摘要： 天气一冷最容易懒，懒得无所事事，懒得不思进取。 自我批评 不过还好，春天很快会来！ 每天乱七八糟的事情，打乱了一个又一个准备好的计划。每周一篇的代码审计现在还没着落，一定会尽快写出来的。 今天就先水一篇关于内网转发的小文章吧。 lcx 的使用 1. 靶机上执行：lcx.exe –slave 公网 i 阅读全文

摘要： 一、基本概念 域名系统: 域名系统（英文：Domain Name System，缩写：DNS）是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字 阅读全文

摘要： 在研究XXE注入攻击之前先了解一下什么是XXE 定义 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 文档结构 XML文档结构包括XML声明、DTD文 阅读全文

该文被密码保护。 阅读全文

摘要： CVE-2017-12149 JBOOS AS 6.X 反序列化漏洞利用 这次分析一下 CVE-2017-12149 ，漏洞已经爆出有几天了，今天就把这个漏洞看一下。 安全预警 漏洞描述 近期，互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149 阅读全文

摘要： CVE-2017-11882漏洞利用 最新Office的CVE-2017-11882的poc刚刚发布出来，让人眼前一亮，完美无弹窗，无视宏，影响Ms offcie全版本，对于企业来说危害很大。在此简单说下这个漏洞的复现和利用过程。 POC地址：https://github.com/Ridter/CV 阅读全文

摘要： 转载--Typecho install.php 反序列化导致任意代码执行 原文链接（http://p0sec.net/index.php/archives/114/） 0x00 前言 漏洞公布已经过去一段时间了，当时只是利用了一下，并没有进行深度分析，现转载文章以便以后查看。 听说了这个洞，吓得赶紧 阅读全文

摘要： EIS2017也就是2017年高校网络信息安全管理 运维挑战赛，全国一百多所高校参赛，侥幸拿了个地区三等奖，事先不知道理论赛占分比，不然就会是二等奖（吐槽），生活没有如果，下次努力吧。 比赛已经结束大概两周了，直到前几天奖杯到了才想起来写下吧，结果拖延到今天。写下来方便以后查看。 总体来说比赛题目不 阅读全文

摘要： CTF比赛中，MISC题型中有时候会考到一种一种叫做“猪圈密码”(Pigpen_chiper)的简单加密方式。网上有个表可以对照地来实现解密，但是实际中太慢不符合竞速思维，于是写一个小脚本来实现。 0x01 何为猪圈密码 猪圈密码[pigpen cipher]（亦称朱高密码、共济会暗号、共济会密码或 阅读全文

摘要： 这周的审计任务，两天前的任务呀~拖延症呀~ 这次审计一个博客 auxblogcms1.0.6，网上也有所记载，我下面会做个总结。 axublog是一款php个人博客系统，小巧强大的PHP+MySQL博客系统程序，全站静态生成html页面，努力成为最优秀国产博客系统！ 环境搭建 审计CMS，首先环境搭 阅读全文