1.小程序逆向分析 (一)
2.CTF入门学习籽料（非常详细）零基础入门到精通，源码仔料收藏这一篇就够了！源码仔料（文末自取）

小程序逆向分析 (一)

       李老板：奋飞呀，源码仔料最近耍小程序的源码仔料比较多，而且貌似js好耍一点？要不咱们也试试？

       奋飞：你是源码仔料老板，你说了算喽。源码仔料ab 压力测试 源码

       第一次搞小程序，源码仔料得找个软柿子捏，源码仔料就找个以前分析过的源码仔料某段子App的小程序吧。

       app下载回来就是源码仔料apk包，那么小程序在哪里？小程序是源码仔料一个以wxapkg为后缀的文件，在android手机的源码仔料/data/data/com.tencent.mm/MicroMsg/用户id/appbrand/pkg/里面找。可是源码仔料下面一堆数字命令的文件，哪个才是源码仔料我们要找的某段子App的小程序呢？

       两个办法：把所有的小程序都删除，就留一个，源码仔料那这个文件就是了。或者把某段子App的小程序删除，然后再重装一下。.net办公系统源码看文件日期，最新的就是了。

       wxapkg文件肯定没法直接分析的了，我敢打赌它一定可以反编译出js文件。从github.com/ezshine/wxa...下载他编译好的wxapkg-convertor可执行程序。把wxapkg文件拖到wxapkg-convertor的界面里面可以反编译出js源码出来。我们先试试分析一下这个websign的来历。

       首先搜索一下websign字符串，很幸运，看上去就在这个js里面的i(d)函数里。

       既然反编译出来了js源码，能否动态调试下，这样分析起来更方便了？答案是可以的，下载微信开发者工具，把刚才反编译的工程导入进来。记得在设置->项目设置中把“不校检合法域名...”这一项勾上。这样代码貌似可以跑起来，c 企业 管理 源码我们在i函数下个断点，发下它可以进来了。

       我们调试的时候发现它并没有生成websign，t.h_m为空，导致后面没有生成，这个难不倒我们，从抓包结果里面找一个h_m的值，写死一下，就顺利跑出结果了。从js代码里看，i函数里面最后调用了o(n)，这么明显的md5，我们来试试，在i函数里面加一个代码。首先在Mac下我们算下结果，然后再调试下这个工程，看看t1Use的php 取本地源码值。确认过眼神，就是MD5。

       搞个新玩意的时候，先找个软柿子捏，不要一下就想放个大卫星。能反编译，然后再动态调试，那么曙光就在眼前。这个样本运气好，肉眼就可以看出是md5，复杂的js算法，可以考虑PyExecJS、js2py或Node.js来跑。所有的故事都会有结局，只有生活跟你没完。TIP：本文的目的只有一个就是学习更多的逆向技巧和思路，如果有人利用本文技术去进行非法商业获取利益带来的php源码伪静态法律责任都是操作者自己承担，和本文以及作者没关系。本文涉及到的代码项目可以去奋飞的朋友们知识星球自取，欢迎加入知识星球一起学习探讨技术。有问题可以加我wx：fenfei讨论下。无偿领取网络安全入门到进阶学习籽料可点击这个链接：瓜子：零基础学网络安全有什么建议？如何入门？——来自一位年薪W的网工倾情讲解。

CTF入门学习籽料（非常详细）零基础入门到精通，收藏这一篇就够了！（文末自取）

       从年月起，我开始接触CTF，专注于学习SQL注入、文件包含等Web安全知识。初期，虽然掌握了知识点，但并未能将其应用实践。通过刷题，我逐渐领悟了知识点的应用场景和漏洞利用的技巧，但在挖掘源代码（src）漏洞方面仍感迷茫，学习一年后，尚无从下手的经验。为帮助有志于CTF领域学习的朋友，我整理了一系列学习籽料，旨在详细记录自己的学习过程，以供参考。

       CTF，中文译为夺旗赛或签到赛，在网络安全领域中，是指技术人员之间进行技术竞技的一种比赛形式。CTF竞赛通常包括多个部分，涵盖各种技术挑战，如Web、逆向、密码学等。了解不同竞赛网站的特性和题目类型，对于初学者而言至关重要。以下是一些推荐的CTF竞赛平台：

       buuctf

       buuoj.cn/

       该平台题库全面，难度梯度合理，常举办自办比赛，适合不同水平的选手。

       攻防世界

       adworld.xctf.org.cn/

       以含金量高的x ctf比赛著称，题目排序可能略显混乱，适合中高水平选手，题目质量上乘。

       CTFshow

       ctf.show/

       适合初学者，部分教程免费，相较于前两个平台，体量较小。

       nssctf

       nssctf.cn/

       专注于Web安全，风格类似洛谷，频率高，界面美观。

       除了参与竞赛，还需要关注学习和资源网站，以便获取更全面的知识和技术更新。以下推荐网站对学习者颇具价值：

       CTF维基

       ctf-wiki.org/

       提供所有方向的详细介绍，适合文字学习者，高难度内容可能缺失。

       CTFtime

       ctftime.org/

       汇集全球战队成绩信息，便于查找知名比赛，参考世界排名。

       pojie

       破解

       提供破解工具和比赛相关信息，相当于CTF社区的论坛。

       freebuf

       首次接触的平台，包含最新热点和技术贴。

       先知社区

       xz.aliyun.com/

       分享新生赛总结，包含校赛等周期较长、难度适中的比赛。

       对于黑客与网络安全的学习，需要明确学习路线图。该路线图涵盖了攻击和防御领域所需的知识点，包括网络安全法学习、网络安全运营、渗透测试基础、漏洞详解、计算机基础知识等。配套的视频教程详细讲解了路线图中的每一个知识点，共计多集，内容丰富，涵盖了网络安全入门的必知必会学习内容。此外，还提供了一系列技术文档和电子书，包含个人参与大型网安行动、CTF比赛和挖掘SRC漏洞的经验和技术要点，以及多本电子书。面试题集锦，尤其适用于寻找网络安全工作机会的求职者，包含深信服、奇安信、腾讯等大厂面试中常见的问题。

       综上所述，通过上述资源的学习和实践，初学者可以在CTF领域快速成长，不仅提升技术能力，还能为未来的职业道路奠定坚实基础。欢迎各位朋友积极参与，共同探索网络安全的奥秘。