大赛进行了两天，大起大落有，丧失信心也有，但最后还是挺过来了。多亏了给力的队友，blink和test，最后拿到了西北赛区的第二名。     简单叙述一下整个过程吧，顺...

啦啦啦，去了北京参加荣耀6的发布会，真心不错呀这款手机，在这里无耻地推荐一下。与会的同学都获得了一枚荣耀6，说说我的感受吧：CPU真心给力，跑分很高；价格合理，2000是荣耀一贯的高性价比...

这篇文章是前段时间从某群中学到的姿势，我分享出来~ 在XSS的时候，有时候有的过滤器很变态，会过滤很多特殊符号和关键词，比如&、(、)、#、'、'，特别是&和括号，少了的话payload很难...

    之前自己网上找各种方法拼拼凑凑出来的一个脚本，目的是在asp环境下连接mssql并执行命令。     因为不是webshell所以不用考虑过狗不过狗，过不过WAF，安全狗之类的W...

暑假写的文章了，最近博客没干货，发出来娱乐一下。 为了响应爱慕锅（Mramydnei）、撸大师（索马里的海贼）、fd牛（/fd）的号召成立的parsec团队，以及各位老师多年来对我的教育，我要写篇回忆...

本文2014年10月发表于乌云Drops，原文地址为：http://drops.wooyun.org/tips/3424 0x00 背景 这个估计很多同学看了不屑，认为是烂大街的东西了： .htaccess文件构成的PHP后门 那么我来个新的吧...

收假啦，收假啦，一篇文首发drops：http://drops.wooyun.org/tips/4482 今天看到zone里有同学发帖说了探测支付宝登录状态的帖子：http://zone.wooyun.org/content/17665 由此我想到了我们parsec...

0x01 起因 几天前学弟给我介绍他用nginx搭建的反代，代理了谷歌和维基百科。  由此我想到了一些邪恶的东西：反代既然是所有流量走我的服务器，那我是不是能够在中途做些手脚，达到一些有趣的目...

最近很多人分享一些过狗过盾的一句话，但无非是用各种方法去构造一些动态函数，比如$_GET['func']($_REQUEST['pass'])之类的方法。万变不离其宗，但这种方法，虽然狗盾可能看不出来，但人肉眼其...

现代cms框架（laraval/symfony/slim）的出现，导致现今的php漏洞出现点、原理、利用方法，发生了一些变化，这个系列希望可以总结一下自己挖掘的此类cms漏洞。 今天这个漏洞是SRCMS里由于Model的...