方法,必须要借助于内部类对象。 假如在一个类C1中编写了一个内部类C2,在编译的时候,会生成两...

Posted by Von on April 13, 2020

Python反序列化漏洞学习

Python序列化和反序列化 和PHP反序列化类似,Python序列化和反序列化的过程就是把对象转化成字符串和把字符串转化成对象的过程。 我们主要运用的是pickle这个库来实现序列化和反序列化的过程。下面,我们举一个例子来说明其工作方式: import pickle class name(): def __init__(self): self.name = 'Vo...

Posted by Von on March 29, 2020

四天学习Flask(入门篇)

写在前面 从今天起开始学习Flask,主要参考书籍是米格尔·格林贝格的《Flask Web开发》,打算用四天的时间看完这本书的入门部分,把学习的过程每天更新在这篇文章里面,记录自己的学习过程,也给看到的人做一个参考吧。 用的是Python3的环境,主机系统为Windows10 第一天 环境的安装和虚拟环境的搭建 Windows10下使用virtualenv来创建虚拟环境 pip3 insta...

Posted by Von on March 28, 2020

FEATURED TAGS
Practice SQL Web CTF Crypto Docker PHP 文件包含 杂谈 编码 Python 爬虫 问题修复 Linux Math Java SSRF XXE Flask 反序列化 出题 Windows 内网渗透 编程
ABOUT ME

Goals determine what you going to be!

✉️ lyc824342218@gmail.com

FRIENDS