随笔——记录生活的感悟
文章由几个部分组成,主要涉及对生活、爱情、电影及人际关系的感悟。作者首先探讨了人类在宇宙中的位置,认为人类虽为地球一分子的同时,也因思想而具有改造世界的能力,但这也带来了孤独与寻求意义的困境。在描述一段独自散步的经历后,作者通过观察情侣、路灯等细节,反思了人生的孤独与不确定性。
电影《大鼻子情圣》引发了作者对爱情复杂性的思考,认为爱情中隐藏着许多不为人知的真相。《海上钢琴师》则让作者感受到主人公的幸福与孤独,以及人生价值的肯定。《夜空中总有最大密度的蓝色》则启发作者思考爱情的意义,以及在困境中相互支持的重要性。
最后,作者用一段关于“喜欢”的诗句,表达了对人与人之间复杂情感关系的感慨。整篇文章透露出作者对人生、爱情、自我认知的深刻反思,以及对人性中矛盾和不确定性的敏锐洞察。
FineReport 帆软报表前台远程代码执行漏洞复现
帆软报表存在高危远程代码执行漏洞(XVE-2025-46624)。攻击者可通过export/excel接口构造SQL注入写入Webshell,获取服务器权限。该漏洞可组合SessionID泄露实现前台无条件利用,无需特殊权限或受害者配合。受影响产品包括FineReport(<11.5.4.1)、FineBI(<7.0.5等)及FineDataLink(<5.0.4.3等)多个版本。官方已发布修复补丁,建议用户尽快升级。临时缓解措施包括删除sqlite驱动、清理数据连接或拦截恶意SQL请求。
Springboot_jolokia——RCE漏洞复现
本文详细复现了Spring Boot中Jolokia因配置不当导致的两个远程代码执行(RCE)漏洞。漏洞一为Logback JNDI RCE,通过调用`JMXConfigurator`的`reloadByURL`方法,利用XXE和JNDI注入实现RCE,需目标可访问外网且JDK版本受限。漏洞二为Realm JNDI RCE,通过创建恶意JNDIRealm并设置RMI地址触发JNDI注入。复现过程包括环境搭建、恶意服务配置(如LDAP/RMI服务)、漏洞URL构造及代码审计,并提供了自动化检测与利用工具。关键利用条件包括暴露的`/jolokia`接口、特定依赖及网络可达性。
Hero靶机实战笔记
本文为Hero靶机渗透实战笔记,强调仅作技术学习。环境为Alpine Linux靶机(192.168.228.32)与Kali攻击机(192.168.91.129)。扫描发现靶机开放80和5678端口,80端口获取到OpenSSH私钥,解析出用户名shawa;5678端口为n8n工作流平台,利用其命令执行功能操作Docker环境。通过n8n添加SSH凭证,结合私钥成功登录主机获取user.txt。提权阶段,利用sshd_config中Banner文件配置,创建软链接读取/root/shadow获取root密码,最终完成权限提升。
React_Next.js远程代码执行漏洞复现
React和Next.js近期发布安全公告,修复了远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)。该漏洞由于React Server Components处理HTTP请求时存在不安全反序列化,未经身份验证的攻击者可通过构造特制表单在目标服务器上执行任意代码。受影响版本包括React Server 19.0.0-19.2.0和Next.js 15.0.0-16.0.6等。用户应尽快升级或采取临时防护措施。
若依nday漏洞复现
本文介绍了若依管理系统(Ruoyi)的漏洞复现,包括弱口令、SQL注入、任意文件下载、定时任务RCE、Shiro反序列化、SSTI等。文章详细描述了漏洞原理、复现步骤和利用方法,并提供了相应的POC和工具。此外,还介绍了若依系统的特征、环境搭建和漏洞综合利用方法。
渗透测试
未读
【攻防技术】Proxifier + Clash 轮询代理隐藏真实IP
本文介绍了如何利用Clash的轮询负载均衡与Proxifier联动,实现IP动态切换,最大程度隐藏真实身份,避免被溯源。文章详细介绍了配置流程,包括在Clash中设置负载均衡分组、在Proxifier中配置代理服务,并通过实际效果对比展示了其有效性和实用性。此外,还讨论了轮询和一致性哈希两种策略的适用场景和特点,并提供了其他隐藏真实IP的手段。
渗透测试
未读
AI渗透工具Hexstrike安装使用
Hexstrike是一款结合AI代理和自动化框架的安全工具,旨在提高渗透测试效率。它集成多种AI代理和工具库,通过智能决策自动化执行任务。安装Hexstrike需要客户端和服务端,支持多种AI客户端。使用时,用户可以开启靶机进行攻击测试,Hexstrike会自动执行并给出下一步操作步骤。此外,Hexstrike还支持开机自启服务,方便用户进行长期监控和测试。