现在的新版的 burp默认下载的 jar 格式的版本里面包含了四个平台的 chromium 包：

$ unzip -l burp-old.jar

Archive:burp-old.jar

LengthDateTimeName

------------------- ----- ----

012-08-2021 13:08 META-INF/

45112-08-2021 13:08 META-INF/...

影响版本：泛微 e-office v9.0 

burp 发包：

POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTTP/1.1
Host: 127.0.0.1:7899
User-Agent: Mozilla/5.0 (Windows NT 1...

第一题：

直接 POST :http://103.66.216.51:9997/index.php?a=1 POST数据：b=2 即可拿到 key1:T0kS7r3c

第二题：

简单的代码审计，经典的 LFI ，做了简单的限制，不能用 php:// 伪协议，最简单的就是用其他伪协议代替

<?php
show_source(__FILE__);
echo $...

前言：

不知从什么时候开始，chrome 浏览器的请求头(隐身模式一样)默认会添加上Sec-Ch-Ua、Sec-Ch-Ua-Mobile、Sec-Ch-Ua-Platform 等几个默认的头信息，大致样例信息如下：

Sec-Ch-Ua: "Google Chrome";v="95", "Chromium";v="95", ";Not A Brand";v="9...

前言：

在使用宝塔中的 Supervisor 来监控某些指定进程的时候，会有这种场景：我们需要定时重启监控的某个脚本或者子进程，重启又能不影响其他的子进程。

Supervisor简介：

Supervisor是用Python开发的一套通用的进程管理程序，能将一个普通的命令行进程变为后台daemon，并监控进程状态，异常退出时能自动重启。它是通过fork/exec的方式把这些被管理...

激活效果如下，分别是 pycharm 和 goland ：

只需要在终端执行（这里是 Mac，Windows 的自行更换安装路径即可）：

java -jar JetBrainsUnlimitedTrial-1.4-release-sha1-daf1682106e6aae5e40d0e6d3aaac3869cf469cc.jar u /Users/`whoami`/Librar...

interactsh 简介：

interactsh 是来自 github 上有名的开源软件组织 projectdiscovery 开发的一款在线反链检测（DNS盲注等等不回显的检测）平台，功能强大，包含 DNSLOG 的功能，且优于它。这个组织还开源了其他的有名的安全软件：httpx、nuclei、Subfinder 等；其开发语言皆是 golang 的，软件也多与网络并发相关，属于...

Mac 下安装好 wireshark 抓包软件后，打开会提示：you don't hava permission to capture on local interfaces. you can fix this by instaling ChmodBPF .可是当你按照提示安装好 ChmodBPF 后打开 wireshark 依然还是会提示你这个一样的错误。如下图：

解决办法...

重点：数据泄露.

疑似  Twitch.tv  的数据，根据种子名称看只是流露出的第一部分。各位自行下载斟酌。

下载方法在 之前的这篇文章说过了，不重复。

目录内容以及大小如下：

└── [5.1K]  twitch-leaks-part-one
    ├── [ 15K]  3rdparty.zip
    ├── [ 16M]  CPE-Chef.zip
...

昨天在一个老外的博客看到了他的一篇文章，讲的就是DedeCms 的预览版本 V5.8.1 存在 RCE 漏洞（远程代码执行漏洞）；我刚刚复现了下，确实是存在的。

POC：

GET /plus/flink.php?dopost=save&c=pwd HTTP/1.1
Host: dedecms.test
Pragma: no-cache
Cache-Control: n...