Magic_Zero

摘要： 我们接着上篇文章，来继续介绍Maven中几个核心的概念： POM (Project Object Model) 我们首先来看一下，上篇文章做演示的时候生成的pom.xml文件： 在该配置文件中有三个必须写的字段，groupId,artifactId,version。groupId代表组织或者创建团队 阅读全文

摘要： 前言 最近在研究java框架struts2的相关漏洞，然后就去看了官方给出的文档。在看文档的过程中发现使用到了Apache Maven这个项目管理工具，我在网上搜索了一下，大多数文章都写得不是很系统，容易产生迷惑。我就自己来根据自己的学习过程，做个记录。一来为了方便自己复习，二来别人如果有类似需求也 阅读全文

摘要： 0x00 前言 最近在学习java的相关漏洞，所以Struts2的漏洞自然是绕不开的。为了更好的理解漏洞原理，计划把Struts2所有的漏洞自己都做一个复现。并且自己去实现相关的POC。相关的环境搭建，以及POC实现细节，参考文章我都会尽可能的写清楚。方便自己记录学习过程的同时，方便看文章的人学习。 阅读全文

摘要： 这个漏洞本是2014年时候被人发现的，本着学习的目的，我来做个详细的分析。漏洞虽然很早了，新版的Drupal甚至已经改变了框架的组织方式。但是丝毫不影响对于漏洞的分析。这是一个经典的使用PDO，但是处理不当，导致SQL语句拼接从而导致注入的问题。从这个问题，以及以往我见过的很多的漏洞来看，我不得不说 阅读全文

摘要： 0x00 前言 今天在Seebug的公众号看到了Typecho的一个前台getshell分析的文章，然后自己也想来学习一下。保持对行内的关注，了解最新的漏洞很重要。 0x01 什么是反序列化漏洞 如题所说，这是一个反序列化导致的代码执行。看过我之前文章的人应该不会陌生。PHP在反序列化一个字符串时， 阅读全文

摘要： 作为一个学习web安全的菜鸟，前段时间被人问到PHP反序列化相关的问题，以前的博客中是有这样一篇反序列化漏洞的利用文章的。但是好久过去了，好多的东西已经记得不是很清楚。所以这里尽可能写一篇详细点的文章来做一下记录。 我们来参考这里： 我们根据官方文档中的解释，一个一个来进行测试。 __constru 阅读全文

摘要： 元字符： * 星号 它指定前一个字符可以被匹配零次或更多次 匹配a和b之间的字符，如果有，那么继续直到没有为止。所以它是贪婪匹配。 如果a和b之间有字符，但是不是bcd中的任意一个那么将会停止，取到上次匹配的结果。 + 加号 指定前边的字符一次或者更多次。区别于 * 的是，至少需要一次。 + 是非贪 阅读全文

摘要： SQLmap是现在搞web人手一个的注入神器，不仅包含了主流数据库的SQL注入检测，而且包含提权以及后渗透模块。基于python2.x开发而成，使用方便。所以研究web安全少不了分析源码，学习代码的同时，也可以学习先进的漏洞检测技术。多的不多说，咱们来分析一下源码。 0x00 从入口文件开始 我们在 阅读全文

摘要： python中的一个十分好用的包管理工具python-pip是我们使用python必不可少的一件工具。但是在CentOS7安装时候却遇到了一些小问题： 查阅资料以后，原来是因为CentOS官方的源有些时候滞后导致的。所以我们可以用fedora社区打造的EPEL(http://fedoraprojec 阅读全文

摘要： 这是很早以前学习C时候做过的一个练习题，题目的要求大概是把用户输入的三位数倒序输出，比如说用户输入123，然后程序应该输出的结果是321。如果遇到用户输入100，那么程序应该输出1。然后我给扩展一下，这个程序来适应于三位数以上的或者三位数以下的。 那么遇到这个问题，我首先的思路就是想办法把用户输入的 阅读全文