这两天想着锻炼一下自己的编程能力，所以想结合实际情景写出一个python脚本，这个实际场景就是在平时进行渗透测试的时候，我们首先会做信息的搜集，这块肯定就少不了子域名的搜集。 子域名的搜...

上次去参加BCTF，第一道AWD题目就是Flask的SSTI漏洞，当时由于不熟悉Flask框架，，所以一开始没意识到这是模板命令注入的漏洞，，直到抓到别人的流量才知道了payload，，回来之后好好学了下Flas...

最近稍微有点空闲，就想去好好研究下智能合约的安全问题，因为是新兴产业，所以没有现成的教程或者是材料，所以只能找一些较为基础但是能够帮助我们学习智能合约的平台，这里的Ethernaut就是一...

0x00 前言 最近一直在研究Java安全，从ysoserial看起，发现Clojure这个Gadget链网上并没有分析文章，所以对这条攻击链进行了简单的分析，动态调试过程中由于计算器一直在弹，所以顺着动态分析的...

在我们getshell后，或者简单点说，利用注入点获得xp_cmdshell后，我们只能运行命令行，并且无法转到其他目录时，这时候我们就要活用命令行~ 本篇文章主要介绍与信息收集和提权相关的命令行知识 ...

接着上一篇，继续来进行sqlolchallenge~ Challenge 7 - Walking on Thin Ice Your objective is to find the table of social security numbers present in the database and extract its infor...

[db:摘要]

Docker 搭建Portainer可视化界面Portainer是Docker的图形化管理工具，提供状态显示面板、应用模板快速部署、容器镜像网络数据卷的基本操作（包括上传下载镜像，创建容器等操作）、事件日志显示...

最近在调试一块芯片的时候要实时读取芯片内部的数据而且没有串口。看完了@Parad0x 大佬的《通过设备UART接口调试获取shell》之后突然想起Jlink仿真的时候可以实时读取数据，那么应该也可以当作...

介绍: 敏感信息泄露漏洞是不是有点鸡肋？跟我了解一下吧！0x00 前言某日，甲方爸爸在群里扔过来一个txt。里面有三个域名，20个IP地址。让我看看有没有什么问题，我一看这不讲武德啊，我怎么看？...