时光不改's 记忆碎片

时光不改's 记忆碎片

一路走来,路上留下了一个个脚印。

Confluence SSRF及远程代码执行漏洞(CVE-2019-3395\CVE-2019-3396)
Confluence SSRF及远程代码执行漏洞(CVE-2019-3395\CVE-2019-3396)漏洞概述近日,Confluence官方发布了SSRF漏洞(CVE-2019-3395)及远程代码执行漏洞(CVE-2019-3396)的安全通告,攻击者利用漏洞可实现远程代码执行、服务器端请求伪造。此次通告的漏洞分别存在于WebDAV、及Widget连接器中。 CVE-2019-3395 WebDAV2018年6月18日前发布的Confluence Server及Data Center均受此漏洞影响。此漏洞存在于WebDAV插件中,攻击者可远程利用此漏洞使Confluence服务器或...
Ubuntu 18.04 下搭建openvpn
Ubuntu 18.04 下搭建openvpn1、安装Openvpn和EasyRSA#先更新下软件,安装Openvpn123apt updateapt upgradeapt install openvpn #现在装easyrsa,现在是V3.0.6版本了123root@AX:~# cdroot@AX:~# wget -P ~/ https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.5/EasyRSA-unix-3.0.6.tgzroot@AX:~# tar xvf EasyRSA-unix-3.0.6.tgz 2、配置Eas...
Ubuntu 16.04 下 Shadowsocks服务器端安装及优化
Ubuntu 16.04 下 Shadowsocks服务器端安装及优化前言本教程旨在提供简明的Ubuntu 16.04下安装服务器端Shadowsocks。不同于Ubuntu 16.04之前的教程,本文抛弃initd,转而使用Ubuntu 16.04支持的Systemd管理Shadowsocks的启动与停止,显得更为便捷。优化部分包括BBR、TCP Fast Open以及吞吐量优化。 本教程仅适用于Ubuntu 16.04及之后的版本,基于Python 3,支持IPv6。 安装pip本教程使用Python 3为载体,因Python 3对应的包管理器pip3并未预装,首先安装pip3:1s...
ECShop 2.7.3 SQL注入/代码执行漏洞分析
漏洞分析问题一:注入路径:\user.php漏洞点在302行,$action == 'login' 处,继续往下看的$back_act由$GLOBALS['_SERVER']['HTTP_REFERER']传入,变量可控。[条件1:Referer] 继续跟进$back_act,在325行被传入assign()函数,该函数用于注册变量,$back_act在函数中被存入$_var数组中。继续执行$smarty->display('user_passport.dwt');,display()函数用于将参数值在页面中显示出来,...
Upload-lab 练习
项目地址:https://github.com/c0ny1/upload-labs 项目里是没有upload目录的,需要在根目录自行创建 预备知识:12345678910111213141516171819202122232425explode(separator,string,limit) 函数把字符串打散为数组。bool empty ( mixed $var ) 检查一个变量是否为空。strtolower(string) 函数把字符串转换为小写。file_exists(path) 函数检查文件或目录是否存在。move_uploaded_file(file,newloc) 函数将上传...
PHP常见函数总结
1. empty()定义用于检查一个变量是否为空。语法bool empty (mixed $var) empty本质上与!isset($var) || $var == false 等价。 2. substr()定义substr() 函数返回字符串的一部分。注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。 语法substr(string,start,length) 参数 描述 string 必需。规定要返回其中一部分的字符串。 start 必需。规定在字符串的何处开始。 length 可选。规定被返回字符串的长度。...
Hexo的一些常规操作
1.添加tags和categories123456789---title: title #文章标题date: 2016-06-01 23:47:44 #文章生成时间categories: "Hexo教程" #文章分类目录 可省略tags: #文章标题 可省略 - 标签1 - 标签2 description: #对本页的描述 可省略--- 2.创建新文章hexo new post "文件名"/ hexo n "xxxx"会在/source/_posts文件夹内除了xxxx.md文件还有一个同名的文件夹 3.hexo生成博文插入图片1 ...
几个不错的hexo主题
1. archera smart and modern theme for Hexo演示地址:http://fi3ework.github.io/archer-demo代码链接:https://github.com/fi3ework/hexo-theme-archer 安装1.在Hexo目录下执行1npm i hexo-generator-json-content --save && npm i --save hexo-wordcount && git clone https://github.com/fi3ework/hexo-theme-arche...
在Github上搭建个人网站
1、安装git node.js(自带npm)安装gitGit官网下载网站:https://git-scm.com/downloads 安装node.jsnode.js官网下载网站:https://nodejs.org/en/ 1234CMD 查看安装是否成功git --versionnode --versionnpm --version 2、申请github账号,建立仓库(仓库名=用户名.github.io)3、安装Hexo本地新建blog文件夹,右键git中安装hexohexo s -g # 本地 localhost:4000 查看网站效果新建一个文件夹,例如blog。进入blog...
网络摄像头的安全问题
网络摄像头(IP CAMERAS)在日常生活中越来越普及,交通路口抓取车牌号码,幼儿园用来监控小孩,小区车牌识别系统等等,这些摄像头会跟计算机或者录像等硬件设备连接,以便进行图像存储和及时浏览。很多摄像头还直接跟网络连接,以方便客户通过浏览器或者客户端进行连接管理和查看。商家的本意是为了方便用户进行查看,但很多网络摄像头由于厂商对安全重视不够,黑客通过技术手段可以很方便对存在漏洞的网络摄像头进行存取和浏览,在有些情况下,还可以获取网络摄像头所在服务器的权限,甚至可以渗透进入该摄像头所在网络,危害实在很大。 一、存在漏洞分析AndrewTierney在其Blog上公布了一片有关摄像头漏洞利...
avatar
时光不改
witness me