fly夏天

在开发中经常会遇见不同的参数需要执行不同函数。在可选项众多的情况下如果使用if/else逐个判断的话，会使代码极度丑陋，不够优雅。为了优美的实现他，我们可以用一些python的内建函数。1.这个地方的坑有很多。  即可，注：此时的 getattr(test,s)只是获取到了函数，...

先来看题目，题目说是php_unserialize可见是php序列化的题目。private $file = 'index.if ($this->file != 'index.//the secret is in the fl4g.$this->file = 'index.high...

之前参加了2019的强网杯，当时表现很菜，很多题都不会做。 后来发现buuoj.cn上有复现，以此重新复现一下这次的题目。 话不多说，开始今天的主题。一访问页面就是如下画面： 因此我们直接访问 url/www.tar.gz即可下载获得源码。 打开压缩包，发现有3000多个php文...

习惯性的后台扫描一下没有可以页面，看来目标就在这个上传功能上面了。尝试上传php文件，报错。这里我尝试传了一个图片马，能成功上传但是菜刀无法执行。f12检查源码，发现前端有一个js验证，有一个白名单过滤，只允许上传png或jpg文件。这里我们可以直接前端删除这段js函数。然后选择...

点击各个按钮发现除了一个index页面，没有别的变化。这里我尝试查看了源码，并没有发现啥有用的东西。只有一个可传参的参数page。拜读了大佬的攻略，才发现可以利用文件读写漏洞读取源码。page=php://filter/read=convert.base64-encode/res...

最近由于工作原因接触到阿里云的服务，我需要实时获取所有的域名信息，用于对其进行扫描，因此写了一个自动化爬取脚本 给需要的人分享。