Typecho install.php 反序列化漏洞复现

昨天0ctf,唯一的一道 web 还是 Java,那个鬼椒的 hint 也是无语。直接自闭了。 对面的 bin 爷爷肝的不亦乐乎,web 狗只能在角落摸鱼。 之后我便去复现周五协会培训时司大哥讲的 Typecho 反序列化漏洞。之前听的时候,到后半部分有些理不清了,自己尝试的时候才差不多搞明白。 其实反序列化难就难在 pop 链的构造,真的是一环套一环啊。需要明白哪些变量使我们可控的,有哪些魔术方

反思一下近期的自己

昨天和同学去协会坐了一下午,打算去和写后端的大佬配合修 bug 的。 期间听到学长们的对话,司大哥看我之前读过 CodeIgniter 的源码,便问我 CodeIgniter 为什么比 ThinkPHP 更安全。 唔……这还真的涉及到我的知识盲区了。当时支支吾吾地说不出话。 感觉开学以来没那么有动力了,是因为在肝项目没去学新的东西了?我不知道。 感觉这样下是肯定不行的。前方

我在 Cube 中加入了 Google Authenticator 登录验证

真是巧合,我居然又是造轮子 在高三上学期在宿舍洗澡的时候,我突然脑洞大开,想到了一个生成六位随机数字进行双重验证的东西。 到周末回家的时候花时间写了出来: OneCode https://github.com/wuhan005/OneCode 你也可以看看我当时介绍她时所写的文章。 当时还给她设计了个 Logo 来着,回想起来不禁觉得自己当时脑洞也真是挺大的。 但脑洞归脑洞,这个应用也像我的一大堆

终结!这可能是目前最好的 PHP 部署工具了

提问:怎么把大象放进鲸鱼里? 开过一些坑,写过一些有意思的 PHP 的程序或小工具。说实话,我是真的挺喜欢 PHP 这门语言的。 她开发迅速,很快就能将突然之间产生的灵感做出来。 有了几台学生机后,我便尝试着把自己写的东西都放到上面去。凭借着 Docker,管理起来还算是“整齐有序”。 都说程序员会想尽办法偷懒,“偷懒”也一定程度上也决定了生产力。 确实是这样的。 过去的很长一段时间里,我都在寻找

HGame 2019 week4 writeup

历时四周的 HGame 结束了!撒花~ 校内排名 12,还是太菜了。 最后一周的 Web 主要是各个语言的框架,很多点都是围绕着框架的特性来的。 嘛,不多说,一起来看看吧! Web happyPython 首先从头到尾走一波流程,熟悉一下题目。 通过题目首页,我们可以知道这是 Flask 框架。 因为对于 Python Web 完全不了解,上网找了很久。 然后发现在 URL 那里可以进行模板注入。

第一次合作写一个项目,感触颇多

ひとりじゃないよ 一直以来,我都是一个人瞎写一些东西玩的。自己突然有了脑洞就开一个坑,但真正能填完坑的不多。 之后做外包的时候前后端也都自己一个人写完。一切全都是按照自己的想法心情来。好在对自己也算是负责,很少出现那种看不懂自己的代码的窘况。 有人说 PHP 是一门适合个人独立开发的语言。现在也不是很明白为何这么说。其实只要大家之间商量好,你写哪个 Controller,我写哪个 Model,约定

HGame 2019 week3 writeup

摸鱼的一周,只做了三道题。(因为别的都不会 Web sqli-1 说来也真是巧,上周写的那个遍历字符串的脚本这周又用上了。稍微改了一下,用来获取这周的code验证码。 <?php $a = ‘a’; $times = 0; for($i = 0; $i < 999999999; $i++){ if(substr(md5($a),0,4) === $argv[1]){ echo($a);

PHP Swoole 实现 WebSocket 聊天室

实时的,在线的 一直以来我都在回避去做一些需要“实时”的项目。比如在线自动匹配、在线发送消息等。 究其原因还是没太接触过这方面的知识,并不知道用什么技术实现,总感觉会很麻烦。 但是最近学校有个微信小程序的项目,有用户实时聊天的需求。 抱着多学习一点东西的想法,我居然给接下来了! 刚开始是在百度上粗略地找了下聊天室的实现原理,发现了一个用 Java 写的在线 Web 聊天室。体验了一下,还不错,甚至

HGame 2019 week2 writeup

头图中的 HGame Logo 来自稳赚大佬,使用前已获得授权。 硬核!是真的硬核! 一转眼就到 week2了,相比 week1,这周的题目难度突然上升!完全没有任何防备。 本来想着这周继续 ak web 的,但是第二天突然放出的了道 Java Web……我的 ak 就没了23333 但是拿了两道题的一血,也算是很满足了!茄子超棒!! 不过确实又学到了超多东西。虽说学习不是

WordPress 插件开发初探

一切都是源自于 B 站 那是在 2015 年的国庆小长假,我偶然在 B 站上看到了一个教你如何在 OpenShift(RedHat 的一个 PaaS 平台) 上使用 WordPress 搭建个人博客的教程。 之后就入了 WordPress 的坑,因为这个 CMS 实在是太好用了。 WordPress 是个很棒的开源软件的。因为拥有大量的用户作支撑,使得我们可以相信,WordPress 代码中所使用

HGame 2019 week1 Writeup

终于来了! 一直盼望着的 HGame 来了!!好开心啊! 本来是计划 25 号回老家的,跟爸爸说协会 25 号有 HGame 后,便推迟到了 26 号回去。 之前也是一直肝到了 4 点,学了超多东西。 不过开始半小时后 ak web 确实让我十分激动啊!!一开心又下单买了个手办,只怕到时候补款又得哭死。 嘛,下面来聊聊这次的题吧。感觉还是有点难度的,这还只是 week 1 啊!! Web 谁吃了我

寒假开始了,立几个 flag 吧。

大家都在努力啊 很久没有认真写过博客了。其实之前写了几篇,比如关于学习 PHP 反序列化漏洞;但是写到一半感觉自己好蠢啊,就没发出来。 今天是 1 月 24 日,离寒假结束刚好一个月。 这几天确实是挺忙的,放假后各种事情都来了。 同学突然问我建站的事,我便告诉他阿里云学生机 + 宝塔 + WordPress 一把梭。别笑,我感觉这一套对新手还是挺友好的,刚开始起步能从中学到不少东西。但是死守着宝塔