跳跳龙的博客

一个记录心情和技术的小地方

2019 厦门 鼓浪屿

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 一直觉得自己就是个宅男,上大学的时候我曾经国庆十一连续十天待在宿舍,那个时候看着朋友圈(准确的说应该是qq空间吧)很多同学在晒自己出去玩的照片,那会觉得生活确实是多样性的。世界这么大,你不出去看看,你真的以为自己所生活的圈子就是世界。奈何在西电上大学的时候自己还是很心疼人民币的,为了买一台macbook pro,我真是用尽了力气在攒钱。...

XSS编码之我见

直接上我自己理解的干货 在浏览器发送请求的时候都会被浏览器使用URL编码的,这样做主要是为了避免你的参数里存在 & 受到影响。 浏览器里解析器的工作顺序为:HTML解析器 –> js解析器 –> url解析器 其中js解析器和url解析器是动态灵活对dom节点进行解析。所以准确的说,js解析器和url解析器是灵活变化 顺序是不固定的。但是一般都是html解析器...

记之前微信tickets的一次泄露

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 之前遇到过一次微信的tickets泄露问题,因为这个问题后来有人问过我,所以这里记录一下。 关于微信tickets,相信很多人都听说过。他的主要作用是可以实现本地微信唤醒。比如说我们用手机打开某个网页,经常在打开的一瞬间,页面会提醒你是否使用微信打开。 这个场景相信大家都遇到过。这里我理解的是微信这么做为了引流。 这个是一个请...

记一次应急的回顾

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 下午HIDS的webshell检测发现某台公网机器被黑。 通过HIDS所检测到的木马,利用菜刀登上服务器拉取日志。 确认app的日志,发现服务使用了nginx,在etc/nginx目录的配置文件中,发现了app的log文件目录。 使用菜刀下载。 通过分析第一次访问shell地址的ip即为攻击者ip的方法确定了ip。 然后在分析...

记录一下这几天上吐下泻的跳跳龙

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 明天就是本赛季火箭和勇士的最后一场常规赛,希望火箭能横扫勇士吧。从实力上来说火箭确实要比勇士差一些,但可能阵容上的风格和打法天克勇士,所以,勇士球迷们,这里对不起了,还是看好火箭。 上周末就开始期待比赛了,谁知自己当天就觉得恶心,想吐。终于酝酿了2个小时之后才成功吐出去,真可谓神清气爽啊。之后的周一周二还是比较痛苦,喝了2天的稀饭,瘦...

smali动态调试(Android Studio)

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 关于android逆向中,无非就是静态分析和动态调试2中大方法。由于android应用可以使用java层和c语言层,所以针对这2部分情况分别就是smali调试和so调试。关于这2中调试我都会记录一下如何配置,如何搭建环境以及如何分析调试。主要是为了实现备忘。这里呢我主要是看了四哥的大黄书,这里也推荐一下吧,可以购买四哥的《Android...

windows mysql udf提权笔录

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 1.解码sqlmap/udf 目录下的dll文件。 2.按照mysql的位数来确定。原文件是xor编码的,需要用sqlmap的解码工具。位置在sqlmap的extra目录下。 python cloak.py -d -i ../../udf/mysql/windows/64/lib_mysqludf_sys.dll_ 3.解码...

利用空白符绕过 palindrome ctf解析

在php语言中有很多的函数特性,本意是增加语言的灵活性,但是这些函数特性有时候组合到一起会引起一些和我们理所应当的东西有些违背,导致了安全问题。 这道题的源码: 想要输出flag就必须将$flag变量赋值到$info上,然后输出出来。 首先是要绕过is_numeric() 这里不能是数字。我们来看一下numeric的源码 这里对空白符进行跳过,目的是提高效率,这里没有NUL。 再来看...

android安全环境搭建

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 在 2018年11月30日 上张贴 由 tiaotiaolong 环境: Nexus5X Android 6.0.1 工具: CF-Auto-Root 下载地址:https://autoroot.chainfire.eu 请根据自己的手机型号进行选择 superSU 下载地址:https://autoroot.chainfire.e...

supervisor使用小记

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧) 自己经常使用supervisor,每次使用都是浪费很多时间才弄好,所以这次准备记录一个成型的配置文件和命令,节约时间。 ; Sample supervisor config file. ; ; For more information on the config file, please see: ; http://supervis...