Mi ManChi' Blog

我捻来一阵春风 春风也沉醉

某众测平台邀请码获取Writeup

许久没参加众测活动了,看到某众测新平台上线想去注册下结果混的太菜没人送邀请码,需要自行通过玩靶场拿flag获取邀请码。坑人的是靶场地址还得自己去找,就挺“NICE”的。找入口地址花了我一个多小时,整个过程除了找入口属实无聊 题目也相对简单都是常规渗透操作 整理记录一下。

阅读

fastjson反序列化漏洞python检测脚本

为方便检测fastjson反序列化漏洞,造了个python版的轮子 网上也有burp版的扩展插件

脚本检测流程:

  1. fastjson漏洞检测脚本
  2. 收集目前已公开1.2.23 -> 1.2.66版本payload
  3. 使用dnslog.cn查询结果
  4. 两种payload检测规则:常规 / unicode编码过waf

阅读

typecho无法登陆后台的解决办法

之前博客使用的certbot免费HTTPS忘记续签了,导致博客一段时间无法访问。现在使用的CF的“浏览器->CF服务器”方式实现HTTPS,又导致无法正常登陆后台,谷狗了一下两种解决办法:

阅读

一次普通的thinkPHP站点渗透纪实

基友扔过来一个安服项目的站,他人在出差要我帮忙看看,说随便蹭蹭就行如果进去了最好。我当然是希望能进去了,这样就可以在博客水一篇处女作了,于是我就开始裸奔。

0x01 初探

打开这个站,debug开了 还是tp5.1.29 用IP去访问显示lnmp搭建,disable_function只禁用了几个函数

阅读