一些思路和想法

php中用unserialize进行sql注入

在 foxglovesecurity 的文章中，自定义的escape函数没有对object进行处理，导致利用存在__toString方法的对象即可绕过escape函数，进行注入。文章里的方法是从cms源码中找了一个有__toString的类然后反序列化。其实，php自带有很多实现了__toString方法的类。可以用php自带的类进行注入。
比较通用的是Exception类，但是有额外的输出。其他的要么不能被序列化，要么需要另外安装插件。

参考资料

https://foxglovesecurity.com/2017/02/07/type-juggling-and-php-object-injection-and-sqli-oh-my/

php7 和 php5 的 mt_rand 函数算法不一致

爆破种子工具 http://www.openwall.com/php_mt_seed/ 只适用于php5

安卓打印窗口栈

dumpsys window

安卓只看某个包的log

adb -d logcat com.tencent.gallerymanager:I *:S

参考资料

https://developer.android.com/studio/command-line/logcat.html

Autobinding 对象自动绑定漏洞

对象自动绑定被许多框架支持（比如Spring MCV）, 它允许将HTTP请求参数自动的绑定到对象。然而攻击者可以添加额外的HTTP请求参数
，如果开发人员在处理业务逻辑时缺少安全校验就会导致相应的安全问题。

参考资料

http://agrrrdog.blogspot.ru/2017/03/autobinding-vulns-and-spring-mvc.html
https://threathunter.org/topic/593ff6bc9c58e020408a79d4

在csrf中，用csp限制请求的范围

只清除某个子域名的cookie

参考资料

http://cb.drops.wiki/drops/web-14035.html

LFI的时候包含session和tmp文件

在用户名里或者昵称里注入payload
tmp文件的文件名在windows下用通配符

mysql下udf很难成功是因为plugin文件夹一般没权限

windows 用户降权

https://github.com/3gstudent/From-System-authority-to-Medium-authority
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E7%A8%8B%E5%BA%8F%E7%9A%84%E9%99%8D%E6%9D%83%E5%90%AF%E5%8A%A8/

反弹shell变成tty

python -c ‘import pty;pty.spawn(“/bin/bash”);’

php 用 mail 函数来bypass open_basedir 和 disabled_functions

根据MTA的不同，查看命令参数，来执行命令或者读取文件，常见利用方法是用mail函数的第五个参数来指定配合文件执行额外命令

参考资料

https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

///host.com

///host.com is parsed as a path-relative URL by Ruby’s URI library but it’s treated as a protocol-relative URL by Chrome and Firefox.

arm的模式

arm代码有arm模式和thumb模式，thumb模式下地址可能是2或者4的倍数，arm模式下一定是4的倍数。在模拟执行的时候，需要address | 1来区分模式。在一个二进制中可能同时有arm模式和thumb模式。

安卓 ida 调试

adb push android_server /data/local/tmp
chmod 755 android_server
su
/android_server &
adb forward tcp:23946 tcp:23946