darkless

yzmcms简介YzmCMS（以下简称本产品）采用面向对象方式自主研发的YZMPHP框架开发，它是一款开源高效的内容管理系统，产品基于PHP+Mysql架构，可运行在Linux、Windows、MacOSX、Solaris等各种平台上。其g

2021-08-18 web安全代码审计

yzmcms 代码审计

简介网络钓鱼攻击指的是攻击者尝试通过电子邮件、网站、短信或其他形式的电子通信窃取敏感信息，控制目标主机的行为。钓鱼攻击在被害者看起来像来自合法公司或个人的正式通信，往往被害者短期内无法知道自己已被攻击。根据Verizon Enterpri

2021-07-14 钓鱼

免杀钓鱼

MyBatis简介MyBatis 是一款优秀的持久层框架，它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原

2021-04-02 web安全 SQL注入

SQL注入 MyBatis

程序执行的本质当我们写完一段程序需要给电脑进行运行时，首先编译器需要将代码编译为CPU可以看懂的机器码然后装载到内存中，CPU读取到内存中的指令后就会执行其中的执行控制IO设备完成相应的工作。 CPU分为寄存器，运算器和控制器三部分。第一

2020-11-22 编程 c++

c++

php序列化与反序列化我们在开发的过程中常常遇到需要把对象或者数组进行序列号存储，反序列化输出的情况。特别是当需要把数组存储到mysql数据库中时，我们时常需要将数组进行序列号操作。序列化（串行化）：是将变量转换为可保存或传输的字符串的过

2020-09-29 web安全 php安全

php 反序列化

简介SaltStack是一种基于C/S架构的服务器基础架构集中管理平台，它是一种全新的基础设施管理方式，部署轻松，在几分钟内可运行起来，扩展性好，很容易管理上万台服务器，速度够快，服务器之间秒级通讯。Saltstack使用Python开发，

2020-08-11 web安全漏洞复现

SaltStack

首发于freebuf：https://www.freebuf.com/sectool/244962.html aria2简介aria2是一个轻量级多协议和多源命令行下载实用程序。它支持HTTP/HTTPS、FTP、SFTP、BitTor

2020-07-29 日常工具使用

aria2

前言2018年8月23号11:25分星期四，tp团队对于已经停止更新的thinkphp3系列进行了一处安全更新，经过分析，此次更新修正了由于select(),find(),delete()方法可能会传入数组类型数据产生的多个sql注入隐患

2020-06-07 web安全漏洞复现

SQL注入 thinkphp

前言蚁剑和菜刀一样是一款优秀的webshell管理工具（shell控制端），与菜刀相比，蚁剑具有开源，自定义能力强，跨平台等优点。在waf普遍的今天，蚁剑这款工具提供了自定义header，自定义body，自定义编码器和解码器等功能来bypa

2020-05-19 web安全安全工具

AntSword 蚁剑

前言在看了一个师傅写的 Discuz_X authkey安全性漏洞分析文章后，对其中的某些点还是有些模糊，于是决定下载DiscuzX3.3将authkey可爆破漏洞复现下，尽可能的说清楚复现的每一步及其利用的工具和脚本。漏洞详情 2017

2020-05-12 web安全漏洞复现

Discuz authkey

在审计一个名为熊海CMS的时候，发现了一处比较有趣的文件写入导致的getshell，所以记录一下分享出来。虽然利用条件有些鸡肋，但在遇到CMS安装页未删除并且可以重复安装的情况下倒是一个getshell的思路。关键代码如下： includ

2020-04-28 web安全漏洞挖掘

getshell

XXE简介在理解什么是XXE之前首先要知道什么是XML，XXE的全称为XML External Entity Injection，就是XML外部实体注入。XML是一种通用的数据交换语言，当处理数据时没有限制外部实体的使用，就可能会导致攻击者

2020-03-16 web安全漏洞复现

XXE