随笔——记录生活的感悟
文章由几个部分组成,主要涉及对生活、爱情、电影及人际关系的感悟。作者首先探讨了人类在宇宙中的位置,认为人类虽为地球一分子的同时,也因思想而具有改造世界的能力,但这也带来了孤独与寻求意义的困境。在描述一段独自散步的经历后,作者通过观察情侣、路灯等细节,反思了人生的孤独与不确定性。
电影《大鼻子情圣》引发了作者对爱情复杂性的思考,认为爱情中隐藏着许多不为人知的真相。《海上钢琴师》则让作者感受到主人公的幸福与孤独,以及人生价值的肯定。《夜空中总有最大密度的蓝色》则启发作者思考爱情的意义,以及在困境中相互支持的重要性。
最后,作者用一段关于“喜欢”的诗句,表达了对人与人之间复杂情感关系的感慨。整篇文章透露出作者对人生、爱情、自我认知的深刻反思,以及对人性中矛盾和不确定性的敏锐洞察。
Springboot_jolokia——RCE漏洞复现
本文详细复现了Spring Boot中Jolokia因配置不当导致的两个远程代码执行(RCE)漏洞。漏洞一为Logback JNDI RCE,通过调用`JMXConfigurator`的`reloadByURL`方法,利用XXE和JNDI注入实现RCE,需目标可访问外网且JDK版本受限。漏洞二为Realm JNDI RCE,通过创建恶意JNDIRealm并设置RMI地址触发JNDI注入。复现过程包括环境搭建、恶意服务配置(如LDAP/RMI服务)、漏洞URL构造及代码审计,并提供了自动化检测与利用工具。关键利用条件包括暴露的`/jolokia`接口、特定依赖及网络可达性。
Hero靶机实战笔记
本文为Hero靶机渗透实战笔记,作者通过Nmap扫描发现靶机IP和端口,通过Web端口获取私钥,利用n8n创建用户并执行系统命令,最终通过Docker环境和SSH登录获取root权限。文章强调禁止非法攻击,旨在技术学习。
React_Next.js远程代码执行漏洞复现
React和Next.js近期发布安全公告,修复了远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478)。该漏洞由于React Server Components处理HTTP请求时存在不安全反序列化,未经身份验证的攻击者可通过构造特制表单在目标服务器上执行任意代码。受影响版本包括React Server 19.0.0-19.2.0和Next.js 15.0.0-16.0.6等。用户应尽快升级或采取临时防护措施。
若依nday漏洞复现
本文介绍了若依管理系统(Ruoyi)的漏洞复现,包括弱口令、SQL注入、任意文件下载、定时任务RCE、Shiro反序列化、SSTI等。文章详细描述了漏洞原理、复现步骤和利用方法,并提供了相应的POC和工具。此外,还介绍了若依系统的特征、环境搭建和漏洞综合利用方法。
渗透测试
未读
【攻防技术】Proxifier + Clash 轮询代理隐藏真实IP
本文介绍了如何利用Clash的轮询负载均衡与Proxifier联动,实现IP动态切换,最大程度隐藏真实身份,避免被溯源。文章详细介绍了配置流程,包括在Clash中设置负载均衡分组、在Proxifier中配置代理服务,并通过实际效果对比展示了其有效性和实用性。此外,还讨论了轮询和一致性哈希两种策略的适用场景和特点,并提供了其他隐藏真实IP的手段。
渗透测试
未读
AI渗透工具Hexstrike安装使用
Hexstrike是一款结合AI代理和自动化框架的安全工具,旨在提高渗透测试效率。它集成多种AI代理和工具库,通过智能决策自动化执行任务。安装Hexstrike需要客户端和服务端,支持多种AI客户端。使用时,用户可以开启靶机进行攻击测试,Hexstrike会自动执行并给出下一步操作步骤。此外,Hexstrike还支持开机自启服务,方便用户进行长期监控和测试。
渗透测试
未读
钓鱼神器mip22结合ngrok内网穿透使用
MIP22是一种高级网络钓鱼工具,支持手动克隆网站、使用子域和缩短网址等功能,但缺乏图形化数据展示。它可通过与Ngrok结合,将钓鱼页面映射至互联网,实现远程访问。Ngrok是一种反向代理工具,允许本地服务器暴露于公网,适用于开发调试、Webhook测试等场景。使用MIP22和Ngrok进行钓鱼攻击时,需配置Ngrok的API令牌,选择克隆的网站类型,并通过生成的链接诱导受害者输入账号密码,从而获取敏感信息。若Ngrok出现错误或连接问题,需尝试其他方法。