前任教会了你什么?

一:年轻的女孩子们啊,你可以跟着一个穷小子吃苦

可以在最好的几年青春里陪他吃苦,但是两点你必须要清楚而且牢记,第一点呢就是,他吃苦那是他的事情,你也要吃属于你的苦,就是吃学习的苦,学习技能,学习为人处世,因为跟着男朋友的苦,最后可能白吃了,但是你自己提升自己的苦,永远不会白吃,第二点,如果有一天这个穷小子发迹了,会有好男人感激当初陪着一无所有的自己的妻子,但是也绝对会有,觉得你跟他吃苦不是你多善良,多么不势力,而是认为是他自己魅力大。这就是凤凰男。人性多变,后路早留 。

FastJson漏洞复现测试

##0x01利用过程:
fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。本文复现了FastJson反序列化漏洞的相关利用过程。

PhpCmsV9后台GetShell

###0x01 背景
最近在做测试的时候遇到一个阉割版的phpcms,权限也很低。尝试网上的常规getshell手法无果,忽然想起16年和大佬一起挖过PhpCms_v9后台的getshell,但是过去这么久细节也记不清了。只记得大概方向。遂上官网下载了最新版本的源码审计一番。

护卫神主机大师未授权提权漏洞

##0x01 前言
  护卫神·主机大师支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin),并可在线开设主机、SQL Server和MySQL;Web方式管理,拥有独立前台和后台面板。支持Windows Server 2008/2012。结合护卫神14年安全防护经验,严格限制每个站点独立权限,彻底阻挡跨站入侵。但这套系统真的安全么?,由于某次测试遇到该系统,遂对该系统进行分析。本文记录了分析过程中的一些记录和问题。