“冰蝎”是什么？它是一款动态二进制加密网站管理客户端，它可以在HTTP明文协议中建立加密隧道，可以用于躲避传统的WAF、IDS等设备的检测。

关于《PhpStudyBackDoor》风波已经过去有一段时间了，由于前段时间一直忙于其它事情QAQ，今天有时间对该事件重新回溯&深度分析。*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径背景分析2019年9月20日，杭...

Smarty是一个PHP的模板引擎，提供让程序逻辑与页面显示（HTML/CSS）代码分离的功能。对于该框架的SSTI漏洞很多文章往往只是一笔带过，讲解的重心往往在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞...

SQL注入漏洞SQL注入漏洞产生原因及危害在sql查询中很多程序员会将变量拼接入sql语句后再进行查询，这样如果黑客在参数中插入其他sql语句就可能导致我们网站的密码被被黑客查询出来或者被拖取大量数据，如果在开发...

0x00 前言最近刷题碰到好几个关于php代码审计中session相关的问题，之前没有做过系统的总结，在此补一下锅。0x01 Session基础知识这里主要讲讲传统的PHP中的“服务端Session”。至于什么是服务端Session，什么是客...

ELF文件格式的相关知识是Linux下进行pwn以及reverse的基础，是二进制可执行文件的一种形式，下面我们通过一个ELF文件的生成，并结合其ELF文件结构分析一下一个二进制文件在系统中执行时与权限相关的一些ELF结构知...

前言zsx师傅tql！题目质量爆炸，三次出现每次都有完全不同的体验，但是又因为zsx师傅的wp有些地方有些省略，网上也没很好的wp，让人难以理解所以我这里就想整合一下三次的题目wp，加上自己的理解Docker你应该会玩...

蠕虫webshell虽然功能比较复杂，但是看懂了代码还是有机会进行防御和被他人利用的，还是有必要进行代码混淆的。历史文章：蠕虫webshell代码功能详情：基于AWD比赛的蠕虫webshell蠕虫webshell复活框架：基于AWD比赛...