#RCE

​ 文章首发于先知社区:https://xz.aliyun.com/t/4309

之前在补天平台首发了巧用命令注入的N种方式,看到了有几个师傅衍生出了不同的几个后续版本,都感觉挺不错的,对我的版本进行了一些补充。本来这个总结应该算是前半部分,想写的还没写完,当时又是在考试周,原本想在考试结束后就来写后半部分,又因为各种事给推掉了。所以现在来写后半部分提升篇,也算是对前半部分的补充与解释。

Read More

很久之前就想做的靶机,一直没做,最近有空清理一下。地址在PentestLab

Read More

闲来无事想起安恒开了1月的周周练,就拿来练练手。

自己只做了web的部分。

Read More

​ 本文首发于补天平台,地址:https://mp.weixin.qq.com/s/Hm6TiLHiAygrJr-MGRq9Mw

NUAACTF_2018中,我出了一道比较水的采用Spring框架的SSRF+Java Deserialization+Command Injection。个人觉得在出题时候也学习到了不少知识,特别是在Command Injection这一块让我对Command Injection有了新的看法。

Read More