起因前几天因为某些需要，使用了PHP的一个requests库，Github:https://github.com/rmccue/Requests，说是Requests for PHP is a humble HTTP request library。用了一段时间感觉挺不错的...

继续阅读

闲着无聊刷一下三个菜鸡。0x01 Bit-flipping AttackAES-128加密，CBC方式，直接注册个cdmin，然后翻转密文的第一个字节，跑一下拿到了admin的cookie。0x02 Bypass WAF$uri = explode("?"...

继续阅读

多线程创建def target(): print 'current threading: %s is running' % threading.current_thread().name time.sleep(1) print 'current threa...

继续阅读

经常会出现两个容器需要连接的情况，例如一个php-fpm，一个nginx，分别跑在不同的容器中，这个时候就需要对两个容器进行连接，使其正常提供WEB服务。这里我们使用官方的镜像作为例子，先拉回来PHP和nginx的镜像：docker pull php:7.0.5-fpmdo...

继续阅读

1. 安装ubuntu 14.04 or latersudo apt-get updatesudo apt-get install -y docker.iosudo ln -sf /usr/bin/docker.io /usr/local/bin/dockersudo se...

继续阅读

一直听说sqlmapapi很好用，最近决定写个sql注入的探测器之类的东西，可以从web界面把URL喂给sqlmap，然后坐等结果就行了。后期可以加上被动式扫描的部分，用代理（类似burp的方法，好像有burp的sqlmap插件）或浏览器插件的方式读URL，然后自动喂给后端...

继续阅读

Good Morning这WEB题萌我一脸。。打开这题仔细分析下就能知道是Flask+websocket，还给了源码。按照流程走一遍，发现是通过websocket进行交互的，最后有一次get_answer的机会，感觉有点像SQL注入，但是有一个类似mysql_real_es...

继续阅读

DES是一种块密码，属于对称密码算法。密钥长度为56bit，如果算上校验位可以认为是64bit，就是8字节。在DES加密中，有一些密钥属于“弱密钥”和“部分弱密钥”，严禁在加密的过程中使用。DES弱密钥在DES的计算中，56bit的密钥最终会被处理为16个轮密钥，每一个轮密...

继续阅读

最近看了看Flask，可是网上的教程全是用SQLite的，自己连接MySQL的时候，把connect URL修改成MySQL的样子，总是不成功。踩了一天的坑之后终于解决了。MySQL-Python连接MySQL的话必须要装这个库，通常情况下使用pip install就可以了...

继续阅读