blog-pw0rld

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub. Quick StartCreate a new post1$ hexo new "My New Post" More info: Writing Run server1$ hexo server More info: Server Generate static files1$ hexo generate More info: Generating Deploy to remote sites1$ hexo deploy More info: Deployment

朋友叫帮忙看一下这个 JS 加密 打开网站，发现有两个模板，一个模板有加密，一个模板无加密。 输入用户名密码就会变成加密之后的字符串，看这个样子应该是 aes 加密 看看都有哪些步骤 因为 POST 的路径是/Index/Login 定位到了 doLogin 函数 搜索，可以得到 doLogin 的定义，不防在此处下一个断点。可以看到 username 和 password 已经传入过来了 可以看到这还有一个 verify_code，估计是用来做校验的。继续看，看着还用到一个 AT 函数，不妨过去看看是干啥的 看样子是准备一些 POST 的准备 不妨在这里下几个断点。一步一步调过去看看。 1auth_key: gt(decodeURIComponent(ut.a.stringify(vt(r)))); 这句，走到 VT。基本上就明了了 然后用用户名+密码的哈希来做 auth_key，并对用户名密码进行 aes 加密。 其中关键的东西还有这个，根据这些，我们能写出一个脚本形式的加密了。 12345678910111213141516171819202122232425 ...

搭建 hexo 环境我使用的是这个主题，蛮不错的 https://github.com/Chocolate1999/hexo-blog-lionkk 下载下来之后 先修改一些东西，譬如_config.yml，改成自己喜欢的 12npm install hexonpm install 搭建语雀环境用到了这个项目：https://github.com/x-cold/yuque-hexo 安装：npm i -g yuque-hexo 同时需要注册语雀：https://www.yuque.com/ 语雀设置 token 同时新建一个知识库，进去知识库 注意这两个 安装 yuque-hexo 好之后打开 package.json，更新语雀 accesstoken，以及个人信息进去 并在 package.json 中的 scripts 加入 12"sync": "yuque-hexo sync","clean:yuque": "yuque-hexo clean", 之后再用 yuque-hexo sync ...

title: 学校课程实验之 OD 逆向简单程序眨眼就大三了。。时光飞逝啊。 学校老师在合天开了个无线攻防实验课程，个人觉得还不错，就在博客记录下。 1. 实验环境一台 Windows 7 系统电脑；实验工具 Ollydbg 1.10 汉化版、2.01 原版，以及不知名垃圾注册软件 CLINE95.EXE 2.预备知识123456789101112131415161. 常用汇编代码如下（一定要熟练）： cmp a,b // 比较a与b mov a,b // 把b值送给a值，使a=b ret // 返回主程序 nop // 无作用 call // 调用子程序，子程序以ret结尾 je 或jz // 相等则跳（机器码是74或84） jne 或jnz // 不相等则跳（机器码是75或85） jmp // 无条件跳（机器码是EB） jb // 若小于则跳 ja // ...

title: python 编译 C/C++，以及坑昨晚通宵战果，把坑都中了一遍 1. python 编译 C/C++(linux)C++编写 Python 扩展模块的常见写法。 功能文件 add.cpp 123456789101112131415161718192021222324252627#include "Python.h"// 函数主体int add(int a,int b) { return a + b;}// 包裹函数static PyObject *Exten_add(PyObject *self,PyObject *args) { int a,b; // 获取数据，i代表int，ii代表两个int // s# 代表数据 // 如果没有获取到，则返回NULL if (!PyArg_ParseTuple(args,"ii",&a,&b)) { return NULL; } //返回调用add return (PyObject*)Py_Build ...

title: Opencv 环境设置opencv windows 安装下载好 opencv 的包，解压到 D 盘 在 vs2017 中新建好项目，dll 项目 找到调试->属性 把 opencv 的这两个目录包含进去 库目录则是这个，(测试过，包含 vc15 时候，使用 imshow 时候会报错，所以这里包含 vc14) 然后是添加依赖项 1把这个添加进去opencv_world411d.lib 然后环境变量中也需要配置 编译成功，找到 dll #opencv linux 编译安装 1234567git clone https://github.com/Itseez/opencv.git 同步opencvsudo apt-get install build-essentialsudo apt-get install cmake git libgtk2.0-dev pkg-config libavcodec-dev libavformat-dev libswscale-devsudo apt-get install python-dev python-numpy ...

19 年的某次项目，回顾时候放出来做博客文章。 1. 后台 getshell 绕过存在某处上传这里发现上传任意文件，但是会检测文件内容，上传的不能带有 eval。带有就会返回为空，不提交。大致思路可以有：写一个文件保存的 aspx，然后去访问，就可以再根目录生成一个 aspx 文件。不过这里很蛋疼，这个同样会检测，如果你代码里面写了 eval，就会失败。这里我把 eval 做了一个数组，然后提交上传成功。进入之后，权限很低，仅仅是 iis 用户 2. NET 审计得到 shell 权限之后，我分析了一波他的网站源码。.NET core 的反编译可以使用 dnSpy 和 ILSpy 两个都可以先来了解一下.NET 的 MVC 模式 .NET 的 MVC 路由配置我有一个 Products 的请求，然后将它映射到相关的控制器，由控制器去构建 Model，Model 返回给控制器相关数据，控制器就将这些数据渲染给 View，最终返回一个 html 页面给用户。而这里要讲的路由就是，怎么把 HTTP 请求正确的映射给正确的 Controller，并且映射到正确的方法上路由分两种 一种是 Con ...

难得有一个这么明显的 sql 注入，美极了。 天公不美，这个注入 updatexml 限制了子查询。不能用 xpath 一系列的报错，问题不大，直接盲注就好了。可是这里有一个问题，就是你查 information_schema 是返回为空的，这是因为题目用了 explain 关键字 explain那么什么是 explain 呢？ The DESCRIBE and EXPLAIN statements are synonyms. In practice, the DESCRIBE keyword is more often used to obtain information about table structure, whereas EXPLAIN is used to obtain a query execution plan (that is, an explanation of how MySQL would execute a query). 官网解释，des 和 explain 是两个等价的关键字可以用来解释表结构也可以用来分析语句官网是这么说的：（翻了一下，英语太差。 ...

插入封面图片，点击图片，设置图片大小 关于本书插入「表格」 书名 《菊次郎与佐纪》 作者 北野武日本 出版社 译林出版社 阅读日期 2019 年 2 月 豆瓣评分 8.1 我的评分 ☆☆☆☆ 内容简介在此处输入文本你将读到的是北野武的出身、父母、兄弟和家庭的故事。但请放心，这绝非一个自我感觉良好的人写的那种“优良课外读物”。相反，北野武用搞笑到甚至刻薄方式描绘这些人和事，让我们在笑与泪的交织中，看到真情和真实，看到那么多情、柔软的心。 书摘在此处输入文本 你将读到的是北野武的出身、父母、兄弟和家庭的故事。 但请放心，这绝非一个自我感觉良好的人写的那种“优良课外读物”。很喜欢这句 ← 方便打标签的状态卡片 相反，北野武用搞笑到甚至刻薄方式描绘这些人和事，让我们在笑与泪的交织中，看到真情和真实，看到那么多情、柔软的心。 读后感在此处输入文本 你将读到的是北野武的出身、父母、兄弟和家庭的故事。 但请放心，这绝非一个自我感觉良好的人写的那种“优良课外读物”。 相反，北野武用搞笑到甚至刻薄方式描绘这些人和事，让我们在笑与泪的交织中，看到真情和真实，看到那么多情、柔软的心 ...