iVMS-8700代码审计 2023-05-22|java代码审计|代码审计

前言

群里有个师傅在问iVMS-8700综合安防管理平台软件的指纹信息，并且还说只是访问一下/eps/api/resourceOperations/upload，很明显，这里有个上传。本来18号就想着写出来的，才打完攻防，累，也就拖到了今天才写。

frida hook 加固app 2023-04-27|安卓逆向|安卓逆向-frida

前言

要求测试一个app，说是没加固的，实际上也就是没加壳，像模拟器环境检测、ROOT检测等等都有。

CTF之回调函数利用 2023-04-25|CTF|CTF

前言

最近在整理学习CTF WEB方向的知识，有个网友问了一道题，觉得还不错，因此记录一下解题过程和学习思路。

实战frida hook 安卓app 2023-04-01|安卓逆向|安卓逆向-frida

前言

某天收到一个测试安卓app的项目，因此简单的看了一看。

无聊随手帮甲方弄个0day 2023-03-21|.net代码审计|代码审计

.net代码审计；cookie伪造导致的任意用户登录；权限绕过；GETSHELL。

pageoffice代码审计 2022-12-20|java代码审计|代码审计

CNVD-2021-46862、CNVD-2019-27469漏洞审计

某云分发系统前台RCE代码审计和利用 2022-12-04|php代码审计|代码审计

前言

前段时间领导安排了一个任务，测试一个网站，要求找一下漏洞之类的。恰好找到了源码，因此就审计了一下。

primefaces 5.x 表达式注入(CVE-2017-1000486)代码审计和漏洞利用 2022-11-19|java代码审计|漏洞利用-代码审计-el表达式注入-硬编码

前言

2020年暑假刚学安全那会儿，去一个安全公司实习，负责做等保渗透。通过扫描器awvs扫到了一个primefaces5.x Expression Language inject漏洞。当时awvs爆了高危，百度一搜索，发现这个漏洞能够执行系统命令，当时开心了好久好久。但是就是不明所以，pfdrid值为嘛是这个，为什么请求参数里面带cmd就可以执行命令。

java反序列化学习-jsf viewstate反序列化漏洞利用 2022-11-13|java代码审计|漏洞利用-代码审计-java反序列化

前言

群里有师傅问XXX平台有没有日过，恰好我也是第一次知道这个系统，于是fofa找了一个语法，看了一下。

帮某师傅写的一个辅助查学生作业重复率的脚本(批量处理word) 2022-11-11|python3|python3-word批处理

前言

认识的一个师傅最近去一个学校给大学生讲课了，他想查一下学生之间是否有抄袭行为，因此帮助他完成了该脚本。