TJ-周月年-优快云博客

该漏洞出现在 Joomla 4.0.0 至 4.2.7 版本中，允许未经认证的远程攻击者通过特定 API 端点读取服务器上的敏感文件，包括配置文件等，这可能会导致服务器上的敏感信息泄露和进一步的攻击。攻击者通过利用路径遍历技巧向 Joomla 的 API 端点发送特定请求，可以直接访问和读取 Joomla 服务器的敏感文件，如 configuration.php 文件，其中可能包含数据库凭据、加密密钥等关键信息。通过请求配置文件，攻击者能够获取服务器的数据库连接信息、加密密钥等敏感数据。

2024-11-04 16:33:05 1212

原创【春秋云镜】CVE-2023-26469

Jorani是一款开源的员工考勤和休假管理系统，适用于中小型企业和全球化组织，它简化了员工工时记录、休假请求和审批流程，并提供了多语言支持以满足不同地区的需求。在 Jorani 1.0.0 中，攻击者可以利用路径遍历来访问文件并在服务器上执行代码。Fofa:可利用payload因为在window上是使用不了readline，所以我修改了一下脚本，使用了其他方式来实现在windows上运行脚本"""CVE-2023-26469 利用：Jorani 1.0.0中的路径遍历与日志注入漏洞。

2024-11-01 16:28:50 619

原创【春秋云镜】CVE-2023-27179

GDidees CMS v3.9.1及更低版本被发现存在本地文件泄露漏洞，漏洞通过位于 /_admin/imgdownload.php 的 filename 参数进行利用。

2024-10-31 18:00:20 445

原创仓颉编程语言一

仓颉语言学习，支持国产，支持鸿蒙，支持华为。

2024-10-28 21:21:42 840 1

原创【春秋云境】CVE-2024-23897

Jenkins 2.441及更早版本，以及LTS 2.426.2及更早版本没有禁用其CLI命令解析器的一个功能，该功能会将参数中’@'字符后跟的文件路径替换为该文件的内容，允许未经身份验证的攻击者读取Jenkins控制器文件系统上的任意文件。

2024-10-28 17:54:21 582

原创 BugKu刷题日记（web）一

BUGKU CTF 靶场。题目是lfi和Whois。分别是文件包含和命令执行漏洞

2024-03-15 20:01:29 1026

原创力扣代码学习日记八

首先，找出数组中的最小值和最大值。然后，计算等差数列的公差 d。为了得到公差，我们可以使用公式 d = (max - min) / (n - 1)，其中 n 是数组中的元素数量。创建一个新的数组，从最小值开始，每次增加公差 d，直到达到最大值，应该能得到 n 个元素。如果新数组的长度与原始数组的长度不同，或者有任何一个元素在原始数组中的出现次数与新数组中不匹配，那么返回 false。否则，返回 true。

2024-03-09 16:19:48 466

原创力扣代码学习日记七

解法一：常用思路使用reduce函数计算乘积，并根据乘积的正负，使用if判断来返回相应的值解法二：直接对数组进行判断，有0为0，有-1就是反转，没有负数和零就为一。

2024-03-05 17:39:05 478

原创力扣代码学习日记六

对表示数字的数组进行加一操作。如果数组最后一位不是9，则直接加一；如果是9，则需要连续进位。如果所有位都是9，则在数组最前面插入1。

2024-02-22 17:21:35 524

原创力扣代码学习日记五

给定一个数组 nums，编写一个函数将所有 0 移动到数组的末尾，同时保持非零元素的相对顺序。解法一是双指针法，解法二是零元素交换法。

2024-02-20 17:47:25 542

原创力扣代码学习日记四

给定一个非空的字符串 s ，检查是否可以通过由它的一个子串重复多次构成。解法一进行字符串枚举，之后对字符串进行对比，如果相同就返回true。

2024-02-17 19:09:44 532

原创力扣代码学习日记三

给定两个字符串 s 和 t ，编写一个函数来判断 t 是否是 s 的字母异位词。注意：若 s 和 t 中每个字符出现的次数都相同，则称 s 和 t 互为字母异位词。

2024-02-16 16:10:37 1001

原创力扣代码学习日记二

python代码的学习，题库来源于力扣。本文是经典的字符串单模匹配的模型，因此可以使用字符串匹配算法解决。

2024-02-14 14:03:03 629

原创力扣代码学习日记一

力扣编程基础 0 到 1：题目：389.找不同

2024-02-14 00:27:41 1510

原创 [力扣]编程基础 0 到 1

交替合并字符串

2024-02-13 00:27:11 505

原创初识子域名

子域名是域名体系结构中的一个概念，用于在主域名下创建层次或分类。

2024-01-26 23:31:25 2065 1

原创 2023年第四届中科杯

第四届“中科实数杯”全国电子数据取证暨司法鉴定挑战赛受害人报案，其被嫌疑人王某多次通过微信进行诈骗，对受害人手机进行快采后，公安机关根据已有线索，发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗。公安机关现已将嫌疑人iphone手机、红米手机、电脑进行备份、镜像。

2024-01-08 16:55:52 3252 4

原创 python初识字符串

记录一下python编程学习过程。时间：2023年12月25日 - 2024年1月7日有事情耽搁，有点懒。

2024-01-07 16:45:45 919 1

原创 python 循环

记录一下python编程学习过程。时间：2023年12月17日。

2023-12-24 23:32:31 485 1

原创 python 条件判断

记录一下python编程学习过程。时间：2023年12月12日。

2023-12-20 21:32:58 503 1

原创初识无人机取证

无人机（Unmanned Aerial Vehicle，简称 UAV）取证是指通过获取、分析和保留无人机相关的电子信息和物理数据，以支持法律案件、调查或法庭程序。

2023-12-17 15:49:49 984 1

原创 python用户交互

记录一下python编程学习过程。时间：2023年12月12日。

2023-12-12 15:13:20 205

原创 python数据类型、变量、常量

记录一下python编程学习过程。时间：2023年12月9日。

2023-12-11 16:12:47 214 1

原创初识PHP反序列化

反序列化是将数据从序列化的形式（通常是字节流、JSON、XML等格式）转换为原始数据结构或对象的过程。

2023-12-09 18:04:54 1465

原创 2022年美亚杯（团体赛AGC部分）

2022年第八届美亚杯，团体赛，AGC镜像分析。有错误或者好点方法请私信我，文章有错误请指正。

2023-12-08 15:50:10 405

原创 BugKu（web）- challenge-creator

时间：2023年12月16日日常记录一下，倒逼自己学点东西。虽然不知道有没有用，但是贵在坚持。提示：以下是本篇文章正文内容，下面案例可供参考做XSS类的题目，需要自己有个域名，或者做个内网穿透，不然在做一些需要URL的题目时候就很被动。XSS原型感染是通过 XSS 注入恶意脚本，然后在脚本中执行一些修改原型链的操作，从而影响页面的行为。这可能涉及到在脚本中动态创建对象、修改原型链等操作。

2023-12-06 17:54:39 893 1