J0o1ey Blog

重生之我是赏金猎人-SRC漏洞挖掘(十三)-攻防对抗/梦中绝杀X脖代理商前两天在国企实验室的朋友遇到了一个棘手的目标，听说之前没人能打点进去，只能靠xxxxx取证我一听来了兴趣，在梦中臆造了一个靶场进行渗透，并且已获得相关授权还请各位看官请勿对号入座，如有雷同，纯属巧合。

看我如何从FUZZ到SRC官网XSSFuzz出接口及参数,拼接+号解析成HTML页面。URL拼接时BypassWAF进行目录穿越。使用DOMParser转换为DOM对象并提取表单input值，后通过window.btoa函数base64编码字符串。

重生之我是赏金猎人-番外篇-记一次层层突破的攻防演练本文简单记述了一下本人在某攻防演练过程中一次层层突破的有趣经历技术性一般，但是层层突破属实艰难，并用到了比较多的思路，还望各位大佬多多指教。

重生之我是赏金猎人-SRC漏洞挖掘(十二)-记一次对抗飞塔流量检测的文件上传善用编码、宽字节，熟知每种开发语言的特性，是绕过WAF不可或缺的基本功特殊情况下，思路灵活可以出奇制胜~

重生之我是赏金猎人-漏洞挖掘(十一)-某SRC储存XSS多次BypassWAF挖掘

重生之我是赏金猎人-SRC漏洞挖掘(十)-某大厂从废弃sso登陆口到多思路fuzz获取各地高管信息腾讯某后台从单点登录无法利用 ->ffuf接口->get后台。

重生之我是赏金猎人-SRC漏洞挖掘(九)-从本无法触发的xss到梦幻联动挖掘多个致命接口下的XSS触发点

记实战中一次移花接木的GetShell

记一次有趣的客户端RCE+服务端XXE挖掘

重生之我是赏金猎人-SRC漏洞挖掘（五）-轻松GET某src soap注入

简述本文收录整理了https://xz.aliyun.com/t/7940 https://www.redmango.top/article/51 等文章感谢作者们无私分享利用redis优秀姿势，整理后方便大家查阅Redis（Remote Dictionary Server )，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。Redis支持主从同步。数据可以从主服务器向任意数量的从服务器上同步，从服务

有技术培训需求/技术交流/代码审计需求/的朋友可以联系QQ5470066600X001海洋CMS简介#海洋cms是为解决站长核心需求而设计的视频内容管理系统，一套程序自适应电脑、手机、平板、APP多个终端入口，无任何加密代码、安全有保障，是您最佳的建站工具。——来自seacms官网（简而言之就是专门搭建看片网站的cms）呵呵，安全有保障？？头都给你打爆掉，百度搜索seacms。。漏洞信息...

记一次20撸240的沙雕威胁情报提交(2019年老文)，意外得到几百块钱赏金

linux另类提权之打靶归来

对母校终端机的一次渗透(2017年老文)

记一次以小勃大，紧张刺激的渗透测试(2017年老文)