Pwnhub 是一个面向安全研究人员的CTF对战平台，更官方一点的解释就是一个以各种安全技术为内容的竞赛平台。经过我们团队数个月的酝酿终于上线了。上线伊始，我出了一道Web题目，名字叫Classroom...

昨天晚上 @roker 在小密圈里问了一个问题，就是eval(xxx)，xxx长度限制为16个字符，而且不能用eval或assert，怎么执行命令。 我把他的叙述写成代码，大概如下： <?php $param = $_REQUEST[&#...

老文一篇，几个月以前发在【代码审计】小密圈里的文章，当时是写一个系列（Django安全漫谈），抽出其中的一部分，分享一下。 在黑盒测试的情况下，如何判断一个站是否是Django开发的？以下这些...

前两天遇到的一个问题，起源是在某个数据包里看到url=这个关键字，当时第一想到会不会有SSRF漏洞。 以前乌云上有很多从SSRF打到内网并执行命令的案例，比如有通过SSRF+S2-016漏洞漫游内网的案例...

Metinfo 8月1日升级了版本，修复了一个影响小于等于5.3.17版本（几乎可以追溯到所有5.x版本）的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响，可以直接获取数据，影响较广。 0x01. 漏洞原理分析 ...

Pwnhub在8月12日举办了第一次线下沙龙，我也出了两道Web相关的题目，其中涉及好几个知识点，这里说一下。 题目《国家保卫者》 国家保卫者是一道MISC题目，题干： Phith0n作为一个国家保卫者，...

说明收集的一些常用的测试脚本，都可以正常使用，至于速度的准确性，可以多用几个脚本测试下如果是只想单独测试机器的下载宽带可以使用下面wget命令CacheFly 亚太 - 100MB wget -O /dev/null ht...

说明Rclone是一款命令行工具，支持在不同对象存储、网盘之间同步、上传、下载数据；官网地址：https://rclone.org本教程适用于Debian / Ubuntu系统，如果你是CentOS或者其它Linux系统，请使用以...

说明支持金钱显示支持多用户支持无服务器函数更新时间间隔开始安装 Python3apt-get install python3-pip新建一个名为hostloc.py的文件，然后在文件中写入以下代码将其中的账号A替换成自己的，密...

说明Rclone项目从1.54.0版开始已经支持挂载世纪互联版OneDrive，不再需要使用魔改版了；如果需要使用Google Drive网盘，可以看这里：Rclone挂载Google Drive为本地硬盘Rclone的一些使用方法：Rc...