d11f07192009117fef5a0b01d63fc782c9bbf12e06148f06665e767957de0ab20f956dc4425b14826a1b6269dae19eb647ec65940e4be2671174c87c18633c3e6eae8fb0f3dace27c97330026ca86955dab703aabfd3704ab9ea6e44300bb926de04ac93d0ad45edcdc65e98790a643263f0e01a618532e7297d57504d45027b00285205bb909ccfc4d1f5d6263526781b6b52919e292ef7841d8365cac281888fe2de1a356cbd989e632d400f4a5dafc587f61e4e399f93b5b25e76f2eb7b1f044fe305c55873425dfeec012cdc7085a494d23f081fb7f7a491626505864bb9d9fb16443af9a8e54ef4053c3e5878012b31ba89e0201cbb5 ...

爆零了😭8个小时盯一题，非常接近，死于pickle不熟练。 auth靶机有flask（低权限），里面有redis（有密码）。python有反序列化洞，但是需要通过redis写入序列化数据。里面还有个MCP-Server（root）。思路略复杂，分为两步。 通过SSRF读取本地Redis的dump文件，获取flask的secret_key，伪造Session提前到admin（可以触发反序列化） SSRF操作Redis写入序列化数据，触发Pickle反序列化RCE，构造XML-RPC请求mcp，以root权限执行读取flag。 审计app.py 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697989910010110210310410510610710810911 ...

HP Elite Dragonfly（i7-1265U + 32GB + 512 GB）。 重置了3、4次，得出了最优雅的双系统解决方案。不需要解除固件写保护，也就不存在砖的可能。 1. 先启用开发者模式自行查找教程 2. 刷写RW_LEGACYChromebook的固件分为两部分，一部分写保护，一部分可写。前者用于ChromeOS的安全启动，后者（RW_LEGACY）用于传统启动，默认这个区域是空的（或者是用不了的U-Boot）。如果在这个区域写入自定义固件（edk2），并且在开机时按下ctrl+l，就可以启动uefi兼容固件edk2用于引导标准的linux系统。这一部分可以参考Mr. Chromebox。这里快速带过，不会提及细节。 按Ctrl+ALT+F2（刷新键），打开VT2，使用chronos登录（默认无密码），执行（手敲一下吧）： 1cd; curl -LOf https://mrchromebox.tech/firmware-util.sh && sudo bash firmware-util.sh 建议先选5备份固件，然后选1刷写RW_LEGACY。如果 ...

想学嵌入式开发，这个笔记用来记录我遇到的坑，未来总还会再次遇到的。 合宙的ESP32C3/S3分新版旧版，我的都是旧版，板载的Type-C是连接到CH343上，所以不装驱动程序是刷不进去的，但是串口监视器可以读。 macOS 11以后，安装CH34X驱动非常简单，把.app拖到/Applications，打开，点击安装就可以。卸载只需要把app拖到垃圾箱就行。下载链接在这里。

几个月前二手淘了一个二手外版酷比魔方iPlay 50。Unisoc T618，4GB RAM，自带系统太卡了，打算解个BL先。 教程 我没有Windows环境，使用Ubuntu： 12345678sudo apt-get install build-essential libusb-1.0-0-dev gitgit clone --recursive https://github.com/TomKing062/CVE-2022-38694_unlock_bootloader.gitcd CVE-2022-38694_unlock_bootloadergcc chsize.c -o chsizegcc gen_spl-unlock.c -o gen_spl-unlockgcc gen_spl-unlock-legacy.c -o gen_spl-unlock-legacycd spreadtrum_flashmake 会得到chsize、gen_spl-unlock、spd_dump。 在Release下载对应的设备的固件，我使用这个，下载，解压 将前面编译获得的chsize、gen_ ...

上周给我的VPS装了fail2ban，今天一看黑名单，收获满满啊🤣。随便挑了一个了来练练手，就这个了，160.***.***.236。 dddd先扫一下，先是发现了http://160.***.***.236:806/开放了目录，有游戏充值等等配置文件，感觉是个诈骗网站。 接着发现关联域名https://bm.******.online/，是个ai写的php后台。admin/admin123弱密码。 观察js，发现/includes/upload_image.php接口。只允许上传jpg/png/gif。直接写是没用的，没什么思路，翻了翻上传题的笔记，发现了双扩展名绕过。 1234curl -s -k -X POST "https://bm.******.online/includes/upload_image.php" \ -b /tmp/admin_cookies.txt \ -F "file=@/tmp/assert.gif;filename=shell.php"{"url&q ...

What time is it?题目使用f"{username}.{created_at * 2026}"来作为session，但是在/welcome里，任何用户都可以得知admin的created_at的UTC时间，转为timestamp就可以获得admin的session。 123456from datetime import datetime, timezonetime_str = "26/01/2026, 08:18:02 UTC"dt = datetime.strptime(time_str, "%d/%m/%Y, %H:%M:%S UTC")dt = dt.replace(tzinfo=timezone.utc)timestamp = int(dt.timestamp())print("admin." + str(timestamp*2026)) 1DH{It_is_time_t0_s1eep~_~} 22 - SQL Injec ...

After ImageSession Poison开始做这题时，团队成员已经完成了第一部分的Session投毒，这里快速过一下。 profile.php 支持上传配置文件，并把文件直接移动到 /tmp/。 PHP 默认会话文件同样位于临时目录，命名为 /tmp/sess_。 web/php.ini 中启用了 session.use_only_cookies = 0 和 session.use_trans_sid = 1，因此可以通过 URL 参数 ?PHPSESSID= 指定会话。 组合后可通过上传文件直接伪造任意会话文件，形成任意 $_SESSION 注入。 举个例子，上传文件名使用sess_victim123，内容使用 PHP 会话格式，例如 nickname|s:5:"hello";，访问 index.php?PHPSESSID=victim123 后页面会显示伪造值。 因为伪造的是原始 PHP 会话文件，不会经过 **htmlspecialchars()**，登陆后的Welc ...

0x00: 打我干嘛qwq我的VPS被打了，一看sshd日志，全是登录尝试。不过有几个IP吸引了我的注意，它们使用了chaomixian作为用户名尝试登录，而且这样的记录有6049条！ 那就拉一条最新的（2026-02-28 21:03）幸运儿61.169.28.178来分析一下。 0x01: 信息收集fscan先上手做初步的信息收集，可以看到，资产还是不少的： 顺藤摸瓜先来到http://61.169.28.178:8000，网页Title是Deeplumen，我马上想到了《人生切割术》😂。 上网搜索一下，发现一篇水文。但无论怎么看，这个都像是山寨的。我更愿意相信deeplumen.io是真的，这个是假的。 对着8000端口扫一下dirsearch，结果还算丰富。快速做一下fuzz，发现访问/assets/路由，会进入一个加载不太正常的网页：按钮乱点一通，发现ai真的有响应。这说明有戏啊。把混淆过的js扔给Gemini分析，获得以下api。 0x02: 你好，外卖🥡 请求方式 接口路径 功能描述 请求参数 / Body POST /public/ecomme ...