LoRexxar's Blog | 信息技术分享

热度：

编号：15705

分类：行业信息

加入：2025-01-26 06:35:04

点入：2025-01-26 06:35:05

备案：-

名称：-

SEO更新时间
2025-01-26T06:35:10

百度权重：

0
百度移动：

0
360 权重： 360权重

0
搜狗权重：

访问网站

http://www.lorexxar.cn

举报/报错

网站标签
LoRexxar、 hexo、 blog、

网站描述
该站未曾设置description

下一篇：领克官网

seo综合信息

SEO信息百度来访IP：- | 移动端来访IP：- | 出站链接：0 | 站内链接：33

IP网速： IP地址：- 地址：- | 网速：844毫秒

ALEXA排名世界排名：- | 预估IP：- | 预估PV：-

备案信息 - | 名称：- | 已创建：未知

收录百度 360 搜狗谷歌

查询 0 0 0 0

电脑关键词手机关键词页面友好首页位置索引近期收录

0 0 电脑端优秀 - 0 0

服务器信息协议类型 HTTP/1.1 200 OK 页面类型 text/html 服务器类型 tencent-cos 程序支持连接标识消息发送 2024年9月25日 21时58分53秒 GZIP检测已启用GZIP压缩源文件大小 100.29KB 压缩后大小 24.86KB 压缩率 75.21%

网站快照
L o R e x x a r s B l o g | 信息技术分享  L o R e x x a r s B l o g | 信息技术分享  L o R e x x a r s B l o g | 信息技术分享热爱电子竞技的 W e b 🐕 / V i d a r t e a m / Q A X T i a n G o n g T e a m P H P C G I W i n d o w s 平台远程代码执行漏洞（ C V E 2 0 2 4 4 5 7 7 ）分析与复现在 2 0 2 4 . 6 . 6 今天， @ O r a n g e 在他的博客发布了他即将在 2 0 2 4 年 8 月 B l a c k H a t U S A 公开的议题《 C o n f u s i o n A t t a c k s : E x p l o i t i n g H i d d e n S e m a n t i c A m b i g u i t y i n A p a c h e H T T P S e r v e r ! 》 h t t p s : / / w w w . b l a c k h a t . c o m / u s 2 4 / b r i e f i n g s / s c h e d u l e / i n d e x . h t m l # c o n f u s i o n a t t a c k s e x p l o i t i n g h i d d e n s e m a n t i c a m b i g u i t y i n a p a c h e h t t p s e r v e r 4 0 2 2 7 伴随着议题的发布，今天在 D E V C O R E 的官方博客发布了一个漏洞通报，也就是存在于 w i n d o w s 特殊场景下的 P H P C G I 远程代码执行漏洞 h t t p s : / / d e v c o . r e / b l o g / 2 0 2 4 / 0 6 / 0 6 / s e c u r i t y a l e r t c v e 2 0 2 4 4 5 7 7 p h p c g i a r g u m e n t i n j e c t i o n v u l n e r a b i l i t y / 接下来看看漏洞的详情  2 0 2 4 / 0 6 / 1 1 p h p r c e 人与代码的桥梁聊聊 S A S T 自从人类发明了工具开始，人类就在不断为探索如何更方便快捷的做任何事情，在科技发展的过程中，人类不断地试错，不断地思考，于是才有了现代伟大的科技时代。在安全领域里，每个安全研究人员在研究的过程中，也同样的不断地探索着如何能够自动化的解决各个领域的安全问题。其中自动化代码审计就是安全自动化绕不过去的坎。而 S A S T 作为自动化代码分析的一种，有着其特有的定位以及作用，这篇文章我们就来聊聊静态分析的一些发展历程和思路。本篇文章其实在 2 年前曾经写过一次，在 2 年后的今天处于偶然的契机正好要写一篇相关的文章，所以重写了这部分内容，其中修正了不少在这期间内探索获取的新理念和思路，希望有价值。  2 0 2 3 / 1 2 / 1 8 s a s t J o e r n I n R e a l W o r l d ( 3 ) 致远 O A A 8 S S R F 2 R C E 致远 O A 是国内最有名的 O A 系统之一，这个 O A 封闭商业售卖再加上纷繁复杂的版本号加持下，致远 O A 拥有大量无法准确判断的版本。这篇文章的漏洞源于下面这篇文章，文章中提到该漏洞影响 A 8 , A 8 + , A 6 等多个版本，但很多版本我都找不到对应的源码，光 A 8 就有一万个版本，下面我们尽可能的复现漏洞和探索 J o e r n 的可能性 h t t p s : / / m p . w e i x i n . q q . c o m / s / Q W H H d Y x U e w _ y h l n A Q U v m R A  2 0 2 3 / 1 1 / 2 1 r c e s a s t j o e r n o a J o e r n I n R e a l W o r l d ( 2 ) J u m p s e r v e r 随机数种子泄露导致账户劫持漏洞（ C V E 2 0 2 3 4 2 8 2 0 ） J u m p s e r v e r 是一个开源的 d j a n g o 架构的堡垒机系统，由 l a w l i e t & z h i n i a n g p e n g ( @ e d w a r d z p e n g ) w i t h S a n g f o r 在上个月报送了这个漏洞 h t t p s : / / g i t h u b . c o m / j u m p s e r v e r / j u m p s e r v e r / s e c u r i t y / a d v i s o r i e s / G H S A 7 p r v g 5 6 5 8 2 q p 漏洞原理其实比较神奇，一个常用的第三方组件库 d j a n g o s i m p l e c a p t c h a 有泄露随机数种子的问题，再配合 J u m p s e r v e r 使用了错误的随机数方案导致了最终的漏洞。  2 0 2 3 / 1 0 / 2 6 s a s t j o e r n 深入浅出 J o e r n （四）不常用语法大全在深入了解 J o e r n 的源码以及设计的时候发现 J o e r n 其实实现了很多不常用语法，很多文档中没提到的东西，其实都有比较简洁实用的方式，但也从源码的设计中发现，其实 J o e r n 的设计理念也有很多问题，这个我们以后再写到。本篇内容可以结合 h t t p s : / / c p g . j o e r n . i o / 食用  2 0 2 3 / 1 0 / 2 0 s a s t j o e r n J o e r n I n R e a l W o r l d ( 1 ) A c u t a t o r s + C V E 2 0 2 2 2 1 7 2 4 这个系列会记录我用 J o e r n 复现真实漏洞的一些过程，同样也是对 J o e r n 的深入探索。这里我选用 J a v a s e c c o d e 的范例代码做第一部分，这篇文章记录了两个比较经典的漏洞 S p r i n g b o o t A c u t a t o r s 导致命令执行 p o s t g r e S Q L j d b c 反序列化漏洞 ( C V E 2 0 2 2 2 1 7 2 4 ) J o e r n 分析 J a v a 代码可以选择用代码文件夹也可以选择直接分析 j a r 包 1 i m p o r t C o d e ( . . / . . / j a v a s e c c o d e / t a r g e t / j a v a s e c c o d e 1 . 0 . 0 . j a r )  2 0 2 3 / 0 8 / 3 1 j a v a s a s t j o e r n 深入浅出 J o e r n （三） J o e r n 和 N e o 4 j 常用语法大全前两篇文章主要讲了 J o e r n 相关技术的设计原理，以及 C P G 的实际表现 h t t p s : / / l o r e x x a r . c n / 2 0 2 3 / 0 8 / 2 1 / j o e r n a n d c p g / h t t p s : / / l o r e x x a r . c n / 2 0 2 3 / 0 8 / 2 2 / j o e r n 2 / 在研究 J o e r n 和 N e o 4 j 的过程中，我遇到了一个相当大的问题，就是由于我对 O v e r f l o w D B 包括 s c a l a 和 c y p h e r 语言都不熟。 J o e r n 和 N e o 4 j 分别支持这几种冷门语言，而相应的文档其实没有解决我的问题。所以在继续研究 J o e r n 之前，先花时间简单记录一些 J o e r n 和 N e o 4 j 实用的语法和范例，给自己当个字典随时可以查阅。  2 0 2 3 / 0 8 / 2 4 s a s t j o e r n n e o 4 j 深入浅出 J o e r n （二） C P G 与图数据库在上篇文章里，我们从 J o e r n 入手大致介绍了 C P G ( C o d e P r o p e r t y G r a p h ) 的设计理念和简单逻辑 h t t p s : / / l o r e x x a r . c n / 2 0 2 3 / 0 8 / 2 1 / j o e r n a n d c p g / 但实际上来说，如果想要更深入的了解 J o e r n ， C P G 和图数据库是绕不开的一个话题。 C P G 作为一种代码属性图，就必须寻找一种图数据库作为载体，就像我们常用的数据和 S Q L 数据库的关系一样。旧版本的 J o e r n 使用的 G r e m l i n ，但后来的开发中换成了 O v e r f l o w D B ，在 j o e r n 中也完全支持使用 O v e r f l o w D B 的查询语法。 h t t p s : / / g i t h u b . c o m / S h i f t L e f t S e c u r i t y / o v e r f l o w d b 但属性图本身没有什么特异性，比较常见的比如 N e o 4 J ， O r i e n t D B 或者 J a n e s G r a p h 都支持 C P G 的表现形式。但，在这之前，我们首先需要知道，为什么是图？  2 0 2 3 / 0 8 / 2 2 s a s t j o e r n c p g 深入浅出 J o e r n （一） J o e r n 与 C P G 是什么？从人们开始探索代码扫描这件事情开始，市面上就在不断地诞生着各种各样的工具，经过了几年的演变以及发展，对于白盒代码扫描这件事情来说，大家的观念也在逐渐趋同。无论是基于 I R ( I n t e r m e d i a t e R e p r e s e n t a t i o n ) 、 A S T ( a b s t r a c t s y n t a x t r e e s ) 、 C F G ( c o n t r o l f l o w g r a p h s ) 、 P F G ( p r o g r a m d e p e n d e n c e g r a p h s ) ，又或者是其他的什么中间态。白盒代码扫描工具都在这个基础上做模拟执行、污点传播等等方案来分析挖掘漏洞。而随着 C o d e Q L 的概念逐渐被大家接受之后，现在的代码扫描工具越来越趋近于将底层和上层拆解开来，由底层的引擎将代码统一化处理，然后使用者在上层通过编写规则或者语句就可以。主流的 C o d e Q L 、 C h e c k m a r x 其实都使用了类似的方案。今天要说的 J o e r n 也是如此。今天介绍的 J o e r n 有什么特殊的呢？首先 C o d e Q L 本身不开源只能使用，偏偏微软还做了商业化限制，以微软喜欢秋后算账的风格来讲，实在无法确定深入研究 C o d e Q L 是否值得。除此之外，市面上的很多白盒扫描工具其实是非静态的，扫描的时候不但需要配置复杂的运行环境，而且本身可能依赖编译过程，无论是自己使用还是商业化这都非常不实用。个人认为白盒工具有着几个很重要的点静态扫描，静态扫描的优势和便利程度才是白盒比较优势的一环，毕竟白盒不是灰盒，如果对编译环境和运行环境有依赖那为什么不使用更准确的灰盒扫描速度，虽然这点是很多商业化白盒软件的通病，但无论在哪家公司的 D e v S e c O p s 中，最终目标肯定是把安全检测加载上线前，那么无论是 1 分钟、 3 分钟还是 5 分钟，扫描速度会是第一优先级，比如 C h e c k M a r x 动辄几小时的扫描肯定是不现实的可 d i y 性，当然对于大部分人来说这点其实并不是很重要，但能对引擎进行深入改造会是优化开发非常重要的一点， j o e r n 是开源的，在这方面他有很大的优势可拓展性，市面上大部分的白盒扫描工具动辄支持几十种语言，比如说 s n o a r q u b e 这种，但实际上大部分拓展语言只支持非常简单的正则拓展，我一直觉得现代白盒软件很重要的一条路就是走通用性，这也是比较有名的一些白盒工具都选择的路，在白盒扫描过程中会刻意将统一结构拆分出去再做分析扫描。今天介绍的 j o e r n 的其实就是这类工具的一员，他最大的特点其实就是开源。  2 0 2 3 / 0 8 / 2 1 s a s t j o e r n c p g 打造自己的 A I G C 应用（一）入门篇其实细数 A I 的发展历程非常之久，而让 A I 的应用一下子出现在人们眼前的其实就是 C h a t G P T 的出现，这意味着 A I G C 应用已经从概念为王变的非常实用了。伴随着 C h a t G P T 的出现，大量的开源大模型也如雨后春笋一样出现。就现在而言，打造一个自己的 A I G C 应用已经非常简单了。  2 0 2 3 / 0 7 / 1 9 a i g c 赛博偶像速成指南（三） M i d j o u r n e y 之前的几篇关于 A I 生成图片的文章讲的都是 s t a b l e d i f f u s i o n ，虽然 S D 出现的更早而且开源免费，但其实在设计圈使用更广泛的是 M i d j o u r n e y ， M i d j o u r n e y 最大的优点就是使用的便利性，任何一个不懂技术的设计都可以通 M i d j o u r n e y 来快速完成设计，而且 M i d j o u r n e y 的底层基础模型成熟度相当高，生成的图质量都很高。  2 0 2 3 / 0 6 / 2 1 c h a t g p t m i d j o u r n e y 赛博偶像速成指南（二） S D 进阶篇在第一篇关于 A I 绘图的文章中，我主要介绍了 s t a b l e d i f f u s i o n 的各种使用方法 h t t p s : / / l o r e x x a r . c n / 2 0 2 3 / 0 2 / 2 1 / c y b e r g i r l / 在 m i d j o u n r y 收费之后，除非你对 A I 绘图这个操作本身有强需求，否则在免费自建的 s t a b l e d i f f u s i o n 上做拓展就成了现在最好的解决方案。这篇文章就聊一些 s t a b l e d i f f u s i o n 的一些进阶操作和关键点。其中有不少还是很有意思的。  2 0 2 3 / 0 6 / 0 2 a i c g s d 从 0 到 1 的 C h a t G P T 进阶篇（五） E m b e d d i n g s 在前面的文章中，无论是各种 p r o m p t 技巧，又或者是对话技巧，更或者是各种数据集训练，都逃不开两个致命的问题。 1 、 C h a t G P T 只能处理文字 2 、无论是上下文参考，还是单条对话都有 t o k e n 限制所以在 C h a t G P T 中，很多应用方向遇到的第一个问题就是如何把问题用文字的方式描述出来，其中最典型的场景就是代码分析。所以 C h a t G P T 也鼓励使用 E m b e d d i n g s 来做类似搜索、分类或者异常检测的分析，这篇文章就讲讲这个。  2 0 2 3 / 0 5 / 2 5 c h a t g p t e m b e d d i n g s 从 0 到 1 的 C h a t G P T 进阶篇（四）训练自己的 C h a t G P T 在之前的文章中曾经提到过， C h a t G P T 其实是不接受来自互联网的知识的，他的所有内容都是来自于至少 3 年前各种来源的知识库。但这并不意味着 C h a t G P T 没有能力学习你的回答。首先 C h a t G P T 一般会根据你和他的问答内容进行一定的上下文参考，其次，由于 C h a t G P T 学习的内容之庞大，你通过一种直白的方式问不到的答案不一定是他不会，有可能是你问的方式不对。在 C h a t G P T 的官方文档中，他首先鼓励你通过提供多个示例来让 C h a t G P T 更准确的寻找答案，他把这个方案称之为 * * “ f e w s h o t l e a r n i n g . ” * * 除此之外，当然他也允许你通过微调功能来对 C h a t G P T 进行一定的训练，来获得一个更符合自己要求的 C h a t G P T ，当然，这个功能是收费的。但 F i n e t u n i n g 这个功能目前只能应用于 G P T 3 的基础模型，就目前而言，这个功能其实还不如很多市面上的其他大模型， o p e n a i 并没有给出特别好的自定义方案给大家。但这篇文章还是先聊聊这个。  2 0 2 3 / 0 5 / 1 9 c h a t g p t l l m 看上去不起眼的微信机器人以及公众号爬虫互联网发展零零散散都要 2 0 多年了，技术发展的重心也一直在演变。今天这篇文章很特别，起因是最近有一些关于微信机器人以及公众号爬虫的需求，本以为这种老透了需求其实现在根本不需要花什么时间精力去搞，结果没想到这个东西在过去的十几年里经过了很多次变化，于是决定记录下这篇文章，一方面是留个技术存档，另一方面也是想看看 1 0 年之前的技术相比现在和 1 0 年之后发生过又或者会发生什么的变化？  2 0 2 3 / 0 5 / 0 8 w e c h a t 从 0 到 1 的 C h a t G P T 进阶篇（三） C h a t G P T + ？在我们对 C h a t G P T 的基础能力有了一定的了解之后，我们就要开始在 C h a t G P T 的基础上探索更多的可能性。而 C h a t G P T 本身的问题也很多， C h a t G P T 在使用上最大也最明显的革命，其实是对自然语言的处理能力，抛开太多专业性的术语，你在使用的过程中也能明显感觉到， C h a t G P T 甚至在某些方面有着比正常人更厉害的解读能力，它可以把一段模糊的要求和文字解读成需求，最牛逼的是它还支持中文，毕竟理论上中文的自然语言处理难度是几个量级。  2 0 2 3 / 0 4 / 2 8 c h a t g p t 从 0 到 1 的 C h a t G P T 入门篇（二）如何与 C h a t G P T 对话？在上篇文章的结尾，我提到了 C h a t G P T 其实更像是一把铲子，在拥有这把铲子之前，我们只知道可以把土堆成房子，但是不知道用什么把土堆起来，但在有了这把铲子之后，铲土只是铲子最直白的利用，如何用铲子堆一个又大又漂亮的房子可能我们还不知道，但至少我们现在已经开始尝试做这样的事情了。其实从 C h a t G P T 诞生至今，所有从事相关研究的朋友都在努力的在 C h a t G P T 上探索各种各样的使用方式，甚至现在已经诞生了所谓的 p r o m p t 工程师。这篇文章就聊聊很多现在已有的关于 C h a t G P T 使用的技巧。  2 0 2 3 / 0 4 / 2 6 c h a t g p t 从 0 到 1 的 C h a t G P T 入门篇在 2 0 2 3 年年初， C h a t G P T 像一颗流星一样突然出现在大家的面前，围绕 C h a t G P T 的探索也以各种各样的方式出现在大家的面前。相比基于 C h a t G P T 的探索， o p e n a i 的平台和国内的对抗反倒在潜移默化的升级，我没有了解过 o p e n a i 到底有什么样的背景导致一直执着于国内使用者的封禁，这篇文章就先讲讲我在这个过程的所有探索以及相应的解决方案吧。  2 0 2 3 / 0 4 / 1 4 c h a t g p t 赛博偶像速成指南随着 C h a t G P T 的爆火，最近和人工智能有关的各个部分也有一次爆火起来，由 a i 制成的美少女也是最近的一个爆火的话题，花了一点儿时间了解了一下，感觉还挺有意思的，现有的工具已经是非常成熟可用的东西了，接下来简单介绍一下怎么玩  2 0 2 3 / 0 2 / 2 1 C S X s s 2 R c e C V E 2 0 2 2 3 9 1 9 7 分析与复现前段时间这个漏洞被挖掘出来之后的时候还是引发了很多关注的，但是最初一直都没有什么像样的分析文章出来，最早看 @ 漂亮鼠的文章之后才大体上对这个漏洞有了一个基本的认识。 h t t p s : / / m p . w e i x i n . q q . c o m / s / l 5 e 2 p _ W t Y S C Y Y h Y E 0 l z R d Q 但是不知道是我的 j a v a 水平真的不够，又或者说这篇文章中隐去的部分太多了，我顺着文章研究了一段时间但是几个点都串不起来。后来又接二连三的看了几篇文章，直到看完 @ p a n g 0 l i n 才算是把逻辑串联起来许多 h t t p s : / / m p . w e i x i n . q q . c o m / s ? _ _ b i z = M z k z N j M x N D M 0 M g = = & m i d = 2 2 4 7 4 8 5 4 5 0 & i d x = 1 & s n = 5 6 6 2 a 9 f 2 c 0 8 1 f c 8 5 2 1 e e e 6 5 1 b 3 5 7 3 2 3 f & c h k s m = c 2 a 1 d c 8 3 f 5 d 6 5 5 9 5 7 c f 2 a 1 c 8 8 a d f 4 5 c d 0 d 0 2 8 3 1 6 f 5 3 6 e 0 a 8 a 1 8 c 9 e 7 c b 0 4 4 0 8 6 9 e d 4 0 7 7 8 2 2 c e 8 & m p s h a r e = 1 & s c e n e = 1 & s r c i d = 1 0 1 7 P F O r q u x i v F M 2 c k 4 P r l 9 m & s h a r e r _ s h a r e t i m e = 1 6 6 5 9 9 3 6 9 8 4 8 0 & s h a r e r _ s h a r e i d = 8 c 0 8 5 8 e 0 6 f e e 9 d 6 0 7 c 6 8 5 2 1 b 3 9 4 9 c 3 e 9 # r d 这篇文章不知道什么时候发出来，主要是记录一下整个复现分析的心路历程，以便以后需要的时候没处看。  2 0 2 2 / 1 1 / 0 2 j a v a c s C V E 2 0 2 2 3 9 1 9 7 1 2 3 … 1 1 N E X T > L o R e x x a r 带着对技术的敬畏之心成长，不安于一隅 . . . F R I E N D S G i t H u b A B O U T M E S E A R C H P o w e r e d b y H e x o  t h e m e A r c h e r 京 I C P 备 2 0 2 1 0 0 4 6 5 2 号 1 P V : : )  A r c h i v e  T a g  C a t e T o t a l : 2 0 6 2 0 2 4 0 6 / 1 1 P H P C G I W i n d o w s 平台远程代码执行漏洞（ C V E 2 0 2 4 4 5 7 7 ）分析与复现 2 0 2 3 1 2 / 1 8 人与代码的桥梁聊聊 S A S T 1 1 / 2 1 J o e r n I n R e a l W o r l d ( 3 ) 致远 O A A 8 S S R F 2 R C E 1 0 / 2 6 J o e r n I n R e a l W o r l d ( 2 ) J u m p s e r v e r 随机数种子泄露导致账户劫持漏洞（ C V E 2 0 2 3 4 2 8 2 0 ） 1 0 / 2 0 深入浅出 J o e r n （四）不常用语法大全 0 8 / 3 1 J o e r n I n R e a l W o r l d ( 1 ) A c u t a t o r s + C V E 2 0 2 2 2 1 7 2 4 0 8 / 2 4 深入浅出 J o e r n （三） J o e r n 和 N e o 4 j 常用语法大全 0 8 / 2 2 深入浅出 J o e r n （二） C P G 与图数据库 0 8 / 2 1 深入浅出 J o e r n （一） J o e r n 与 C P G 是什么？ 0 7 / 1 9 打造自己的 A I G C 应用（一）入门篇 0 6 / 2 1 赛博偶像速成指南（三） M i d j o u r n e y 0 6 / 0 2 赛博偶像速成指南（二） S D 进阶篇 0 5 / 2 5 从 0 到 1 的 C h a t G P T 进阶篇（五） E m b e d d i n g s 0 5 / 1 9 从 0 到 1 的 C h a t G P T 进阶篇（四）训练自己的 C h a t G P T 0 5 / 0 8 看上去不起眼的微信机器人以及公众号爬虫 0 4 / 2 8 从 0 到 1 的 C h a t G P T 进阶篇（三） C h a t G P T + ？ 0 4 / 2 6 从 0 到 1 的 C h a t G P T 入门篇（二）如何与 C h a t G P T 对话？ 0 4 / 1 4 从 0 到 1 的 C h a t G P T 入门篇 0 2 / 2 1 赛博偶像速成指南 2 0 2 2 1 1 / 0 2 C S X s s 2 R c e C V E 2 0 2 2 3 9 1 9 7 分析与复现 0 4 / 1 4 S C A 的困境和出路 0 3 / 2 1 人生的第二个可能 ~ 2 0 2 1 1 2 / 1 0 l o g 4 j 2 J N D I 注入漏洞速通 ~ 0 8 / 1 7 从 0 开始入门 C h r o m e E x t 安全（三）你所未知的角落 C h r o m e E x t 安全 0 8 / 1 7 D e v S e c O p s 究竟需要怎样的白盒？ 0 8 / 0 6 区块链安全罪与罚浅谈区块链与安全发展史 0 5 / 1 9 创宇四年 0 4 / 1 6 反制 W e b d r i v e r 从 B o t 到 R C E 进发 0 3 / 0 9 通达 O A 代码审计篇二 1 1 . 8 后台 G e t s h e l l 0 3 / 0 3 通达 O A 代码审计篇 1 1 . 7 有条件的任意命令执行 0 2 / 0 5 如何自动化挖掘 p h p 反序列化链 p h p u n s e r i a l i z e c h a i n 诞生记 0 1 / 2 8 为被动扫描器量身打造一款爬虫 L S p i d e r 2 0 2 0 1 0 / 3 0 构造一个 C o d e D B 来探索全新的白盒静态扫描方案 0 9 / 2 1 从 0 开始聊聊自动化静态代码审计工具 0 7 / 1 4 G e e k p w n 2 0 2 0 云端挑战赛 N o x s s & u m s g 0 7 / 0 8 从反序列化到类型混淆漏洞记一次 e c s h o p 实例利用 0 6 / 1 0 R o u n d c u b e m a i l 3 X s s 0 5 / 2 9 R o u n d c u b e m a i l 代码审计笔记 0 5 / 1 1 空指针 B a s e o n w i n d o w s W r i t e u p 最新版 D Z 3 . 4 实战渗透 0 2 / 0 3 从 0 开始入门 C h r o m e E x t 安全（番外篇） Z o o m e y e T o o l s 0 1 / 1 4 C S S T | M y s q l C l i e n t 任意文件读取攻击链拓展 2 0 1 9 1 2 / 3 0 p w n h u b 被污染的 J a d e 1 2 / 0 5 从 0 开始入门 C h r o m e E x t 安全（二）安全的 C h r o m e E x t 1 1 / 2 2 从 0 开始入门 C h r o m e E x t 安全（一）了解一个 C h r o m e E x t 1 0 / 2 5 P H P f p m 远程代码执行漏洞 ( C V E 2 0 1 9 1 1 0 4 3 ) 分析 0 9 / 2 3 从零开始学 j a v a w e b s t r u t s 2 R C E 分析 0 7 / 2 3 C V E 2 0 1 9 1 1 2 2 9 详细分析 g i t c o n f i g 可控 R C E 0 7 / 1 0 R e d i s 基于主从复制的 R C E 利用方式 0 6 / 1 2 M y b b 1 8 . 2 0 F r o m S t o r e d X S S t o R C E 分析 0 5 / 2 8 M I M I C D e f e n s e C T F 2 0 1 9 f i n a l w r i t e u p 0 4 / 1 9 D r u p a l 1 c l i c k t o R C E 分析 0 3 / 1 4 聊聊 W o r d P r e s s 5 . 1 . 1 C S R F t o R C E 漏洞 0 2 / 2 2 W o r d p r e s s 5 . 0 R C E 详细分析 2 0 1 8 1 2 / 0 7 D i s c u z x 3 . 4 前台 S S R F 分析 1 2 / 0 7 C o d e B r e a k i n g 挑战赛 W r i t e u p 1 2 / 0 1 以太坊智能合约审计 C h e c k L i s t 1 1 / 2 0 L C T F 2 0 1 8 g g b a n k 薅羊毛实战 1 1 / 1 6 从 D V P G A M E 到变量覆盖问题 1 1 / 1 4 H C T F 2 0 1 8 部分 W e b 题目 W r i t e u p 1 1 / 1 2 H C T F 2 0 1 8 智能合约两则 W r i t e u p 1 1 / 0 8 “ 以太坊智能合约编码隐患 ” 影响分析报告 1 0 / 1 8 智能合约游戏之殇 — — D i c e 2 w i n 安全分析 0 9 / 2 5 “ 以太坊智能合约编码设计问题 ” 影响分析报告 0 9 / 1 4 b l o c k w e l l . a i 虚假转账事件分析 0 9 / 0 6 “ 以太坊智能合约编码安全问题 ” 影响分析报告 0 8 / 2 4 智能合约游戏之殇类 F o m o 3 D 攻击分析 0 8 / 2 2 “ 以太坊智能合约设计缺陷问题 ” 影响分析报告 0 8 / 1 4 “ 以太坊智能合约规范问题 ” 影响分析报告 0 7 / 1 3 w c t f 2 0 1 8 c y b e r m i m i c d e f e n c e W r i t e u p 0 5 / 3 1 0 C T F / T C T F 2 0 1 8 F i n a l W e b W r i t e u p 0 5 / 2 3 R C T F 2 0 1 8 W e b W r i t e u p 0 4 / 2 0 基于 S e r v i c e W o r k e r 的 X S S 攻击面拓展 0 4 / 1 7 T C T F / 0 C T F 2 0 1 8 h 4 x 0 r s . s p a c e W r i t e u p 0 4 / 1 0 T C T F / 0 C T F 2 0 1 8 h 4 x o r s . c l u b 2 W r i t e u p 0 4 / 0 5 T C T F / 0 C T F 2 0 1 8 部分 W e b W r i t e u p 0 4 / 0 5 T C T F / 0 C T F 2 0 1 8 X S S b l 0 g W r i t e u p 0 3 / 2 6 强网杯 2 0 1 8 W e b w r i t e u p 0 2 / 2 3 吐槽 H C T F 2 0 1 7 0 2 / 0 7 从补丁到漏洞分析记一次 j o o m l a 漏洞应急 0 1 / 1 9 D e D e C M S v 5 . 7 密码修改漏洞分析 0 1 / 0 2 3 4 c 3 W e b 部分 W r i t e u p 2 0 1 7 1 2 / 1 9 W o r d P r e s s U p d r a f t p l u s 插件漏洞 2 则以及一些有趣的故事 1 1 / 1 5 H C T F 2 0 1 7 b a b y c r a c k W r i t e u p 1 1 / 1 5 H C T F 2 0 1 7 D e s e r t e d p l a c e W r i t e u p 1 1 / 1 5 H C T F 2 0 1 7 A W o r l d R e s t o r e d W r i t e u p 1 1 / 1 0 H I T C O N 2 0 1 7 w r i t e u p 整理 1 0 / 2 6 t y p e c h o 前台 g e t s h e l l 漏洞分析 1 0 / 2 5 前端防御从入门到弃坑 C S P 变迁 1 0 / 2 5 W o r d P r e s s 安全架构分析 0 9 / 3 0 D i s c u z ! X 3 . 4 任意文件删除漏洞分析 0 8 / 3 1 阿里先知 x s s 挑战赛 W r i t e u p 0 8 / 3 1 D i s c u z _ X a u t h k e y 安全性漏洞分析 0 8 / 2 3 从瑞士军刀到变形金刚 X S S 攻击面拓展 0 8 / 1 5 p w n h u b 改行做前端 0 7 / 2 6 f i n e c m s 分析 0 7 / 2 3 x s s g a m e w r i t e u p 0 7 / 2 0 F i n e C M S m u l t i v u l n e r a b l i t y b e f o r e v 5 . 0 . 9 0 7 / 1 1 S o m e V u l n e r a b i l i t y f o r F i n e C M S t h r o u g h 2 0 1 7 . 7 . 1 1 0 7 / 1 1 第十届信息安全国赛 W e b M I S C w r i t e u p 0 7 / 0 7 W o r d P r e s s W P S t a t i s t i c s a u t h e n t i c a t e d x s s V u l n e r a b i l i t y ( W P S t a t i s t i c s 0 6 / 1 6 0 c t f 2 0 1 7 f i n a l 0 5 / 2 3 R C T F 2 0 1 7 w e b w r i t e u p 0 5 / 1 6 通过浏览器缓存来 b y p a s s C S P s c r i p t n o n c e 0 5 / 1 2 P l a i d C T F 2 0 1 7 w e b w r i t e u p 0 5 / 1 2 x s s b o t 从入门到弃坑 0 5 / 0 9 C S P I s D e a d , L o n g L i v e C S P ! 翻译 0 4 / 2 4 p w n h u b 绝对防御出题思路和反思 0 4 / 2 1 S h a d o w B r o k e r s 大新闻整理 0 4 / 2 1 3 6 0 春秋杯 2 0 1 7 w r i t e u p 0 4 / 1 8 b c t f 2 0 1 7 w e b 部分 w p 0 3 / 2 7 p w n h u b 之小 m 的复仇 0 3 / 2 1 0 c t f 2 0 1 w e b 部分 w r i t e u p 0 3 / 1 3 N J C T F W e b 部分 w r i t e u p 0 3 / 0 5 p w n h u b _ a n o t h e r p h p w e b 部分 0 2 / 2 7 z c t f 2 0 1 7 w r i t e u p 0 2 / 2 0 p w n h u b 打开电脑 0 2 / 1 6 有趣的 c d n b y p a s s C S P 0 1 / 2 6 聊聊 h c t f 2 0 1 6 0 1 / 1 7 p w n h u b 深入敌后 0 1 / 0 3 3 3 c 3 2 0 1 6 w r i t e u p 2 0 1 6 1 2 / 2 8 p h p m a i l e r R C E 漏洞分析 1 2 / 2 6 p w n h u b _ 迷 1 2 / 2 4 浅谈 x s s 的后台守护问题 1 2 / 1 8 p w n h u b _ 找朋友 1 2 / 1 8 p w n h u b _ 拍卖行 1 2 / 1 0 p w n h u b _ W T F _ w r i t e u p 1 2 / 0 7 u s i n g p o l y g l o t J P E G s b y p a s s C S P 分析 1 2 / 0 3 通过 r e d i s g e t s h e l l 的一些小问题 1 2 / 0 1 h c t f 2 0 1 6 简单部分 W E B & & m i s c w r i t e u p 1 1 / 3 0 h c t f 2 0 1 6 g u e s t b o o k & s e c r e t a r e a w r i t e u p 1 1 / 2 9 H C T F 2 0 1 6 A T F i e l d w r i t e u p 1 1 / 1 9 h c t f 2 0 1 6 g i l i g i l i w r i t e u p 1 0 / 3 1 C S P 进阶 3 0 2 B y p a s s C S P 1 0 / 2 8 C S P 进阶 l i n k B y p a s s u n s a f e l i n e 1 0 / 2 6 什么是 c t f 呢？ 1 0 / 1 1 h i t c o n 2 0 1 6 m i s c w r i t e u p 1 0 / 1 0 h i t c o n 2 0 1 6 w e b w r i t e u p 1 0 / 0 3 L c t f 2 0 1 6 W r i t e u p 0 9 / 1 4 p h p 伪协议 0 9 / 1 1 华山杯 2 0 1 6 _ w r i t e u p 0 8 / 2 9 c r y p t o 简单的 R S A 0 8 / 1 8 s q l m a p 源码分析（四）开始注入 0 8 / 1 6 s q l m a p 源码分析（三）在注入之前 0 8 / 1 1 s q l m a p 源码分析（二）初始化 0 8 / 0 9 s q l m a p 源码分析（一）开始、参数解析 0 8 / 0 8 C S P L e v e l 3 浅析 & 简单的 b y p a s s 0 8 / 0 7 p y t h o n v i r t u a l e n v 沙盒命令 0 8 / 0 1 X N U C A 2 0 1 6 W r i t e u p 0 7 / 2 1 p y t h o n t q d m 模块分析 0 7 / 1 8 s h e l l 上一些有趣的命令 0 7 / 1 7 s a n g e b a i m a o 之火币网 0 7 / 1 2 信息安全国赛技能赛 W r i t e u p 0 6 / 2 6 一个有趣的东西 c l o u d e y e 0 6 / 1 7 s a n g e b a i m a o 之招聘又开始了，你怕了吗？ 0 6 / 0 6 a l i c t f 2 0 1 6 _ w e b _ w r i t e u p 0 6 / 0 4 s a n g e b a i m a o 寻找来自星星的你一 0 5 / 2 7 在 p h p o p c a c h e 检测隐藏的后门程序 0 5 / 1 2 p h p w e b s h e l l 各种函数 0 5 / 1 0 A s i s 2 0 1 6 _ B i n a r y C l o u d 0 5 / 0 9 s c t f 2 0 1 6 _ w r i t e u p 0 5 / 0 5 d o c k e r f i l e ( ・ ω ・ ) ノ 0 5 / 0 4 d o c k e r 基础操作 0 5 / 0 2 g o o g l e _ c t f 2 0 1 6 _ w r i t e u p 0 4 / 2 5 C C T F 2 0 1 6 _ w r i t e u p 0 4 / 2 0 g i f b y p a s s C S P ? 0 4 / 1 1 j 1 2 3 j t 的聊天板大型 w p 0 4 / 1 1 s c t f q 1 _ O b f u s i o n _ w r i t e u p 0 4 / 0 8 i n p u t 属性 b y p a s s c s p 0 4 / 0 6 h c t f g a m e _ l l 的流量分析题 0 4 / 0 4 i s _ n u m e r i c 和 t r i m 导致的判断绕过 0 3 / 3 0 w e b _ f o r _ p e n t e s t _ I I w r i t e u p 0 3 / 2 2 b c t f 2 0 1 6 0 3 / 1 4 h c t f _ g a m e _ w e e k 4 + 5 _ w r i t e u p 0 3 / 1 4 0 c t f 2 0 1 6 & & s u n s h i n e c t f 2 0 1 6 w r i t e u p 0 3 / 0 7 b k p 2 0 1 6 _ w r i t e u p 0 3 / 0 5 h e x o 转移到 c o d i n g 配置 0 3 / 0 1 s s c t f 2 0 1 5 _ w r i t e u p 0 2 / 2 9 h c t f _ g a m e _ w e e k 3 _ w r i t e u p 0 2 / 2 8 l d p a 简单注入 0 2 / 2 8 t i t a n s o u l s 普通模式通关攻略 0 2 / 1 8 简单的 g i t 教程 0 2 / 1 8 h c t f _ g a m e _ w e e k 2 _ w r i t e u p 0 2 / 1 8 h c t f _ g a m e _ w e e k 1 _ w r i t e u p 0 2 / 1 8 h c t f _ g a m e _ w e e k 0 _ w r i t e u p 2 0 1 5 1 2 / 2 1 《代码审计》一点儿笔记 1 2 / 1 9 h c t f 2 0 1 5 的一点儿记录 1 1 / 1 9 x s s l i n k & s v g 黑魔法 1 1 / 1 9 S Q L 显错注入 1 1 / 1 7 I S G 2 0 1 5 _ w r i t e u p 1 1 / 1 7 R C T F 2 0 1 5 _ w r i t e u p 1 1 / 0 2 S P W C & 华山杯？ w r i t e u p 1 0 / 2 4 关于 s q l i 注入的特殊函数 1 0 / 0 4 X D C T F 2 0 1 5 w r i t e u p 0 9 / 2 8 N s c t f 2 0 1 5 _ W r i t e u p 0 7 / 0 2 x s s 无声挑战赛 _ w r i t e u p 0 6 / 1 1 c t f 近期总结 0 5 / 2 2 W i n d o w s H e x o 博客安装配置优化（小白篇） 0 5 / 2 1 H d u i s a _ c t f _ w e e 4 _ f u c k s q l 0 5 / 1 0 W e b f o r p e n t e s t e r _ w r i t e u p 0 2 / 2 6 H d u i s a _ c t f _ w r i t e u p 0 2 0 2 / 2 6 H d u i s a _ c t f _ w r i t e u p 0 1 0 2 / 2 6 （转）十年学会程序设计 0 1 / 2 2 0 基础如何学好 W E B （转） 2 0 1 4 1 2 / 3 1 凤凰挽歌，黑客独白（作者：我是老鹰 & 炫凤舞） 1 2 / 2 9 （转）学长们给我们的书目（结尾附上 P D F 地址） 1 2 / 2 9 菜鸟小白的开始 . . .  c t f  B l o g s  s q l i  C S P  x s s  j a v a  c s p  s s r f  r e d i s  p o s t M e s s a g e  p d f l a t e x  c s r f  o p c a c h e  n o d e j s  r a c e  H e x o  c v e  S h a d o w B r o k e r s  0 d a y  w i n d o w s  a i g c  p h p  c  c u r l  e t h  b l o c k c h a i n  R e p r i n t  b o o k s h e l f  c h a t g p t  l l m  e m b e d d i n g s  c h r o m e  c h r o m e _ e x t  c h r o m e e x t  c m d  s h e l l  l i n u x  w e b d r i v e r  d n s  c l o u d e y e  n o d e  c r y p t o  R S A  r a b i n s  c s  C V E 2 0 2 2 3 9 1 9 7  c o n t r a c t  m y s q l  p h p m a i l e r  a i c g  s d  d e d e c m s  逻辑漏洞  m i d j o u r n e y  d e v s e c o p s  w h i t e b o x  智能合约  b o o k _ n o t e s  d o c k e r  d v p  p h a r  r c e  c t f w e b  漏洞分析  d z  F o m o 3 D  g i t  反序列化漏洞  类型混淆漏洞  e c s h o p  a c c e s s  伪协议  E s s a y  c h e c k l i s t  h c t f  m i s c  p h p o p c a c h e  e a s s y  j s r e  c l r f  s a s t  j o e r n  c p g  s t r u t s 2  n e o 4 j  o a  白盒  i n j e c t i o n  随笔  d j a n g o  L S p i d e r  爬虫  l o g 4 j 2  j n d i  m i m i c  p w n h u b  f l a s k  格式化字符串  模板注入  j s  w g e t  w e b l o g i c  l f i  p w n  f a s t c g i  s s h _ s o c k 5  L F I  w i n s e r v e r 信息收集  m s f  l c x 端口转发  I P C 通道入侵  p y t h o n  t q d m  v i r t u a l e n v  o p e n _ b a s e d i r  c r o n t a b  r o u n d c u b e  s a n g e b a i m a o  参数污染  C B C  L D _ P R E L O A D  g o p h e r  f c g i  p h p 伪协议  f i l e _ p u t _ c o n t e n t s  s c a  E s s r y  s q l m a p  g a m e  t i t a n _ s o u l s  t o n g d a  b l o g  w e c h a t  静态分析  S A S T  t o o l s  w o r d p r e s s  条件竞争  代码审计  缺失模块，请参考主题文档进行安装配置： h t t p s : / / g i t h u b . c o m / f i 3 e w o r k / h e x o t h e m e a r c h e r # % E 5 % A E % 8 9 % E 8 % A 3 % 8 5 % E 4 % B 8 % B B % E 9 % A 2 % 9 8  B l o g s  R e p r i n t 

站点概括
关于www.lorexxar.cn说明：
www.lorexxar.cn由网友主动性提交被自动秒收录整理收录的，自动秒收录仅提供www.lorexxar.cn的基础信息并免费向大众网友展示，www.lorexxar.cn的是IP地址：- 地址：-，www.lorexxar.cn的百度权重为0、百度手机权重为0、百度收录为0条、360收录为0条、搜狗收录为0条、谷歌收录为0条、百度来访流量大约在-之间、百度手机端来访流量大约在-之间、www.lorexxar.cn的备案号是-、备案人叫-、被百度收录的关键词有0个、手机端关键词有0个、该站点迄今为止已经创建未知。

内容声明：
1、本站收录的内容来源于大数据收集，版权归原网站所有！
2、本站收录的内容若侵害到您的利益，请联系我们进行删除处理！
3、本站不接受违规信息，如您发现违规内容，请联系我们进行清除处理！
4、本文地址：http://p6u.msl8.com/links/c313b5a98c1d2d50b1f0.html，复制请保留版权链接！

温馨小提示：在您的网站做上本站友情链接,访问一次即可自动收录并自动排在本站第一位！

SEO信息	百度来访IP：- \| 移动端来访IP：- \| 出站链接：0 \| 站内链接：33
IP网速：	IP地址：- 地址：- \| 网速：844毫秒
ALEXA排名	世界排名：- \| 预估IP：- \| 预估PV：-
备案信息	- \| 名称：- \| 已创建：未知

电脑关键词	手机关键词	页面友好	首页位置	索引	近期收录
0	0	电脑端优秀	-	0	0

收录	百度	360	搜狗	谷歌
查询	0	0	0	0

更换肤色

LoRexxar's Blog | 信息技术分享