刷题插件 PMCA: 根据艾宾浩斯遗忘曲线复习刷过的题目
2023-10-07

简介相信有不少朋友在刷 LeetCode 的时候都遇到过做了忘, 忘了做的痛苦, 很多题目, 特别是 hard 题, 可能刷过一遍以为会了, 过了一段时间后再遇到时仍然没有头绪 (楼主的亲身体会🤡), 需要再次复习.为了让这个过程更加高效, 楼主开发了一款刷题插件 Practice Makes Code Accepted (PMCA), 它的主要功能就是在你刷题成功提交 solution 时, 自动记录当前的提交时间, 并根据艾宾浩斯遗忘曲线安排这道题目下一…

写了一些大数据开发中经常用到的脚本分享给有需要的人。
2023-10-07

主要包含以下脚本:linux 基础环境构建脚本安装基础软件 vim rsync lrzsz wget关闭防火墙修改主机名添加 hosts 映射配置静态 Ip创建工作目录创建普通用户配置 SSH 免密登录java 集群构建脚本为集群安装 java 环境ha…

分享一个微信老用户充值appstore 9折的方式
2023-09-28

就微信那个充值活动,今年改成老用户95折,新用户9折。但是今年有个新活动,充值任意金额可以获得一张500-25的券。于是有人发现这个活动有点小bug。。 1、充值6元领500-25券 2、自定义金额充值527,可以叠加95折和500-25两个优惠,等于475.65。。大概是9.02折。 3、关键来了,有哥们发现这活动可以套娃,你充完475,还能继续领到500-25,继续充527,还是475。具体能套娃多少次不清楚,至少我充到第四次还是475。

go-carbon 2.2.8 版本发布, 轻量级、语义化、对开发者友好的 Golang 时间处理库
2023-09-28

carbon 是一个轻量级、语义化、对开发者友好的 golang 时间处理库,支持链式调用。目前已被 awesome-go 收录,如果您觉得不错,请给个 star 吧github.com/golang-module/carbongitee.com/golang-module/carbon安装使用Golang 版本大于等于 1.16// 使用 github 库 go get -…

禁止 App 借助运营商获取手机号码以实现一键登录
2023-09-27

不想让手机上的几个 app (美团,支付宝,还有银行类)有可能借此获得我的手机号码,特意测试了一下。方法也比较简单。已 root 的手机通过文件管理工具(我用 x-plore )修改 /system/etc/hosts 文件,插入以下内容,重启手机即可。# 中国移动 0.0.0.0 config.cmpassport.com 0.0.0.0 www.cmpassport.com 0.0.0.0 wap.cmpassport.com 0.0.0.0 onekey1.cm…

【漏洞复现】易思智能物流无人值守系统文件上传
2023-09-22

【产品介绍】 易思无人值守智能物流系统是一款集成了人工智能、机器人技术和物联网技术的创新产品。它能够自主完成货物存储、检索、分拣、装载以及配送等物流作业,帮助企业实现无人值守的智能物流运营,提高效率、降低成本,为现代物流行业带来新的发展机遇。 【漏洞描述】 易思无人值守智能物流系统/Sys_ReportFile/ImportReport接口处存在任意文件上传漏洞,未经授权的攻击者可通过此漏洞上传恶意后门文件,从而获取服务器权限。

这是一个可以一键在本地虚拟机中一键创建 Hadoop 集群的脚本
2023-09-19

标题:花了一天时间写了个 Hadoop 集群 构建脚本 痛点:在做大数据开发的时候需要在本地虚拟机中创建 Hadoop 集群测试环境,但是搭建一个 Hadoop 集群并不是很容易,需要配置很多东西,费时费力,有的时候还有可能出现配置错误等情况。 解决:采用 python 脚本在本地 pycharm 中一键运行脚本,在 3 分钟时间内就可以创建一个集群环境,免去了人工搭建的烦恼。 使用: 1.下载脚本

SRC之若依系统恰分攻略-3
2023-09-19

前言本文将介绍一些奇怪情况下若依系统恰分druid的场景权限校验回显500该回显不是严格意义上服务器回显500,与之前遇到的回显401弱校验类似拼接了/druid/login.html一看图标,尝试若依弱口令 123456 直接进去了进系统捡漏硬恰有时候/druid/login.html界面是无法直接访问到的,进行了权限校验,要登录系…

Ruijie未授权访问
2023-09-18

漏洞成因没进行权限校验。影响范围Ruijie发现方式一、fofa发现title="Ruijie Easy-Smart Switch"利用方式访问之后直接是进入后台的样子~实战修复方式对于鉴权类型的漏洞,主要的修复方式是全局增加鉴权…

300元机器能开内网靶场?你需要一个配置单
2023-09-16

众所周知,在学习网络安全的过程中,内网渗透的练习是必不可少滴,那么练习就得要靶场,有的师傅可能就说了,要啥靶场,直接梭哈一个shell出来打真实内网去练习,啊这,也不是不刑,还是很可铐的。 那如果我们就是想在本地搭建一个靶场环境,怎么办呢? 简单,使用一系列虚拟化平台包括但不限于vmware,esxi,甚至超融合等等,相信各位师傅也是这些平台的老熟人咯。 那么有的师傅又问了,我电脑还得跑工具,拿头开啊?不要急,低成本极致性价比捡垃圾做内网靶场的配置单,它来了

通过代理隐藏攻击IP
2023-09-15

使用工具 windows for clash proxifier xshell 打开windows for clash,设置允许局域网连接,查看本机IP ,这里我的代理IP端口是192.168.10.9:13844

SRC之若依系统恰分攻略-2
2023-09-15

之前介绍了若依系统的druid弱口令,接下来介绍若依系统的其他上分攻略 如果单纯的druid弱口令,那么只是低危,配合其他的可以升级危害。 若依系统的信息收集 具体内容,请看前文,这里不做过多介绍

Bun_python 一个让你在 bun 中直接使用 esm 语法导入 Python 包的库
2023-09-13

迁移自 deno_python ,主要用于测试和学习 bun 的 FFI 和 plugin 机制的使用 此外发现 bun 的 ffi 性能确实值得一提,思路和 deno ffi 一模一样,api 也大差不差,但性能却能打得过 deno ffi (当然 node napi 肯定也能秒),bun ffi 的这个思路,我在很久之前也在tjs(该项目已废弃)也尝试过,有趣的是,同样用的 zig ,同样用的 tcc 做 native bridge ,只不过我直接把 tcc 的 api 接驳到 js 里使用,而 bun 则是生成一个 c wrapper 代码来做 bridge ,用 tcc 直接 jit 出转换的代码,性能又有进一步提升,加上 JavaScriptCore 引擎自己对 ffi 的优化(特别是相比于 v8 )性能几乎提到了 luajit 的那种水平,deno 虽然 api 看着类似,但实现也完全不同,这大概是性能差距的来源

SRC之若依系统恰分攻略
2023-09-13

Druid弱口令上分攻略 信息收集 首先,我们要做的是收集基于若依CMS的系统 图标收集方法 最简单的就是利用图标的方法进行收集(以下只是举例) (icon_hash="-1231872293" || icon_hash="706913071")

新一代开AI换脸神器,生成速度更快,效果更惊艳!
2023-09-12

新一代开AI换脸神器,生成速度更快,效果更惊艳! 自从上次分享的那个换脸的工具后,发现很多人都很喜欢这个工具,刚好在网上闲逛的时候又发现一款换脸的神器,又经热心网友制作成一键离线包,解压后即可使用。 先看演示吧,为了不侵犯他人的肖像之类的东西,只放了换脸后的视频,各位参考参考吧,下图是AI生成的小姐姐,用来替换视频里面人物的脸。

记录一次内网渗透过程
2023-09-12

1、现在的内网渗透总要面对杀软,时时刻刻都要有自己一套绕过杀软或免杀的能力,过不去杀软都是浮云 2、内网主要就是信息收集,需要收集好本地密码、浏览器记录、数据库密码、可达网段、多网卡机器、重点目标、是否有域等等 3、横向移动,本次主要用了密码喷洒,信息收集后发现内网机器并不多,就没再继续横向 4、重点资产要特别关注,像一下堡垒机、天擎、这样的终端控制服务,拿下后直接游戏结束 5、本次测试主要目的在于学习,内网中各种协议应该灵活使用,ICMP探测不到的不一定不存在,换成Netbios协议去探测却能够探测出来,还有一些机器禁ping,都要学会去绕过。 6、自动化进行扫描的话动静还是太大,需要更精简化测试过程,瞄的准打的狠,直线攻击直接拿下内网

记一次挖掘国外SRC,并获得4万美金赏金的漏洞挖掘经历
2023-09-12

由于第一方 access_token 被盗,Facebook/Oculus 帐户被接管 恶意行为者可以窃取 Oculus 应用程序的第一方访问令牌,他可以使用该令牌访问 Facebook/Oculus 帐户。 因为 Facebook 中的 Oculus 应用程序(用于使用 Facebook 帐户登录 Oculus)将auth.oculus.com/login/端点作为有效的 redirect_uri。 不过,Oculus 已改用Meta帐户进行登录。这意味着在访问auth.oculus.com/login/时,端点将重定向到auth.meta.com/oidc/以使用Meta帐户登录,然后返回到 auth.oculus.com。 我们可以在www.facebook.com[1] OAuth中选择response_type=token,令牌将被传递到下一个重定向URL,直到再次到达auth.oculus.com。 这里的问题是,之前,auth.oculus.com/login通过使用 Javascript 进行重定向来防止令牌泄漏,但是在 oculus 登录更改为 Meta 帐户而不是 Facebook 后,这种保护消失了,现在它直接重定向到最初在auth.oculus.com/login/?redirect_uri=Redirect_Here中找到的 URL。

全国青少年普法网自动答题、自动考试、批量导入账号脚本
2023-09-09

全国青少年普法网,每年都有,提供给有需要的人。 全国学生“学宪法 讲宪法”活动自动答题脚本 首先装好油猴,然后将你的账号信息设置如下格式保存:

OSCP系列靶场-Esay-Sumo
2023-09-08

总结 getwebshell : nikto扫描 → 发现shellshock漏洞 → 漏洞利用 → getwebshell 提 权 思 路 : 内网信息收集 → 内核版本较老 →脏牛提权 准备工作 启动VPN 获取攻击机IP → 192.168.45.194

giffgaff 避坑指南(吐血整理)
2023-09-08

giffgaff 是来自英国的一家新锐低成本运营商,隶属于英国三大运营商 O2 旗下,2009 年创立,采用了无营业网点,无热线客服,灵活套餐的特色服务来降低用户成本,特别适合短期游客及英国留学生。它支持全球漫游,在中国也可收发短信,接听电话和上网。

终于实现了照片备份到 NAS 的终极方案
2023-09-06

为什么要存到 NAS 一直不愿意用一些云相册或者网盘之类的服务来备份和保存自己的照片,主要是两个原因: 1. 不想自己的隐私被这些服务方一直视奸,你传上去的照片视频肯定会被这些服务方扫描一遍的,就算没有私密的照片,我也接受不了隐私被这样侵犯 2. 不想自己的数据被绑架,毕竟数据是别人手上,哪天别人要跑路或者涨价,你也没有任何办法

Notepad++ 漏洞允许执行任意代码
2023-09-05

流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5 (中危)到 7.8 (高危)不等。他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC 。