分类目录学习笔记

雨课堂考试异常检测绕过分析

刚好前几天有一场考试,之前就听说过雨课堂好像搞了作弊检测什么的。但之前没有测试账号,但是考试的时候又不敢直接去开控制台调试。所以我就用Charles做了一份流量镜像,考完试之后再复盘分析的。分析的过程中还顺手挖到了雨课堂的存储XSS,哈哈。

先说结论:雨课堂的这个JS真的很辣鸡,绕过思路也很简单。

阅读更多

Chrome商店因疫情影响延迟审核插件,请在博客上更新插件v1.6版本

Chrome store delayed review plugin due to outbreak impact, please update plugin v1.6 version on blog.

ps:最近插件插件一直更新不到商店里,谷歌总是发邮件告诉我 ghs ??,我裂开了。不知道大家有没有什么办法,知道的小伙伴可以给我留言。

下载链接:

1.如果是Chrome (谷歌)浏览器,下载zip后解压加载

Pornhub视频下载插件v1.6.zip

本地加载插件的方法:

url地址栏打开    chrome://extensions/

2.chrome内核的浏览器(例如360,360极速这类浏览器)下载下面crx的版本拖入浏览器即可

pornhub视频下载插件v1.6.crx

1.6版本对UI进行了优化,可以用插件直接下载并获取视频名称并复制视频链接,修复了一些bug,如图。

补充一下:

插件提取出链接,但是无法下载视频的,梯子请开全局代理,还是不行的话可能是ssr节点的问题。

冰蝎v2.0.1-动态二进制加密网站管理客户端源码分析

最近做到一道笔试题是关于冰蝎的,问题是

上传webshell使用冰蝎进行连接时报错,可能的原因有哪些

由于之前挖洞的时间比较少,所以我对webshell管理工具的使用还停留在菜刀和Cknife。所以先在谷歌上看了一些冰蝎的文章。虽然作者在先知平台发过了几篇文章介绍了冰蝎的使用,网上其他的文章则是关于冰蝎流量检测的文章。但是作者并没有在GitHub上公开源码,因为是用java写的,所以我在下载了之后扔到jd-gui里面看源码,还好作者也没有混淆。那么我就趁此机会阅读一下冰蝎的源码,学习作者的思路。

PS:由于我目前大三,能力方面有所欠缺。对冰蝎源码的阅读分析可能与原作者有所出入,本文仅为我对工具源码学习的思路,不足之处还望各位师傅批评指正。

阅读更多

双十一购物中的博弈思考

双十一才过不久,不知道小伙伴们有没有剁手。我感觉平时也不缺什么就没有买很多东西。因为平时经常打印各位师傅的文章,而每次都要去学校的打印店觉得太麻烦了,所以一直就想自己买台打印机放寝室里,看到各位师傅优秀的文章就直接打印出来慢慢品味。所以在双十一当天决定入手一台,,这个文章就是我在买打印机时的一些博弈思考,最后以最低的价格买到了。

阅读更多

学妹和我讨论Py编程题后,我决定入坑LeetCode

大概一周前,一位大数据学院的小学妹加了我好友,然后开始向我请教各种Python编程题虽然题目都很简单,但是我不禁感叹,大一刚进校就开始这么拼了么?我知道她问的题很多都是LeetCode上面的算法题,但是我都大三了,还没刷过LeetCode,有点惭愧。这篇文章主要是整理我给她讲过的题目的思路。提醒自己记得多刷算法题,不然以后都不敢给学妹讲题了orz。

阅读更多

Php调用Python脚本踩过的一些坑

暑假这段时间,利用空闲时间在帮别人写一些东西。因为最终是要写成接口给别人用,所以为了开发方便,我就打算用python来写,但是其中有一个验证码识别的模块。因为这个模块必须要先处理图片再识别,所以只能用python来实现。所以就只能让php来接受处理然后调用python脚本来识别验证码。其中踩了一些坑,所以总结记录下来。 阅读更多