ZONE.CI 全球网

活动地址：https://www.ichunqiu.com/xuyuan?from=anquanke
活动简介
没有一点点防备，也没有一丝顾虑，就这样出现——

0x00 前言
hello我是掌控安全实验室的聂风，JavaScript在Node.js的帮助下变成了服务端脚本语言，那么既然是服务端脚本语言，就可能存在一些安

0x00 搭建环境
本地搭建测试waf测试，xss相关防护规则全部开启。0x01 Self-Xss绕过
测试脚本<?php   $input = @$_REQU

阿桑奇被捕现场
BBC消息，英国警方称逮捕了维基解密创始人阿桑奇。今日俄罗斯曝光了阿桑奇被捕的画面，他硬生生被伦敦警方拖出厄瓜多尔大使馆，随后被带进车里。
阿桑

作者：Ivan1ee@360云影实验室
0x00 前言
NetDataContractSerializer和DataContractSerializer一样用于

前言
本文对三个web靶机进行渗透分析，由易到难，循序渐进，分享出来，共同交流学习。W34KN3SS
靶机地址：Download
靶机直接扔到vmware里，然

最近，在使用IDA Pro研究iOS应用的过程中，我发现，虽然IDA Pro和神奇的Decompiler插件能够以超高的还原度生成大部分的源代码，但如果想要针对

本文是基于sploitfun系列教程的详细解析，sploitfun对于纯新手而言，其中有些东西还是不够详细，新手不能很好的接触到其中原理，故作此文进行补充
虚拟

作者：Ivan1ee@360云影实验室
0x00 前言
SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实

前言
翻了好久前写过的关于php复杂语法变量解析的文章，发现很多地方存在问题。因此又查阅文档重新理解了一遍该语法，谈谈个人的理解，并记录在此。题目简析
一道很早

0x00 前言
hello我是掌控安全学院的聂风，12号中国蚁剑爆出客户端RCE,不过官方第一时间修复了。于是实验室的老师们看了一下，于是绕过了防护，于是有了新

最近我一直致力于解压一些VxWorks固件镜像，不幸的是，几乎找不到相关的信息。所以这篇文章的主题主要是从WRT54Gv8固件镜像提取VxWorks的内核、应用

前情提要
上一篇文章我们讲到需要 fake 一个 TypedArray 来达到任意地址读写。想要 fake 任意对象，首先需要知道该对象的元数据，需要 fake

作者：Ivan1ee@360云影实验室
0x00 前言
LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要

活动简介
每一年，我们都在挑战自己。
每一年，我们都在突破极限。
每一年，我们在无界的世界里奋力成长。活动时间
2019年4月19日活动地点
杭州 西溪宾馆活动

作者：Ivan1ee@360云影实验室
0x00 前言
ObjectStateFormatter一般用于序列化和反序列化状态对象图，如常用的ViewState就

前言
在当前CTF比赛中，kernel pwn类型的题目还是比较少，18年国内大型比赛中，仅强网杯出过几题。然，网上虽资料不少，但涉及内核过程，函数调用链复杂，

当前，网络安全威胁日益突出，网络安全风险不断向政治、经济、文化、社会、生态、国防等领域传导渗透，各国加强网络安全监管，持续出台网络安全政策法规。2018年，在中

概述: 通过一道简单的ROP题目理解One_gadget的工作原理，之后利用其提供的ROP链实现堆的UAF漏洞。堆溢出作为CTF的pwn一大题型，非常值得研究。

最近，有人发布了属于伊朗国家背景的APT攻击组织APT34(oilrig,HelixKitten）的黑客工具。
这起事件让人想起了影子经纪人泄漏NSA的黑客工具

[email protected] (请注明来自安全客)
公司简介
Zoom Video Communication成立于2011年。在短短的六年时间里，Z

前言：
这次比赛很尴尬，我本来以为自己报上了名，但是结果没报上。。。只能让同学给我发题目然后自己做，没法拿flag，一共六题，只做出来四题，两题栈，两题堆，最后

在这篇文章中，我将讲述我在某个网络应用中所找到的逻辑漏洞，它存在于“找回密码”这个功能中，可以让我接管任意用户的帐号。虽然最后进行攻击的方式是通过钓鱼手段，但这

这次web题真切得让我感受到了我得辣鸡 顿时被打了鸡血 最后只做出来一题，但是有两道题都是马上要出来了最后时间不够 ，这里总结一下
web1 JustSoso

前言
近期，360核心安全团队发现了一个作案时间长达7年之久的盗号团伙，该团伙捆绑了多种游戏外挂软件植入盗号木马，盗取包括聊天工具、Steam游戏、棋牌游戏等数