这次去打HCTF决赛，用了这个自己写的WAF，web基本上没被打。

本文由Hack Blog原创,如需转载注明原文链接 

现在有个攻击场景，就是你拿到了linux外网服务器的webshell，要做内网渗透前肯定要收集信息。其中可以做的一个工作是重新编译ssh来记录管理员的密码信息，信息可以用来撞其他机器的密码。下面就从linux的提权开始。

本文由Hack Blog原创,如需转载注明原文链接 

上次360的ctf出现了is_numeric这个函数的绕过。上网查了下都是绕过后执行sql的。现在比赛比完了就记录下这个函数。

本文由Hack Blog原创,如需转载注明原文链接 

工欲善其事，必先利其器，下面这些套件或者小工具，可以对app造成成吨伤害。所以说，上吧!

本文由Hack Blog原创,如需转载注明原文链接 

主要记录两个函数，一个是strcmp()，一个是mb_ereg_replace()

本文由Hack Blog原创,如需转载注明原文链接