cdxy.me
Footprints on Cyber Security and Python

Machine Learning
In [1]: import sys import os import json import pandas import numpy import optparse from keras.callbacks import TensorBoard from keras.models import Sequential from keras.layers import LSTM, ... Read More
Analysis
This post requires access token, contact mail:i@cdxy.me if needed. Read More
Machine Learning
前言 前日看到大佬发的机器学习识别XSS的项目代码 https://github.com/SparkSharly/DL_for_xss 于是搞了一把,记录一下遇到的问题 思路 大佬代码中给出的流程: 数据集:GET/POST query 范化、分词:将数字串、链接替换为固定词,然后用正则分词 特征(word2vec) 神经网络(MLP/RNN/CNN) 我实践的流程: 范化,分词流程不变 ... Read More
Machine Learning
This post requires access token, contact mail:i@cdxy.me if needed. Read More
Machine Learning
This post requires access token, contact mail:i@cdxy.me if needed. Read More
Research
This post requires access token, contact mail:i@cdxy.me if needed. Read More
Penetration Testing
Tiki-Wiki XSS Filter Bypass INFO Affected Product: Tiki-Wiki CMS v16.2 Vendor Homepage: https://tiki.org/ DESCRIPTION XSS Filter codes: ... Read More
CTF
Name:捡吗? Rank:100 给了个页面,查看源码发现ssrf,根据自身的phpinfo找到本机内网IP:10.23.140.139,根据hint给出的 10.23.173.x 地址段进行扫描,找到 10.23.173.190,查看源码发现新IP:172.17.0.1 以下是当时记录的fuzz过程 一次跳板扫描内网 /news.php?url=10.23.173.190 host1 ... Read More
Analysis
前段时间PHPMailer RCE漏洞作者Dawid Golunski在Twitter中放出一个WordPress自动化Getshell的视频引发大量关注。 今日漏洞作者在 ExploitBox.io 公布了视频中的EXP细节和一个新的WordPress-0day。 WordPress Core 4.6 - Unauthenticated Remote Code Execution ... Read More
CTF
where is my cat 进站未fuzz到敏感信息,Cookie中有个输入点HOST=0。 后来发现IP地址用了https,查看证书。 讲该域名写入HOST获得flag。 mail 获取源码 http://106.75.106.156/web.tar.gz 审计之后发现并没有SQL注入,唯一的可控点在putenv("TZ=$timezone");这里。 ... Read More