188号安全攻城狮-优快云博客

原创【安全】Mac Mini 配置ssh二次验证OTP

最近趁着国补，入手了MacMini M4真香款。在开启SSH的同时，那无可避免的就要提到安全问题。因为要存敏感秘钥，在这里来和大家聊聊如何在Mac下开启SSHServer的二次认证

2025-02-13 20:22:02 1139

原创【安全】使用Windows-Exploit-Suggester进行Windows提权分析

Windows-Exploit-Suggester是一个Windows提权辅助工具。该工具将目标补丁编号与 Microsoft 漏洞数据库进行比较。进而检测目标上缺失的补丁，并给出相应漏洞建议。该脚本仅可以在python2环境下使用。且xlrd高版本不支持xlsx，会导致脚本报错，务必使用1.2.0。

2023-03-05 08:00:00 323

原创【安全】靶场实战-通过MS16-032提权

该漏洞影响从Vista到Windows 10的所有Windows版本（包括服务器版本）。Windows 7Windows 10目标系统需要有2个以上的CPU核心。PowerShell v2.0及更高版本必须正在运行。可根据MS16-032(KB3139914)补丁是否安装，来判断当前版本是否可利用。

2023-03-04 14:21:12 1394

翻译【安全】Linux Restricted Shell 绕过指南

Linux Restricted Shell是一种限制命令、阻止环境变量，甚至于阻止管道/重定向的shell。常见的Linux Restricted Shell有rbash、rksh、rsh。本文主要讨论，如何在安全测试中，进行rbash的绕过以及逃逸。

2023-02-04 19:28:20 780

原创【BUG Fix】使用netcat工具时针对CRLF换行无法处理

在使用netcat进行邮件服务器信息收集时，发现无法获取到回显数据。然而将工具换成Telnet后就正常了。在这里，简单记录一下两者的区别，这个小BUG。

2023-02-04 15:59:01 209

原创【安全 Fix】通过配置SPF记录拦截伪造的恶意邮寄

最近收到一封邮件，来源域名是我的域名邮箱，并且该邮件绕过了腾讯邮箱的防护，且来源为可信域名。陷入沉思通过下载邮件eml文件可以发现它是由mail0.emsilcdk.com发送，并非我可信的腾讯域。此时便想到了，一定是我没有配置SPF记录，导致可被伪造邮件攻击。

2023-02-02 23:12:40 351

原创【HomeLab】使用acme为群晖NAS自动部署证书

之前一直是用的阿里云的免费证书，只能单个域名申请，有效期一年。这样每年都需要进行证书更新，最近真的是头秃了。在查阅不少资料后，发现使用acme可以快速满足需求。最终自动化方案如下，通过阿里云AK，自动化添加TXT记录，进行域名解析校验。进而生成SSL证书进行部署。

2023-01-30 23:40:44 6756 4

原创【安全】Shellshock漏洞

Shellshock利用了linux环境变量解析问题，进而可以进行针对正常应用启动shell时进行劫持。通过该漏洞，可以实现CGI环境下的RCE，以及针对特权应用的提权。可以简单理解为，当环境变量可控时，均存在攻击场景。如此看来，该漏洞危害极大，攻击场景非常广。

2023-01-30 08:53:39 549

原创【BUG FIX】MacOS安装python包遇到的问题小记

在新电脑上安装一些python的三方包，因为没安装xcode，所以导致遇到了点小问题。主要是setuptools，与python.h的问题。

2022-12-28 02:48:04 645

原创【BUG FIX】Dnsmasq针对本地域名无法解析

Dnsmasq在进行私网地址解析时，安全机制会进行拦截，禁止解析。导致使用Dnsmasq时，产生无法上网，dns无法解析的问题。

2022-12-26 23:59:35 2439

原创【BUG FIX】自动化场景&容器场景中，git clone需要SSH认证

最近整了个ECS新机器开荒脚本，会自动部署一些应用。但在执行的过程中，发现存在一个小问题。在执行git clone进行ssh链接拖仓库的时候，因为ssh需要进行可信来源校验，此时新机器是没有github的数据的，也就是没配置known_hosts，进而导致出现用户交互页面。

2022-12-23 22:56:57 192

原创 JAVA入门之反射

Class类的使用万物皆对象类是java.lang.Class类的实例对象。这个对象如何表示class Foo{}Foo foo1 = new Foo();Class c1 = Foo.class;Class c2 = foo1.getClass();// Class 是类类型// 不管c1 or c2 都是Foo类的类类型，一个类只可能是Class类的一个...

2019-05-06 16:26:54 243 1

原创 Hbuilder的安装及配置

Hbuilder下载地址由于在前端中使用，自然要配置写方便的东西。首先设置自动编译less。

2017-02-05 21:50:56 22758

原创 2017.2.5

初入前端媒体查询bootstrap栅格less学习hbuilder的安装及配置gulp的简单了解及使用

2017-02-05 21:40:39 265

【HomeLab】2023年！使用acme为群晖NAS自动部署证书之前一直是用的阿里云的免费证书，只能单个域名申请，有效期一年。这样每年都需要进行证书更新，最近真的是头秃了。在查阅不少资料后，发现使用acme可以快速满足需求。 acme.sh是一款方便,强大的域名证书申请&续签工具，支持一键申请&持久化续签。其支持HTTP验证和 DNS 两种域名验证方式，并且可同时申请多张单域名，泛域名证书，并自动续签证书和部署到项目。如此强大的工具怎能不试试。 https://blog.youkuaiyun.com/qq_25924971/article/details/128809638

2023-01-30

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人