shiyan's Blog

Hack it, you must be Know it,Know it then Hack it。

0x00 在上上一篇文章中就计划对一个端口转发工具进行分析的,但是,由于自己懒的原因就一下子拖了好几个月,后来自己再分析的时候出现了分析的逻辑性错误,所以,求助了老P同志,所以转进入正轨。 工具名是 rtcp.py ,是2009年知道创...

发布 0 条评论

1. 安装包签名测试 jarsigner.exe -verify G:\soul.apk -verbose -certs sm 1091972 Fri Nov 30 00:00:00 CST 1979 resources.arsc X.509, CN=shijiu [证书的有效期为16-4-1 上午11:22至41-3-26 上午11:22] ...

发布 0 条评论

0x00 关于 mysql 下的写 shell 方法网上基本很多了,我原本也没打算总结总结的,毕竟网上已经很多了,不过在看 kilon 大佬的博客的时候,给我的感受就是明明一个几句话的东西,总能详细的,有条有理的记录下来,所以也正是如此,才有...

发布 1 条评论

0x00 这个cms是在一期周报里看到的,不过周报里是0.3版本的,而且是最简单的一个GET注入,所以响应上一篇审计ZZCMS时我在群里说过的豪言,像ZZCMS这样子的,给我来一打,我能打十个!(#斜眼笑。。。) 0x01 那我们根据他周报里出现的...

发布 1 条评论

0x00 好久都没有更新博客了,一直没有时间去整理。近期由于实习在信息收集上,老是得ping一下域名,看看域名和记录的iP是否为同一个,还有写报告的时候得把网站的标题给取出来写报告上,再者就是端口扫描了,每次都是重复这些操作,所...

发布 2 条评论

          今天是二零一七年的最后一天,我坐在家里的桌子上书写着这篇心情随笔。文章的标题音乐是“给未来的自己”,这个歌一开始我也没听说过,还是前几天漏洞银行的在线年度晚会上听到的,感觉不错就作为该文的背景音乐把。  还记...

发布 3 条评论

Burp Suite 文档 Burp Suite 文档 Burp 入门 启动 Burp 命令行参数 启动向导 选择一个工程 选择一个配置 从一个不同的Burp打开工程 界面&字体设置 浏览器设置 Burp 的基本使用 下一步 Burp 工程 工程文件 配置文件 用...

发布 0 条评论

0x01 关于日志分析这个主要是用于溯源,追查黑客的时候用的比较多,其实对于大公司来说,WAF的日志不光能抵御进攻,还能通过分析日志获取到一些不可多得的 0day 。 而对于像我这样的小个体来说,更多是查看攻击来源和攻击所发动的 pay...

发布 0 条评论

0x01   前言 法师的那本代码审计书,我也看到了关于十个报错注入那页(157-161),但是书上并没有特详细说明函数的意思还有剩下的都是点点就过了,再着我想到了 luanmap 就是纯粹的利用报错来注入的工具,所以我就想着整理整理关于 my...

发布 0 条评论

前言: 很早就想搞代码审计了,但是一直觉得自己其他方面还差很多,所以一直在各种补,虽说学的还没忘的快。这次选择ZZCMS8.1主要是当初,这个CMS自从离心小姐姐审计了一番后,然后我就看到吐司也有人审计,很多地方都开始审计,...

发布 0 条评论