Write-up Zh3r0 CTF
Zh3r0 CTF là giải CTF vô cùng hoành tráng và nhiều nhà tài trợ khổng lồ như OFFENSIVE security, Digital Ocean,… với phần thưởng có giá trị lên tới 500$. Với giao diện tuyệt cool cùng với hiệu ứng đầy thú vị, Zh3r0 CTF đã thu hút người chơi từ cái nhìn đầu tiên. Chúng…
Đọc tiếp
Khai thác lỗ hổng Phar Deserialization như thế nào?
I. Phar Deserialization là gì? Deserialization là một điểm yếu hot nhất của các nhà nghiên cứu bảo mật trong một thập kỷ gần đây. Mỗi năm lỗ hổng này ngày càng xảy ra nhiều hơn đối với các ngôn ngữ lập trình như Java, C# (thông qua .NET framework) Sam Thomas, tại Blackhat 18…
Đọc tiếp
Python Pickle-Deserialization vulnerability
I. Pickle là gì? Là dưa chuột :v Đây là một phần của thư viện Python theo mặc định, là một mô-đun quan trọng bất cứ khi nào bạn cần sự bền bỉ giữa các phiên người dùng. Là một mô-đun, pickle cung cấp khả năng lưu các đối tượng Python giữa các quy trình. Cho…
Đọc tiếp
Python input() vulnerability
Dạo gần đây tôi hay viết nhiều script bằng python, tự nhiên phát hiện ra 01 trường hợp gõ linh tinh, nhưng lỗi lại trả về lỗi không tìm thấy biến có tên là giá trị tôi nhập vào. Cứ ngỡ là RCE được nhưng đúng là RCE được thật, search trên mạng hóa ra…
Đọc tiếp
