About.Me

前乌云网核心白帽子、混迹于各大社区的伪装程序猿,喜欢各种代码与审计、linux运维与内网、python web开发。

另外还是一个想当文人的黑客。

博客由Django驱动,架构:Docker + Python3 + Django + Postgres + Redis + Celery(异步任务),我为之取名为talkbook,具体介绍见 https://www.leavesongs.com/THINK/about-talkbook.html 。前端主题叫 cactus-dark ,是来自于Hexo的一款主题。

2012年到现在的博客主机变迁:

主机 配置 价格
wopus虚拟主机 600M硬盘/8G流量/US 90元/年
野草虚拟主机 600M硬盘/15G流量/HK 60元/年
Linode VPS(淘宝买的) XEN/1G内存/JP 70元/月
Conoha VPS KVM/1G内存/50G硬盘/JP 900日元/月
Vultr VPS KVM/512M内存/25G硬盘/JP 2.5美元/月
某VPS KVM/256M内存/10G硬盘/US 0.94美元/月

可见,我是越来越穷了,买的VPS越来越便宜;当然,这也能反映出,我在尽力压榨主机性能。因为一个博客并不需要太高的配置,而且因为我是Docker运行的,搬家比较方便,所以会尝试很多方案。

2021年10月,推荐几个这段时间性价比高的机器。(速买,随时可能过期,如果过期了,可以评论里提醒我)

国内机器,考虑腾讯云轻量服务器,2核4G内存8M带宽,74元人民币一年,香爆:https://curl.qcloud.com/w9fpwTPd

国外机器,vultr(日本),速度比较稳定,价格2.5刀一个月,配置:512M内存 + 20G SSD + 1CPU,性价比可以说爆表了。且Vultr是按小时付款,很灵活。

vultr的ping值:

sp160905_151022.png

点击购买: https://www.vultr.com/?ref=8960309-8H ,使用我的邀请码注册会有100美刀的礼券。

有事不要找我QQ和微信,直接联系邮箱即可,QQ不和陌生人联系。确实有时候问问题的人太多了,以前比较有耐心,现在工作了没空闲时间,所以问题在邮件里提出来,当然最好是发到星球里,我有空会回复。

黑产、工作室、0day收购、菠菜勿扰。

加入【代码审计】知识星球,跟我一起学审计~

dmsj.png

评论

CTFer 回复

最近CTF看到一个题,是关于RCE的,想了一圈没有思路,不知道大神能不能给点思路:

核心是两个参数,要求call 是 [0-9a-z_],过滤的我拿掉了。

```PHP

<?php

$call = $_GET['call'];
$param = $_GET['param'];

$call( '' , $param );

?>

```

phithon 回复

@CTFer
这道题本质就是我们【代码审计】星球2018年code-breaking比赛的一道题哈,就是我出的😂,可以参考一下别人写的writeup:https://paper.seebug.org/755/

CTFer 回复

@phithon 感谢大神。 :)

回复

S2-052环境搭建,使用您的kk98kk0/tomcat:9.0导入war检测存在漏洞,使用官方tomcat:9.0或8.0.x打包出的环境检测不存在漏洞,您的镜像是做了配置吗?
FROM tomcat:8.0.46
## FROM kk98kk0/tomcat:9.0

RUN set -ex \
&& rm -rf /usr/local/tomcat/webapps/* \
&& chmod a+x /usr/local/tomcat/bin/*.sh

COPY S2-052.war /usr/local/tomcat/webapps/ROOT.war

EXPOSE 8080

phithon 回复

@田 不清楚你说的kk98kk0/tomcat:9.0是什么镜像,kk98kk0不是我,你可能是盗版文章的受害者。
复现s2-052,请参考Vulhub环境和其docker镜像:https://github.com/vulhub/vulhub/tree/master/struts2/s2-052

demo 回复

啥时候星球做个活动吸粉一波

phithon 回复

@demo 永久时长的星球,暂时没做过活动,越早加入越便宜,从没有降过价,这也是对老用户的一种感谢

alert(1) 回复

知识星球涨到299了吗

phithon 回复

@alert(1) 是的,近5年没有涨价了,今年涨价了一次。

qaz0a9 回复

想找你合作。可以发给我你联系方式么,我的tg:@qaz0a9

啦啦啦啦 回复

看着你的blog成长起来的,然后我也进入了牧云组!

phithon 回复

@啦啦啦啦 长亭是一个好公司,加油吧

啦啦啦啦 回复

@phithon 辞职了,单位确实是个好单位,但是想来想去还是想追求梦想去啦,准备读个研究生。

佛菩萨 回复

@啦啦啦啦 啥是牧云组

王定向 回复

您好,我在国内从事数据安全领域的工作,想请问下新加坡虾皮现在还有对应的岗位和机会嘛,以及您女朋友后面是通过什么方式跟您在新加坡团聚的呢,私人问题如果您不方便回答的话您有时间可以邮件回复我,十分感谢🙏

phithon 回复

@王定向
现在已经停止招聘了哈。。。
老婆结婚就可以过来了。

hh 回复

p神,我在读研究生,学历还可以,本硕做开发多一点,但是想找安全开发类的岗位,纯开发太卷了。
安全目前只是懂一点web安全,但是有点犹豫要不要转安全开发,因为我听说安全岗位少,薪资稍微低,而且也卷。
不知道p神怎么看待安全开发这方面的前景。

phithon 回复

@hh 看你对卷的定义吧,安全开发肯定比业务开发要好,但成本部门赚的也少,我还是看好安全开发的

今天我扫地 回复

再试试

今天我扫地 回复

试试

wjl 回复

<script>alert(1)</script>

overbufffff 回复

最近换了个工作,一直不是很适应,心里很焦虑。但看P师傅的文章就特别看得进去,真的收获良多。尤其是今天在知识星球分享的那篇文章,真的言简意赅,既解释了最近一个cve的成因,又给讲解了一个对我自己来说比较新的攻击面。真的十分感谢p师傅的分享!(想了很久,最后还是选择在师傅的博客留言好了,一点无关技术的个人感受,不想污染了各位师傅的视线,哈哈)

shipship 回复

我靠今天才知道p神,前面的平淡介绍看得我现在热血沸腾,我感觉我找到前进的方向了!!
(可惜现在马上大三,不知道来不来得及

锦旭 回复

p牛,什么时候写过文章聊聊从乙方转型到甲方的心得体会呀~~~想学

captcha