百家CMS代码审计1、环境准备baijiacms phpstudy8.1.1.3 apache2.4.39+mysql5.7.26+php5.3.29 2、搭建环境先搭建一个百家数据库，为搭建站点做准备。 直接使用phpstudy搭建好站点，并访问 连接数据库，并配置系统管理员 然后就成功创建了 3、路由审计路由关系是代码审计第一步，我们可以通过找到代码、目录与网站页面的对应关系，让我

python图形化（1）作为一个向往图形化工具的网安人，频繁使用一些cmd脚本，多cmd窗口，总是让我心烦意乱。于是心生一计，为什么不能自己做一个综合型的图形化工具页面呢，那最便捷的脚本语言python语言肯定首当其冲。于是有了这一篇开发小日记的诞生。鄙人不会开发，只是小懂门道，大佬轻点喷。 下面就看一看基本实现的思路。 1234561、构建基本UI界面2、UI转为py文件3、相关事件绑定函数

typora破解版+hexo+smms图床图床相关配置网上教程千千万，不知道翻了多久才找到成功配置。 故写此文记录一下： 不要用Picgo（APP），反正我没成功过。 这里推荐使用Picgo-Core 直接“下载或更新”，就会弹一个下载条，等下载完后 查看typora的缓存目录下的picgo，一般在 C:\Users\Yf\AppData\Roaming\Typora\picgo\win6

Host碰撞反向代理顺口提一嘴…正向代理：代理服务器代理客户端，例如我们搭建代理科学上网 反向代理：代理服务器代理服务端，测试网站时我们常常使用浏览器插件<–Wappalyzer–>，有时候就会看到Nginx反向代理。反向代理就是有一台代理服务器代理网站站点，例如网站真实站点的ip为101.131.20.162，其代理服务器IP就是121.161.241.36，我们访问时只能访问到

前言在挖src碰巧遇到了springBlade框架，就此浅显总结一下 简介&特征 SpringBlade是一个基于Spring Boot和Spring Cloud的微服务架构框架，它是由商业级项目升级优化而来的综合型项目。Springblade是基于spring-boot开发的，接口泄露、sql注入他也存在。 sringblade的特征1 1icon_hash="1047841

小程序解密+反编译 将访问的小程序进行解密和反向编译拿到部分源码，然后对源码进行安全审计，分析出其中可能存在的信息泄露或者说路径等一些关键信息。 前置环境准备1、nodejs环境安装（https://nodejs.org/en，官网安装即可） 2、解密反编译工具(wxapkg：https://github.com/wux1an/wxapkg/releases/tag/v1.5.0) 3、微信小程

阿里云OSS对象攻防简介 阿里云对象储存（OSS），是阿里云对外提供的海量、安全、低成本、高可靠的云存储服务。数据以对象（Object）的形式存储在OSS的存储空间/存储桶（Bucket ）中，并指定Object的文件名（Key）作为其唯一标识。您可以通过本文档提供的简单的REST接口，在任何时间、任何地点、任何互联网设备上进行上传和下载数据。基于OSS，您可以搭建出各种多媒体分享网站、

权限维持实战：权限维持，获取登录记录 前提：拿到了web权限，例如：www-data：shell权限 然后确认其接收用户密码文件login_check.php，写入js动作(该代码不会被输出到页面，也比较隐蔽)，远程连接接收用户密码文件get.php 在get.php文件中包含文件写入代码 每当有人登录时，就会远程访问get.php，我们就可以从newfile.txt中得到用户密码 还可以