Ajax假死挂起 今天遇到一个页面中默认必须请求一组初始化数据，然后使用了pjax中介，每次进入和离开页面都会造成Ajax假死挂起，很是烦躁，于是有了这篇文章。分享一个超简单的小技巧（细节），却非常实用。虽...

XORpass XORpass是使用XOR异或操作绕过WAF过滤器的编码器，基于PHP XOR异或。 安装和使用 git clone https://github.com/devploit/XORpass cd XORpass $ php encode.php STRING $ php decode.php "XOR...

PHP-FPM CVE-2019-11043 国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a 符号时，服务返回异常，疑似存在漏洞。2019年10月23日，github公开漏洞相关的详情以及exp。当ngi...

做好准备，迎接自动广告振奋人心的新变化 也许你也收到了Google Adsense新功能通知： 现在，您无需添加任何额外的代码，即可在您的网站上获享全新自动广告功能的所有优势。新功能包括： 预览 –&nb...

Femida-xss (WIP) 一款BurpSuite插件，用于自动化执行blind-xss盲搜索。它能够执行主动和被动检查。 安装 git clone https://github.com/wish-i-was/femida.gitBurp -> Extender -> Add -> find and se...

PHP 7.0-7.3 disable_functions bypass 利用漏洞绕过disable_functions并执行系统命令。在Ubuntu/CentOS/FreeBSD系统服务中的cli/fpm/apache2环境php7.0-7.3版本上进行了测试，证明其工作可靠。 支持 7...

前两天发了《魔兽争霸RPG地图破解/解密工具：X-deprotect》，发现有一些普通的地图下效果不错，但如果是一些大地图，特别是自定义资源多的时候就不行了，所以补发一个常规通用包，也是外围大家常用的。 X-dep...

PHP-FPM 远程代码执行漏洞（CVE-2019-11043） 在长亭科技举办的 Real World CTF 中，国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a 符号时，服务返回异常，疑似存在漏...

SQLi Dumper v9.9.6破解版 刚更新完SQLi Dumper v9.8.4破解版后发现又有了最新版为996，于是成了SQLi连更！ 一位俄罗斯黑客写的批量注入工具，支持多个搜索引擎批量；从URL，POST，Cookies，UserLogin或Us...

SQLi Dumper v9.8破解版 一位俄罗斯黑客写的批量注入工具，支持多个搜索引擎批量；从URL，POST，Cookies，UserLogin或UserPassword进行注射点的自动分析；同时Dumper支持使用多线程（数据库/表/列/获取数据）...