雪痕*

摘要： 前言 今天说一下写病毒木马会广泛使用的一种技术——资源释放技术。为什么我们在写木马时会使用到资源释放技术呢？这是因为它可以使我们写的程序变得简洁。如果程序需要额外加载一些DLL文件或者文本文件，我们可以把它们作为资源插入到程序里。等程序运行，再把它们释放到本地。这样好处是只有一个.exe文件，这就降 阅读全文

摘要： 前言 当我们进行SQL注入攻击时，当发现无法进行union注入或者报错等注入，那么，就需要考虑盲注了，当我们进行盲注时，需要通过页面的反馈(布尔盲注)或者相应时间(时间盲注)，来一个字符一个字符的进行猜解。如果手工进行猜解，这就会有很大的工作量。所以这里就使用python写一个自动化脚本来进行猜解， 阅读全文

摘要： #前言 我们知道对靶机的渗透可以提高自己对知识的掌握能力，这篇文章就对上传靶机upload-labs做一个全面的思路分析，一共21个关卡。让我们开始吧，之前也写过关于上传的专题，分别为浅谈文件上传漏洞(客户端JS检测绕过) 浅谈文件上传漏洞(其他方式绕过总结) #靶机环境搭建 Upload-Labs 阅读全文

摘要： #前言 这篇文章会对PHP的MySQL扩展库，MySQLI的扩展库，SQL批量执行，事务控制等等进行一些简单的讲解。 #MySQL扩展 PHP中MySQL扩展，虽然因为安全的原因，在PHP5.6及往上不在支持MySQL扩展库，但是还是要学习的，通过编写案例的方式来讲解。 ##案例 先说下操作数据库的 阅读全文

摘要： #前言 根据红日安全写的文章，学习PHP代码审计的第五节内容，题目均来自PHP SECURITY CALENDAR 2017，讲完题目会用一道CTF的题目和实例来加深巩固。这是之前写的，有兴趣可以去看看： PHP代码审计01之in_array()函数缺陷 PHP代码审计02之filter_var() 阅读全文

摘要： #前言 vulnstack是红日安全的一个实战环境，地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/最近在学习内网渗透方面的相关知识，通过对靶机的渗透来加深理解，下面我们开始。 #环境准备 环境已经打包好了，环境拓扑结构如下： 下载好后如下：有 阅读全文

摘要： #前言 根据红日安全写的文章，学习PHP代码审计的第四节内容，题目均来自PHP SECURITY CALENDAR 2017，讲完题目会用一个实例来加深巩固，这是之前写的，有兴趣可以去看看： PHP代码审计01之in_array()函数缺陷 PHP代码审计02之filter_var()函数缺陷 PH 阅读全文

摘要： #前言 根据红日安全写的文章，学习PHP代码审计的第三节内容，题目均来自PHP SECURITY CALENDAR 2017，讲完相关知识点，会用一道CTF题目来加深巩固。之前分别学习讲解了in_array函数缺陷和filter_var函数缺陷，有兴趣的可以去看看： PHP代码审计01之in_arr 阅读全文

摘要： #前言 根据红日安全写的文章，学习PHP代码审计审计的第二节内容，题目均来自PHP SECURITY CALENDAR 2017，讲完这个题目，会有一道CTF题目来进行巩固，外加一个实例来深入分析，想了解上一篇的内容，可以点击这里：PHP代码审计01之in_array()函数缺陷 下面我们开始分析。 阅读全文

摘要： #前言 从今天起，结合红日安全写的文章，开始学习代码审计，题目均来自PHP SECURITY CALENDAR 2017，讲完这个题目，会再用一道有相同问题的CTF题来进行巩固。下面开始分析。 #漏洞分析 下面我们看第一题，代码如下： <?php class Challenge{ const UPL 阅读全文