- 博客(10)
- 收藏
- 关注
RSS订阅原创 PHP序列化漏洞深度解析:从原理到CTF实战
PHP反序列化漏洞的核心在于不可信数据被传入unserialize(),配合魔术方法触发恶意逻辑。从无类序列化、类与魔术方法,到可见性绕过、CVE历史漏洞以及原生类利用,攻击者拥有多种变形手段。
2026-04-04 14:07:27
538
原创 高危漏洞深度解析:RCE远程代码执行 与 文件包含/下载漏洞
本文档整理了RCE漏洞(命令注入、代码审计、Webmin、PbootCMS)与文件包含/下载漏洞的完整知识体系,所有案例均来自墨者学院、Pikachu等合法靶场,仅供网络安全学习与防御研究使用。
2026-04-04 00:30:16
403
原创 文件上传漏洞进阶:解析漏洞与编辑器漏洞
件上传漏洞的进阶利用依赖于服务器配置缺陷(解析漏洞)或应用逻辑缺陷(0x00 截断、白名单绕过)。理解这些漏洞的底层原理,掌握构造攻击请求的能力,是安全测试与防御的关键。
2026-04-01 13:44:41
494
原创 文件上传漏洞通关笔记 · Pass 11 ~ Pass 20
关键原则:服务器对用户文件的存储位置、解析方式和命名控制任一环节失控,均可能导致高危漏洞。
2026-03-29 00:21:19
554
原创 upload-labs 靶场通关笔记(Pass1~10)
相信各位小伙伴们对文件上传漏洞非常感兴趣,特此,本文记录 upload-labs 环境(Windows 版)前10关的代码分析、函数说明及绕过方法。
2026-03-26 13:18:06
458
原创 从零构建SQL注入靶场:实战进阶与深度解析
通过本文的学习,你应该已经掌握了SQL注入的基本原理、攻击技术和防御方法。安全是一个持续的过程,不断学习、实践和分享是提升安全能力的关键。祝你在网络安全的学习道路上不断进步!
2026-02-10 21:39:23
856
原创 Python安装:MSIX与Windows installer传统安装的区别(深入解析两种安装方式的优缺点与适用场景)
MSIX安装管理器适合追求简单、安全的普通用户和初学者,而传统Windows Installer则是Python开发者的不二选择。了解这两种安装方式的区别,可以帮助你根据自身需求做出最合适的选择,避免后续开发中的各种兼容性问题。
2026-02-07 09:55:12
1430
原创 DOS攻击实操——模拟SYN洪水攻击
模拟SYN洪水攻击hping3 --flood -S --rand-source -p 80<目标IP地址>
2026-01-26 17:28:07
395
原创 ARP协议及其工作流程,还有IP和MAC地址在其中扮演的角色
网络中的数据传输,最终还是要靠MAC地址这个数据链路层的核心标识来落实到每一个设备节点。而IP,主要负责的是,在跨网段传输中,作为各设备网络层的唯一标识。
2026-01-24 14:23:29
382
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人