好想出去玩_(:з」∠)_但出不去，只好在家里应XCTF抗疫赛邀请出题了。但是实在没题出怎么办？恰巧看到Xray的一篇吐槽安全从业人员代码平均开发能力差的文章，考虑到解混淆需要一定的开发能力，不如来用混淆水一题吧……

好久没写文章了，干脆把我最近的研究拿出来凑个数。想不到吧，竟然是一篇和技术完全没关系的文章（。这篇文章是一篇面向个人的非专业记账教程，旨在安利Beancount，并介绍Beancount的一些适应中国国情的使用方式。如果你喜欢手动记账，那Beancount可能是最好用的记账工具；如果你嫌手动麻烦，只想快速地完成记账工作，Beancount也很适合你。

这次RCTF2019中，我出了一题SourceGuardian解密。和Hook zend_compile_string就能解决php_screw、php-beast等扩展一样，没有对PHP总体的执行流程做出较大更改的扩展，依然有通用的（或是较为通用的）破解方案。这其中，SourceGuardian就是一个例子。这篇文章将从Zend虚拟机的角度来谈这一类加密的破解方案。

这一题的题目和Writeup见：

我们首先需要熟悉PHP代码执行的流程──即，PHP到底是如

好久没写前端文章了，写一篇来凑个数吧。
本文相关GitHub：https://github.com/zsxsoft/nextjs-csr
效果见：https://codesandbox.io/s/github/zsxsoft/nextjs-csr

今年的HITCON打完了，沉迷写前端搞Nextjs骚操作的我成功爆0（雾），不想写前端了.jpg。

刚刚在深圳的0CTF/TCTF全球总决赛结束，然后本蒟蒻果断地打出了GG，大佬们太强了。

官方wp（https://github.com/LyleMi/My-CTF-Challenges/blob/master/ezDoor/README_ZH.md ）出来了以后，发现我的解法从开头到结尾都是非预期解法，因此写下这篇文章作为记录。不得不说，我觉得我的解法还挺有意思的。

上一周周末举办的“强网杯”大赛中，有一题“彩蛋”特别有意思。题面如下：这题我最后使用非预期解 PostgreSQL 的 UDF 来解决，但正解迟迟未找到。正好，orange大神的解析文章让我找到了正解。本文是针对此漏洞的发散性debug笔记。

随着前端技术的高速发展，越来越多的软件正在使用浏览器相关技术作为其组成的一部分。和完全使用传统客户端技术开发的软件相比，部分或完全使用网页前端技术开发的软件有着开发成本低、部署成本低的优势。但自然而然地，我们也可以用常用的针对 Web 进行攻击的技术来攻击这一些客户端。由于客户端软件拥有更大的权限，在 Web 上使用场景严重受限的攻击技术，往往能造成更大的危害。