开发简单的PHP混淆器与解混淆器

好想出去玩_(:з」∠)_但出不去,只好在家里应XCTF抗疫赛邀请出题了。但是实在没题出怎么办?恰巧看到Xray的一篇吐槽安全从业人员代码平均开发能力差的文章,考虑到解混淆需要一定的开发能力,不如来用混淆水一题吧……

zsx in 代码分享 / 4 / 15289

Beancount复式记账:接地气的Why and How

好久没写文章了,干脆把我最近的研究拿出来凑个数。想不到吧,竟然是一篇和技术完全没关系的文章(。这篇文章是一篇面向个人的非专业记账教程,旨在安利Beancount,并介绍Beancount的一些适应中国国情的使用方式。如果你喜欢手动记账,那Beancount可能是最好用的记账工具;如果你嫌手动麻烦,只想快速地完成记账工作,Beancount也很适合你。

zsx in 记录整理 / 6 / 27041

从Zend虚拟机分析PHP加密扩展

这次RCTF2019中,我出了一题SourceGuardian解密。和Hook zend_compile_string就能解决php_screwphp-beast等扩展一样,没有对PHP总体的执行流程做出较大更改的扩展,依然有通用的(或是较为通用的)破解方案。这其中,SourceGuardian就是一个例子。这篇文章将从Zend虚拟机的角度来谈这一类加密的破解方案。

这一题的题目和Writeup见:

我们首先需要熟悉PHP代码执行的流程──即,PHP到底是如

zsx in 记录整理 / 0 / 17277

你的Web App能弹计算器吗?

随着前端技术的高速发展,越来越多的软件正在使用浏览器相关技术作为其组成的一部分。和完全使用传统客户端技术开发的软件相比,部分或完全使用网页前端技术开发的软件有着开发成本低、部署成本低的优势。但自然而然地,我们也可以用常用的针对 Web 进行攻击的技术来攻击这一些客户端。由于客户端软件拥有更大的权限,在 Web 上使用场景严重受限的攻击技术,往往能造成更大的危害。

zsx in 简单思考 / 4 / 14928