wooyaa的学习笔记

生命不息,折腾不止

  公司机器给的是CentOS 6.X系统,默认安装的Python是2.6版本,恰巧我的程序引用的部分库需要2.7版本或以上,所以需要升级Python到2.7,刚折腾完在这里做个简单的记录 :)

阅读剩余部分...


  今天发现微博上有人收听,微博昵称和描述比较怪异,有个IP,好奇心驱使下就访问了那个IP,然后就有了这个故事,后来发现是个阿里的招聘活动,问了菊花,发现是他们搞的。。。浪费时间浪费青春。。。不过还是有很多地方值得我们学习,比如里面的思路,比如一个技术团队该有的技术气息!所以就把这件事情简单的描述下来了,email给部门全体小伙伴,一起学习一起进步。

阅读剩余部分...


Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。
本工具暂时支持的功能:
1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。
2、支持JBoss、WebSphere和Weblogic的反序列化漏洞检测。
3、支持https数据传输。
4、支持文件目录列表。

阅读剩余部分...


请输入密码访问


  15年马上就要过去了,这几天在收拾心情,收拾电脑,收拾一切,发现自己还有个blog。整个15年就没有打开过,没有怎么更新过,更多的是用这台服务器去当梯子,突然感觉有那么一点点的对不起这个blog,对不起自己。

阅读剩余部分...


  记录2015年8月,一次应急事件中的样本分析,标题就叫《一个来自老朋友的“短信”》吧~
8月的一天某个渠道(因为不能说)过来一个安卓样本,名字叫“相册.apk”,后面就开始了这个样本的分析。


阅读剩余部分...