明弟有理想-优快云博客

原创将博客网站完整迁移至本地虚拟机

本文介绍了将WordPress网站从公网迁移到本地虚拟机的完整流程。作者基于技术栈调整的考虑，选择在Ubuntu22.04虚拟机上使用LAMP架构重建网站，详细说明了网络配置、环境搭建、数据迁移等关键步骤。重点解决了域名变更导致的样式丢失问题，提供了hosts文件修改、数据库URL替换等多种解决方案，并推荐了实用的WordPress插件。

2025-08-22 16:34:34 626

本文分享了个人网站从简单搭建到优化图片存储的实践经验。作者最初因兴趣创建个人网站，随着内容增长面临服务器压力问题。重点介绍了采用对象存储替代CDN的优化方案：通过七牛云创建二级域名存储空间，配置SSL证书实现HTTPS访问，并提供两种批量上传图片的方法（命令行工具和图形化工具）。最后说明了如何通过数据库批量替换旧图片链接。这种方案有效降低了带宽成本，解决了图片存储扩展性问题，为小型网站提供了经济高效的优化思路。

2025-06-11 19:50:33 864

原创在没有第三方库的情况下使用 Python 自带函数解码

在数据处理和文件编码的领域，二进制字符串的解码是一项常见任务。虽然在 Python 中，有许多强大的第三方库可以帮助我们完成这一任务，但近期博主遇到了一些场景,无法调用这些库,为了下次再遇到方便，也为了减少依赖，我们希望仅使用 Python 的内置功能来实现二进制字符串到 ASCII 码的转换。组成的，通常每 8 位二进制数（一个字节）可以对应一个 ASCII 字符。我们可以利用 Python 的内置函数和基本的字符串操作来完成这一转换。

2025-04-17 20:53:15 499

原创利用EXCEL进行XXE攻击

CTF选手都清楚我们像word文档格式改成zip格式后,再解压缩可以发现其中多数是描述工作簿数据、元数据、文档信息的XML文件。许多网站允许上传/导入文件，处理文件内部数据一般都会解析XML，如Word文档、Excel表格等。这些文件通常以ZIP格式存储，将多个XML文件和其他资源整合其中。一旦这些文件被上传，服务器通常会对其内容进行解析和处理。然而，如果服务器在处理这些文件时未能正确配置XML解析器，就可能导致XXE（XML外部实体）漏洞。

2025-01-18 00:27:10 1788 1

原创 JWT渗透与攻防

JSON Web Token（JWT）作为一种广泛使用的认证机制，因其简单、有效和灵活性而受到开发者的青睐。然而，随着JWT使用的普及，其安全性问题也逐渐显现。本文将探讨JWT的渗透测试方法，分析常见的安全漏洞，并提供相应的防护措施。

2025-01-16 11:30:40 951

原创 Chrome RCE 漏洞复现

Google Chrome是由Google开发的免费网页浏览器，大量采用Chrome内核的浏览器同样也会受此漏洞影响。攻击者利用此漏洞，可以构造一个恶意的web页面，当用户访问该页面时，会造成远程代码执行。由于Chrome浏览器会默认开启沙盒，可以拦截利用该漏洞发起的攻击，所以一般用户不会受到影响。这里尝试太低版本也复现不成功,80版的一般可以,且有如下几个限制。使用Chrome内核的其它浏览器，也会受到此漏洞影响。快捷方式右键-属性-快捷方式-目标处加上。，即以无沙盒模式启动。打开该快捷方式即上线。

2024-12-23 18:43:03 1545

原创博客添加Aplayer音乐播放器

音乐就像是一把神奇的钥匙,开启了一扇扇通往过去的门。所以我想在我自己的博客网站中,将这开门的瞬间给记录下来。将那些或珍贵或伤痛或美好的记忆碎片一一拾起，拼凑成一幅属于自己的人生画卷，让自己在岁月的长河中得以一次次回溯，去重新审视那些走过的路、遇见过的人、经历过的事，在音乐的怀抱里，与曾经的自己深情相拥，感悟着时光的流转与生命的厚重。

2024-12-08 15:40:13 1471

原创 Windows系统渗透测试:服务远程控制

你可以选择通常意义上的ms17-010进行攻击，但是由于这个靶机中已经对永恒之蓝的漏洞进行修复，所以要选择可以通过用户名和密码手段绕开的溢出攻击psexec，这也是黑客常用的攻击手段，通过psexec获得shell权限，打开终端服务，或者直接开启远程桌面连接。本题要求选手对windows的应用掌握考察程度考察比较深，很多问题的设置具有迷惑性，同样，相同的题目在不同的攻击机环境下表现出的难度是不一致的，所以更要求选手对各类工具的使用都要有所了解，并且在条件有限的环境下能做出正确的解题技巧。

2024-12-06 14:18:14 1543 1

原创 beescms注入

枚举法是利用计算机运算速度快、精确度高的特点，对要解决问题的所有可能情况，一个不漏地进行检验，从中找出符合要求的答案，因此枚举法是通过牺牲时间来换取答案的全面性。SQL 注入即是指Web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。查询到admin_name字段里的内容用户为admin。拼接后密码MD5值为。

2024-10-28 11:39:07 1180

原创 Java HashSet：底层工作原理与实现机制

在Java集合框架中，`HashSet` 是一个非常常用的数据结构，它提供了高效的元素存储和查找功能。作为一种集合，`HashSet` 允许我们存储不重复的元素，并且在平均情况下可以实现常数时间复杂度的插入和查找。这一切的背后，`HashSet` 依赖于 `HashMap` 来实现其底层机制。本文将深入探讨 `HashSet` 的工作原理，包括其如何通过计算哈希值来管理元素、如何处理碰撞以及在存储容量不足时的扩容机制。

2024-10-24 17:02:39 764

原创 VLAN（虚拟局域网）

但这种方式有一些明显的弊端，首先路由器每端口成本较高，如果为了获得更多的广播域以提高性能或防止安全隐患，则需要付出更大的成本，其次广播域的划分方式取决于物理硬件，而广播域的划分需求却常常与人事安排，公司事务，策略等相关，物理设备的调整和线缆的部署可能会影响装修，付出大量成本。当我们的网络规模较大，交换机较多的情况下，我们对VLAN的配置进行一些更改时，常常需要对大量的交换机进行重复的配置，这是一个比较繁杂的工作。VTP服务器会将所做的修改，通告出去，以便其它交换机可以对自己的VLAN信息进行同步。

2024-10-24 17:00:28 1096

原创 ACL（访问控制列表）

使用编号来区分ACL有比较大的局限性，首先编号ACL，管理和归档不便，不能从ACL的编号上分辨除该ACL的作用，其次编号ACL不支持单独添加或删除某条语句，所以现在推荐使用命名ACL的方式来编辑ACL。将自己所有的可用的公有IP地址加入一个NAT地址池，通过配置动态NAT，在内网主机有访问Internet的需求的时候，NAT设备会从NAT地址池当中抽取一个IP地址，为你的内网主机进行地址转换，当内网主机停止访问公网的时候，这个地址被收回地支持，以便给其它主机使用。事实上这是ACL最早的用途。

2024-10-21 22:09:04 868

原创电子取证新视角：USB键盘流量提取密码方法研究与实现

特别是USB键盘，作为一种常见的输入设备，其流量中可能包含用户输入的敏感信息，如密码和其他私人数据。因此，研究USB键盘流量提取密码的方法，不仅具有重要的学术意义，更在实际的取证工作中具有重要的应用价值。安全评测人员在对某银行卡密码输入系统进行渗透测试，截获了一段通过USB键盘输入6位数字密码的流量，其中也包含了一些其他无关的USB设备的流量，你能从中恢复出6位数字密码吗？提取出来的数据可能会带冒号，也可能不带（有可能和wireshark的版本相关），但是一般的脚本都会按照有冒号的数据来识别。

2024-10-11 19:14:36 1301

原创电子取证新视角：Windows系统中文用户输入痕迹信息提取方法研究与实现

侦查人员在对电子设备的电子数据分析过程中，有效提取操作系统内自带输入法的用户词库信息，可得到系统用户的输入痕迹信息，便于掌握计算机用户的行为特征，拓展案件侦查线索的渠道。

2024-10-11 16:18:32 1251

原创 OpenEuler虚拟机安装保姆级教程 | 附可视化界面

在 2019 年 7 月 19 日，华为宣布要在年底正式开源 openEuler 操作系统；在半年后的 12 月 31 日，华为正式开源了 openEuler 操作系统，邀请社区开发者共同来贡献。一年后，截止到 2020 年12 月 25日，openEuler 已经拥有了 3 万社区用户，2 万多个合入的拉取请求(Pull Request)，2000 多名社区贡献者，7032 款社区软件，75 个特别兴趣组（SIG）以及 7 个商业发行版。

2024-09-29 13:34:15 6402 7

原创 OpenEuler配置本地yum源

如果有多台机器都要搭建本地仓库会非常繁琐可以挂载一台当宿主机其他通过ftp访问的方式下载。修改允许匿名登录设置用户登录后访问目录为服务器yum挂载文件路径。每次重启都要重新挂载很麻烦,可以写入fstab文件里。使用匿名用户登录可正常登录看到目录内容即配置成功。repo文件改ftp主服务的路径。确认虚拟机光盘镜像已连接。将本地镜像传输至服务器。

2024-09-27 16:26:27 2645

原创 Rce脚本自动化&amp；批量

本指南旨在帮助读者理解如何通过 RCE 脚本实现自动化和批量处理。无论您是网络安全研究员、渗透测试人员还是 DevSecOps 工程师，这份指南将为您提供实用的工具和方法，帮助您快速识别和利用潜在的 RCE 漏洞。

2024-09-27 10:57:46 1512

原创在 OpenEuler 中配置 KVM 虚拟化环境指南

本指南旨在为读者提供一个详细的步骤说明，帮助大家在 OpenEuler 系统中配置 KVM 虚拟化环境。无论您是初学者还是有一定经验的用户，这份指南都将涵盖从环境准备、安装到虚拟机管理的各个方面，确保您能够顺利地搭建并管理自己的虚拟化平台

2024-09-27 09:57:57 4023

原创 ARM 服务器上安装 OpenEuler (欧拉)

在 2019 年 7 月 19 日，华为宣布要在年底正式开源 openEuler 操作系统；在半年后的 12 月 31 日，华为正式开源了 openEuler 操作系统，邀请社区开发者共同来贡献。一年后，截止到 2020 年12 月 25日，openEuler 已经拥有了 3 万社区用户，2 万多个合入的拉取请求(Pull Request)，2000 多名社区贡献者，7032 款社区软件，75 个特别兴趣组（SIG）以及 7 个商业发行版。

2024-09-26 15:41:41 4011

原创文件包含的一些getshell姿势

可以访问请求的原始数据的只读流，将post请求的数据当作php代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。require() // 只在执行到此函数时才去包含文件，若包含的文件不存在产生警告，程序继续运行。find / -perm -u=s -type f 2>/dev/null //查找suid命令。find / -perm -g=s -type f 2>/dev/null //查找sgid文件。

2024-09-17 10:59:29 1674

原创 WordPress登录添加验证码(实测有效)

确保代码已经正确放置并清除浏览器缓存，然后尝试登录，以确认验证码功能正常工作。将以下代码添加到你的主题的。

2024-09-17 10:20:21 1003

原创搭建 kubernetes集群(命令纯享版)

初始化后会输出加入节点命令,记住node加入集群的命令---- 上面kubeadm init执行成功后会返回给你node节点加入集群的命令，等会要在node节点上执行，需要保存下来。根据官方推荐，节点可以是Ubuntu或CentOS操作系统，本次选择使用CentOS 7。下载管理节点中用到的6个docker镜像，你可以使用docker images查看到。# 上面安装完成后，k8s会提示你输入如下命令，执行。有时如果时间时区不对等也需要同步下时钟信息。如果忘记了，可以使用如下命令获取。

2024-09-14 11:36:55 506

原创云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问

随着越来越多企业开始上云的步伐，在攻防演练中常常碰到云相关的场景，例：公有云、私有云、混合云、虚拟化集群等。以往渗透路径「外网突破->提权->权限维持->信息收集->横向移动->循环收集信息」，直到获得重要目标系统。但随着业务上云以及虚拟化技术的引入改变了这种格局，也打开了新的入侵路径

2024-09-13 12:23:31 2579

原创 CISP-PTE综合靶机训练

在网络安全和渗透测试中，Git文件泄露是一个重要的考察点，因为它可能导致敏感信息（如源代码、配置文件、密码等）的暴露。最后峰回路转在这里发现文件上传路径,真正的文件在这里，不应该去下载文件的，刚上传文件什么的找错了思路，在这里把那个。这里想尝试文件包含图片马,然后默认aspx文件本身就是一个一句话木马,但是被误导了一直找到下载文件的接口去。发现目标存在着注入,但是我们已经连接上数据库意义不大,尝试写入一句话木马,或者oshell,尝试失败。这里选择常规的文件上传,测试奇怪后缀也被拦判断为白名单。

2024-09-12 15:14:41 1282

原创虚拟机安装WordPress&DNS服务器实现域名访问

之前博主通过虚拟机搭过wordpress博客,所以想写一篇文章帮助一些只想自行私下搭建存储一些资料文章的读者作为参考学习。完成后，你将能够登录到 WordPress 管理界面并开始创建内容。如果你觉得通过上述配置dns服务器方法操作繁琐也可通过更改需要访问主机的hosts文件访问。在浏览器中访问你的服务器 IP 地址，你应该能看到 WordPress 安装页面。需要通过域名解析访问的主机dns添加服务器ip地址即可。这里先通过搭建内网dns服务器的方式实现域名访问。最后完成一些系统的配置即可完成解析。

2024-09-12 14:56:23 1018 2

明弟有理想的博客