北风飘然

利用frida hook安卓 SSL Pinning

最近用xp框架发现不是那么好用有些包还是抓不到请教了下公司二进制的大佬成功用frida绕过SSL Pinning 抓取https流量首先需要在手机装 frida-server https://github.com/frida/frida/releases 安卓手机是小米6 https://github.com/frida/frida/releases/downlo...

Posted by bfpiaoran on November 23, 2018

massdns安装的坑

最近在git上看到一个项目 https://github.com/blechschmidt/massdns 于是下了下来遇到点坑。。。记下来 clone 之后make的时候 [root@localhost massdns]# make mkdir -p bin cc -O3 -std=c11 -DHAVE_EPOLL -DHAVE_SYSINFO -Wall -fstac...

Posted by bfpiaoran on November 21, 2018

记一次22端口登录卡顿排查

博客莫名其妙链接的特别慢找公司运维大佬帮忙调试下 ssh 123.xxx.248.xx -vvv debug1: pledge: network卡了好久查了圈百度没解决从服务端调试 cp /etc/ssh/sshd_config /tmp/sshd_config vim /tmp/sshd_config 端口改一下，保存退出 /usr/sbin/ss...

Posted by bfpiaoran on November 19, 2018

python3.6在centos编译错误

gcc -pthread -Xlinker -export-dynamic -o python Programs/python.o libpython3.6m.a -lpthread -ldl -lutil -lrt -lm ./python -E -S -m sysconfig –generate-posix-vars ;\ if test $? -ne 0 ; then \ echo “...

Posted by bfpiaoran on November 19, 2018

CVE-2018-12242

poc 生成 Test.java import java.security.SecureRandom; import javax.crypto.Cipher; import javax.crypto.SecretKey; import javax.crypto.SecretKeyFactory; import javax.crypto.spec.PBEKeySpec; import ja...

Posted by bfpiaoran on November 12, 2018

tips

x.png%22%0d%0a%0d%0a%0d%0a while true; do echo -e “HTTP/1.1 200 OK” | nc -lvp 8000; done /b’i’n/c’a’t /e’t’c/p’a’sR...

Posted by bfpiaoran on October 18, 2018

从来都是在自欺欺人

说了一堆正常人都不相信的借口，我却宁愿相信。脸皮再后的人次数多了，也会变薄，我不知道什么事能让一个人消失五六个小时一点反馈没有，不过是自欺欺人。时间久了，我都不知道我该相信那些话了，我等了你好久结果得到的只是一个不字。我只想让我在你心中占的比别人多一些，也算奢侈么如果有一天你连我的名字都忘记了，是怪我，因为我的心里全都是你，而在你的心里可能只有百分之一好想和你一直在一起啊 ...

Posted by bfpiaoran on October 14, 2018

上传一种骚姿势

ln -s /etc/passwd link zip the created link while preserving symlinks: zip –symlinks test.zip link 如果解压读取的话可能读的是超链接的内容条件有点苛刻。。。

Posted by bfpiaoran on September 26, 2018

一个xxe小tips

有很多上传office的文件的地方存在xxe的 offic文件以Excel为例以zip格式解压修改 \xl\worksheets\sheet1.xml 文件如果上传成功之后服务器读取xlsx文档会加载sheet1.xml的内容

Posted by bfpiaoran on September 25, 2018

最近一些想法

接触计算机三年，接触安全两年，现在在一个曾经很强大的公司工作。。。。工资还凑合吧。。如果业余时间挖洞的话其实生活质量更好但是时间不够用好多事情要去做，争取把偶尔玩玩游戏，刷刷论坛的时间也给去掉，虽然觉得没有了娱乐的生活很没意思。但是谁叫自己起步低呢。原来招我来的前辈前一阵离职了，有些伤感，现在的状态是做好日常应该做的，每天有挺多时间研究自己想研究的，感觉挺好，tod...

Posted by bfpiaoran on September 9, 2018