android程序HTTP通信的简单示例。纯粹是为了学习+测试，所以存在代码冗余的现象。从一个最简单的登录验证开始，数据的提交方式分别使用GET和POST，利用Toast来提示登录结果。 阅读全文>>

现在已经可以顺利的读出腾讯微博了，我也不想把这个东西做成什么插件（关键是不会做插件），不过为了方便使用，我找了一个好办法。用了这个方法后，可以在博客页面任何地方显示微博。 阅读全文>>

其实前面用([Java模拟腾讯微博的网页登录失败]和[Java模拟腾讯微博的网页登录成功])Java捣鼓了那么多都是为这个服务的，因为Java写着顺手，所以就先考虑用Java试试。自腾讯微博出来后，网上相继已经有人做出来了这类API，不过没见有人公布出源码来，作为搞技术的，我关心的不是调用他们提供的API的结果，而是实现过程，所以只能自己折腾了。 阅读全文>>

由于去年年底项目一期结束了，正在等客户的需求及使用情况的反馈，所以也就没啥事干。看了看PHP，感觉没啥学的，写了个连接MYSQL的增删改查，我就不知道该干啥了，所谓语言是相通的，读和写基本都没问题，特有的方法或函数则查查API文档即可，但是用则需要熟练度，或许这就是学习的枯燥与乏味吧。 n:-hd
接着帮一个哥们有偿检测了他们的网站，一年没接触过这方面了，不过还好网站比较弱智，几分钟搞定 n:-hx 。
网站是用asp开发的，生成静态页面，当然也有动态页面，不过都做了防注入，Cookies注入也行不通。

现在越来越喜欢火狐浏览器了，网页图片上右键，选择“查看图片信息”，它把当前页面中所有图片的路径都列出来，我一般通过这个来找有没有用第三方编辑器及其路径，很可惜没发现，手工猜了几个也没有找到。

查看图片信息

找到了后台目录是manage，不过就是找不到页面（找到也没密码 n:-gg ）。
网站中有些栏目是二级域名绑定的，有个BBS是DZ7.0的，貌似刚刚上架，一个注册人都没有，不过我也没找到DZ7.0的可利用漏洞。
另一个二级域名下，找到后台admin/admin_login.asp，能试的都试了，放弃。再次查看该栏目下的图片信息，感觉ewebditor有希望了，猜出地址为editor/admin_default.asp。

查看图片信息

一切都是默认的，所以拿到webshell是很正常的。权限都还是很严的，Serv_u6.0，提权失败，43958端口开着，应该是把默认的用户名或密码改了，有wscript但是没用，自己找目录传CMD上去也没用，支持PHP，但是权限也没什么改变。找到数据库连接文件conn.asp，得到一个普通的sql用户，构造了一个注入点然后放到Pangolin里面跑了下，列目录时在D盘中发现了Serv_u，看到ServUDaemon.exe有备份，看来确实把默认值改了。

Pangolin

Pangolin

接着找到主站的目录，backup log了一个一句话，传了个大马上去，OK，结束，拿到外快了，不继续了。

不知道为啥，突然间感觉过去的一年又被我荒废掉了，貌似是因为这几天看了很多技术牛人的博客的原因吧。 阅读全文>>