[置顶]本站使用主题:BearSimple - 一款简洁的Typecho主题
2023-06-15

BearSimple 是一款简洁的 Typecho 主题,它注重页面的排版和可读性,让阅读体验更加舒适。这款主题的设计简洁明了,色彩搭配清新自然,同时支持多种功能,如文章分类、标签、评论等,让你的博客更加丰富多彩。使用 BearSimple 主题,你可以轻松地定制化博客的外观和功能,让你的博客更加符合自己的风格和需求。BearSimple主题是什么BearSimple是一款简洁但又不是完全简洁的Typecho主题,为什么说不是完全简洁呢,因为这款主题除了前台…

实战纪实 | 从接口信息泄露到RCE
2024-01-16

打点开局一个登录框信息收集发现了一处接口泄露了部分信息不过只有支付宝密钥的信息无法扩大危害,此时尝试寻找了一下其他同类型系统同样的接口,查看一下是否泄露的信息相同因为如果相同就说明是静态的,没有价值横向收集此时访问其他系统,发现里面有不一样的东西,包含了数据库的账号以及密码说明不是静态的利用尝试此时回到之前的系统,扫了一下端口,发现确实开放了数据…

图书免费下载Z-Library 目前国内可注册的地址、客户端、汇总
2024-01-06

本帖最后由 faith9527 于 2024-1-6 09:52 编辑Z-Library 是世界上最大的免费在线图书馆,它拥有近亿的电子书和文章。由于某些关系,Z-Library 访问并不稳定,使用下方的方法可以得到解决。Z-Library 目前国内可注册的地址http://singlelogin.se/registration.php…

实战SRC | api接口未授权 + 越权漏洞
2024-01-02

一次在fofa上通过学习的fofa语句进行查询,无意中查询到了一个网址其登录界面如下:使用浏览器的F12打开开发者工具,查看JS寻找接口:从JS代码中查询到一处接口如下:发现是以post方式请求的,通过构造数据包:/manage/cas/doLogin?userToken=,拼接上在该学校查询到的学号,发现并不能获取到信息。于是仔细的观察,发现有个api路径为 :"url":"/api/xxx"就有了将api拼…

安全面试经验总结与分享
2023-12-13

常见的面试问题hacking语法fofa常用语法安全中你常用哪些工具去做网站测试对于工作中的目标网站进行攻击,你的完整流程说一下黑盒测试中,对于目标网站发起攻击,你是怎么做的网站攻击的,上线测试,漏洞复现做过哪些对金融的网站攻击和其他不一样的点在哪里给你一个网站,你是如何测试的给你一个存在xss的目标站点,做法说一下…

emlogpro最新免费版
2023-12-09

使用方法进入网站后台,输入注册码:E10ADC3949BA59ABBE56E057F20F883E然后就可以免费使用全部功能,包括在线更新、应用商店等(在线更新后的新版本也是免费)下载地址:https://wwxb.lanzoul.com/iaUvJ1h9kdyf解压密码:blog.xiaohack.org

双十一买的 DX4600 Pro,玩了两个星期,系统基本被我摸明白了,非常逆天
2023-11-14

这世上基本很难再找到负责 UGNAS 这么低能的产品经理了,从系统底层到套件处处透露着反人类的设定我真心推荐感兴趣想买的用户尽量降低自己的需求,像我这样做纯仓储+网络协议访问+Jellyfin+自动追番的人都踩了一堆坑但是真心说实话,如果只想买个本地的百度网盘,那还是很合适的,国产 APP 的手机套件不说别的,随便把几个老牌厂商体验吊起来打我打算围绕这台东西写两篇文章,一篇深入分析系统,另一篇通过我踩坑的经验教人部署一点东西,目前不知道投哪里比较好…

Quantumult X 的链式代理配置 避免机场审计的一种方案
2023-11-13

最近因为 Clash for Windows 作者被请喝茶的缘故,Clash 从内核到各平台客户端的仓库大部分都删库或者归档了,这也不能怪开发者太过风声鹤唳,毕竟还身在国内,写开源而已,犯不上和自己的人身安全作对。之前我一直都是使用 Clash 作为主要的科学上网工具,不过经此一役后我也在考虑是否应该放弃 Clash,于是我仔细梳理了一下目前对科学上网的需求,最终决定将 Clash 切换成 Quantumult X。 Clash 的缺点 其实我很早就觉得 Clash 在 macOS 上使用有一些不便: 如果想要修改订阅加上分流规则或者自定义的服务器,需要更改机场的配置文件,但是机场的订阅一般又会定时更新去覆盖掉;使用第三方的工具转化或者合并机场的订阅文件算是一个解决方案,但是机场一般出于隐私考虑都会禁止使用第三方工具转换订阅; 本质上 Clash 只是一个代理工具,无法确保在电脑上运行的各个程序的流量都由代理转发——很多软件的网络设置是不经由系统代理的,尤其是在终端的应用:pnpm,go get,curl,brew,ssh,这在软件开发的时候其实还挺烦人的,还需要单独为每一个应用设置代理,不同应用的配置方式还不一样。Clash X Pro 提供的增强模式算是一个解决方案,不过同样也已经下架了。 对于第一点,其实 Quantumult X 就做得很好,分流的规则以及机场的节点是分开配置的,而且无论你有多少不同机场的节点,你都可以通过新建一份分流规则来在所有节点之中切换,而且新建的分流规则并不会被机场本身定时更新的订阅所覆盖。

MySQL 命令行监控工具 - mysqlstat
2023-11-09

mysqlstat 是一个命令行工具,用于实时监控和分析 MySQL 服务器的性能指标和相关信息。 它可以帮助 DBA (数据库管理员)和开发人员定位和解决数据库性能问题。以下是 mysqlstat 工具的主要功能:实时监控:mysqlstat 可以实时监控 MySQL 服务器的 QPS (每秒查询数)、TPS (每秒事务数)以及网络带宽使用情况等指标。查询分析:它可以展示执行次数最频繁的前 N 条 SQL 语句,帮助定位查询效率低下的问题,以…

罗翔老师:我们为什么要读书?
2023-11-04

使用的自己训练的阳了的懒羊羊的声音!!!自娱自乐。这是原版视频:{bs-iframe}//player.bilibili.com/player.html?aid=497651138&bvid=BV1BK411L7DJ&cid=177974677&p=1{/bs-iframe}下面是替换的声音{bs-iframe}//player.bilibili.com/player.html?aid=323015409&bvid=BV1Vw411s7oF&ci…

疑似又有数据泄露???
2023-11-03

继今年2月份中国45亿条快递信息(435GB)泄露后 某知名论坛再次公开出售包括姓名、电话、地址、购买商品在内的总计4.6TB的某东/某宝百亿条个人信息数据 数据规模远超此前的学习通+快递信息。

Mac达芬奇安装
2023-11-02

Download Davinci Resolve Studio 18.6.1https://www.blackmagicdesign.com/support/download/cdd8d8c6ed1b4a8a818e6934a885e3fd/Mac%20OS%20…

SM-A7100 三星手机刷港版固件
2023-11-02

SM-A7100 三星手机刷机固件包含了A7100安卓5.1.1、6.0、7.1.1三个版本每个版本分CHC国行版本和TGY港版实测6.0版本是最流畅的版本链接:https://pan.baidu.com/s/1yFxLPCch7lxrFvJGyHF46w?pwd=athi提取码:athi…

分享一种更简单的薅 AWS 羊毛姿势
2023-10-31

网上绝大多数薅 AWS 羊毛的教程都是在教大家如何申请创建一年免费的 VPS ,太 OUT 了!就问一个问题,一年到期了那咋办?其实,除了一年免费的 VPS 外,AWS 足足有 40 多个永久免费的服务,其中就包括的 AWS 最为出名的 Lambda ,以及日常开发常用的 DynamoDB ( NoSQL 数据库)、SNS (发布订阅)。而这么多的服务挨个读文档、装 SDK 太麻烦了,开发个 App 得写一堆的函数,体验实在是,emmmmm...这篇文章就给大家…

关于设置alist自启动会出现原账号密码登录错误的解决方法
2023-10-30

起因:设置alist自启动时有错误,照着网上自启动的vbs文件设置,却发现用vbs脚本启动可以进入alist的登陆界面但是会提示密码错误,而不用自启动脚本自己用cmd启动就正常,同时看了一下应该是5244的端口被自启动文件占了导致登上去的alist跟原账号不一同解决办法:将C盘user/用户名/data文件夹删除,将alist安装目录下的data文件夹复制到刚刚删除的data文件夹位置就解决了

自建一个clash订阅更新服务并避免泄露
2023-10-29

最近遇到了一个小需求,我在PC上使用clash更新订阅时,可以通过cfw的parser和mixin等功能对订阅进行修改,添加自定义内容,但手机上的工具大部分都不支持复杂的预处理或覆盖功能,因此写了一个简单的拉取订阅进行预处理以及提供订阅更新地址的小脚本。脚本分为paser和server两部分,paser定时拉取原始订阅并进行预处理,server提供订阅更新链接并进行鉴权防止泄露。Parser部分:import axios from 'axios' imp…

分享一个轻量级的内存 KV 缓存库, 基于 hashmap 和 heap 实现
2023-10-27

介绍 轻量级的内存 KV 存储, 由哈希图和最小堆实现, 没有特别为 GC 做优化. 拥有 O(1)的读取效率, O(logN)的写入效率. 缓存淘汰策略: 检测到过期或者容量溢出时, 堆顶元素会被清除一部分, 每次至多删除 16*1000(默认值, 后面省略)个 key, 30s 检查一次. 简单压测

【微博图片批量下载】TamperMonkey脚本功能使用说明
2023-10-26

😊前言本程序脚本只用于新版微博图片批量下载,其实以前有类似脚本,由于作者长时间未更新,微博新版页面不能使用,所以本人重新编写新的脚本。🛠安装运行本脚本依托于TamperMonkey脚本管理器中运行,因此需要在浏览器安装此插件,此处不再详细赘述。访问greasyfork官网脚本列表中搜索"微博图片批量下载",点击安装脚本即可。提示:本人测试环境【Edge+…

[开源]基于 PHP 的 rustdesk api server
2023-10-25

感叹! rustdesk 真的好用,也开源了服务端这些东西,感谢社区的贡献!我自己在用的时候需要多端设备同步,但是 rustdesk 并没有开源出 api 服务相关代码。诚然,社区有大佬已经根据客户端写出了可用的 api 服务端代码。不过我自己本着挑战的目的自己撸了一个 api 服务端出来。地址:https://gi…

利用 yajs 云函数,不到 50 行代码实现基金变动提醒
2023-10-25

第一步 直接新建 fund.ts 编写import axios from 'axios' import type { FUNCAPP, FUNCCTX } from '../context' const ctx: FUNCCTX = _CTX const app: FUNCAPP = _APP // 基金代码 const code = '012414' //企业微信 api const qyApi = 'https://qyapi.weixin.qq.com/cgi-bin/…

httpx+nuclei实战 | 大华智慧园区综合管理平台任意密码读取漏洞
2023-10-23

漏洞成因 没有对接口进行严格的权限管理,导致可以通过访问user_getUserInfoByUserName.action获取system用户的MD5加密后的密码 hunter语法 web.icon="4644f2d45601037b8423d45e13194c93"&&web.title="智慧园区综合管理平台" POC

go mod tidy 总是安装最新依赖,如何查找哪个模块导致某个包安装最新依赖,提供一个小工具
2023-10-21

安装: go install github.com/jan-bar/interesting/findModVer@latest执行:findModVer d:myproject结果如下图所示:根据结果可以找到哪个依赖导致google.golang.org/grpc v1.45.0使用了这个版本,这样每次执行go mod tidy会自动修改该模块到v1.45.0版本。我看了下github.com…

黑苹果 奔腾G4400+技嘉H110M-S2+GTX650 EFI
2023-10-21

光看这个配置就知道 使用Windows10肯定是比较拉跨的了 具体配置 主板:技嘉H110M-S2 处理器:奔腾G4400 显卡:GTX-650(免驱) 内存:DDR4-8GB*2 硬盘:SATA固态 240GB*2 方案:双系统,一块硬盘一个系统 引导:OpenCore EFI:第一次配置没什么经验,配置的乱七八糟,但是能成,bug很多 后来就找到了现成的,直接采用了,附上毒盘链接 共有两个,收集的资源 01.主板:技嘉H110M-S2 处理器:奔腾G4400 02.主板:华硕H110M-K 处理器:奔腾G4400 链接:https://pan.baidu.com/s/12LU62n2hZQdY1SB0vJCdUQ?pwd=0s4t 提取码:0s4t --来自百度网盘超级会员V6的分享 MacOS版本:10.15.5 Windows10版本:Ltsc2021 准备 首先需要一个可以能正常进入的Windows或mac系统/PE也行 准备一块16Gb/高于16GB的U盘 然后打开下面的网址跟着制作启动U盘就行 https://dortania.github.io/OpenCore-Install-Guide/installer-guide/windows-install.html 避坑:使用 OpenCore 提供的命令下载MacOs恢复镜像时总是不能成功下载 不知道是什么问题,后来使用了另一命令正常下载了 恢复镜像下载命令 链接:https://pan.baidu.com/s/1u719-xtMh05bAu2sjOFJDw?pwd=1xb0 提取码:1xb0 --来自百度网盘超级会员V6的分享 制作启动盘之后就是主板BIOS设置了 以下是参考的 国光的黑苹果 提供的两款技嘉主板设置 进行设置的 下列选项有一些 技嘉H110M-S2 这个板子里是没有选项的 直接忽略即可 技嘉GIGABYTEB250M-DS3H BIOS版本F9、日期:05/07/2018 ·【BIOS功能】-【安全选项】-【系统】 ·【BIOS功能】-【快速启动】-【关闭】 ·【BIOS功能】-【Windows8/10】-【其他操作系统】 ·【集成外设】-【预设启动的显示设备】-【PCle插槽1】 ·设置IGFX核显的话,你的显示器播独显,开机进系统都是黑屏 ·设置PCle插槽的话,你的核显被Ban进系统会发现双硬解异常 ·完美情况就是设置IGFX核显,显示器查主板,进系统后再插独显换回来 ·虽然上面的操作麻烦了一点,不在意双硬解的话,直接设置PCle插槽,显示器插独显就 行 ·【集成外设】-【SWGuard Extensions(SGx)】-【关闭】 ·【集成外设】-【Trusted Computing】-【SecurityDevice Support】-【Disable】 ·【集成外设】-【SuperIO配置】-【SerialPort】-【关闭】 ·【集成外设】-【USB程序】-【LegacyUSBSupport】-【启动】 ·【集成外设】-【USB程序】-【XHCIHand-off】-【启动】 ·【集成外设】-【SATAAndRST程序】-【SATAModeSelection】-【AHCI】 ·【芯片组】-【VT-d】-【关闭】 技嘉GIGABYTEB360MAORUSPRO BIOS版本F3、日期:05/17/2019 ·【BIOS功能】-【Windows8/10】-【其他操作系统】 ·【BIOS功能】-【CSM支持】-【关闭】 ·【BlOS功能】-【安全模式】-【SecureBootEnable】-【关闭】 ·【集成外设】-【预设启动的显示设备】-【IGFX】(这里用的核显) ·【集成外设】-【IntelPlatformTrustTechnology(PTT)】-【关闭】 ·【集成外设】-【SoftwareGuardExtension(SGX)】-【关闭】 ·【集成外设】-【TrustedComputing】-【SecurityDeviceSupport】-【Disable】 ·【集成外设】-【SuperlO配置】-【SerialPort】-【关闭】 ·【集成外设】-【USB程序】-【LegacyUSBSupport】-【开启】 ·【集成外设】-【集成外设】-【XHClHand-off】-【开启】 ·【集成外设】-【集成外设】-【USBMassStoregeDriverSupport】-【开启】 ·【集成外设】-【NetworkStackConfiguration】-【NetworkStack】-【关闭】 ·【集成外设】-【SATAAndRSTConfiguration】-【SATAModeSelection】-【AHCI】 ·【芯片组】-【VT-d】-【关闭】 ·【芯片组】-【InternalGraphics】-【启动】 ·【芯片组】-【DVMTPre-Allocated】-【64M】 ·【芯片组】-【DVMTTotalGfxMem】-【256M】 ·【芯片组】-【4G以上解码】-【启动】 ·【芯片组】-【WakeonLANEnable】-【关闭】 ·【电源管理】-【平台电力管理】-【关闭】 ·【电源管理】-【鼠标唤醒】-【双击】 设置好主板之后就可以进行安装了 安装时候比较慢,如果遇到卡在一个界面好几分钟无响应,别着急,给电脑一些反应时间