前言在上篇文章CTF逆向专题连载之虚拟机vm混淆(1)中,我们了解到了虚拟机的结构,目的是为了辨别题目是否是虚拟机的考点。这篇文章将讲述虚拟机题目的两种做法。虚拟机题目的解题方法一般分为3种:动态调试...
代码审计:BlueCMS v1.6
发现公众号上好像没什么代码审计的文章,于是便把之前自己的笔记拿过来给大家分享一下,这个cms基本已经被玩烂了,但是还是有一些学习意义的。源码下载地址:https://cowtransfe...
PHP代码审计入门笔记合集(共20篇)
文章来源:Bypass 早安,我的朋友们。 今天是11月20号,离2021年只41天了,今年你的小目标完成了吗? 跟大家分享件事情,其实这几个月来,我一直在准备一场考试,值得高兴的是,就在前两天终于顺...
代码对比工具,我就用这6个
在程序开发的过程中,程序员会经常对源代码以及库文件进行代码对比,在这篇文章里我们向大家介绍六款程序员常用的代码比较工具~WinMergeWinMerge是一款运行于Windows系统下的文件比较和合并...
PHP SplDoublyLinkedList中的用后释放漏洞分析
更多全球网络安全资讯尽在邑安全漏洞描述PHP的SplDoublyLinkedList双向链表库中存在一个用后释放漏洞,该漏洞将允许攻击者通过运行PHP代码来转义disable_functions限制函...
30行代码,让27吨发电机原地爆炸
本文经AI新媒体量子位(ID:QbitAI)授权转载,转载请联系出处萧箫 发自 凹非寺只需要30行代码 (约140KB的文件),就能让20吨的发电机原地爆炸?这一幕确实发生在了美国爱达荷州的测试场地上...
漏洞挖掘|条件竞争在漏洞挖掘中的妙用
条件竞争在漏洞挖掘中的妙用Race Condition0x00 前言本篇文章主要针对应用层面出现的一些条件竞争的案例及原理讲解,希望能够为大佬们在以后的挖洞过程中增添一条思路。0x01 什么是条件竞争...
通过发现“异常词汇(Bad Word)”频率在代码中查找漏洞
如何在代码中查找漏洞是一个非常复杂的问题,如果高屋建瓴地看,这个查找漏洞的过程应该是以下这样的:1.找到危险的功能;2.找到从你控制的输入到危险功能的路径;3.向程序输入错误的行为;先让我们看看如何找...
CTF逆向专题连载之虚拟机vm混淆(1)
什么是虚拟机混淆?在商业上,有一种叫做VMProtect的保护软件,通过利用伪指令虚拟机将指定代码进行变形和虚拟化处理后,达到隐藏关键代码的作用,具有很高的安全性。在阅读汇编代码时如同想把一本英文书翻...
express框架一些渗透技巧
这是 酒仙桥六号部队 的第 87 篇文章。全文共计668个字,预计阅读时长3分钟。前言在某个行业hw中的一次红蓝对抗,被waf封的头皮发麻。在反序列化打不进去,...
一些恶心的代码片段
来自公众号:菜鸟教程素材整理自网路1、下面一段代码将注释和代码混在了一起,不认真看还真不知道。高亮显示后:2、看到这种多层嵌套恶心到头大。3、据说某俄国特工经过九死一生偷到了NASA的太空火箭发射程序...
WAF代码剖析之初识openresty
为什么会有这一系列的文章?自从这几年信息安全的大力发展,信息安全的建设是逐步发展起来,作为甲方安全工程师,一个人的安全部,使用开源的WAF部署防御攻击,仿佛是件很平常的事情,但是开源的坏处就是没有人能...
94