• CVE-2026-41940 cPanel/WHM 认证绕过漏洞分析

    来源:https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/ 漏洞概述 CVE 编号:CVE-2026-41940 影响范围:所有当前支持的 cPanel & WHM 版本(影...
      2026-05-06    
    阅读全文CVE-2026-41940 cPanel/WHM 认证绕过漏洞分析 

  • Ghost Bit SQL 注入绕 WAF

    简介群友给的一道题,是 sql 注入的题,主要是学习一下最近出的新手法——Java 比特位溢出绕 WAF 不太懂的可以看一下:【WAF集体沦陷】Java “幽灵比特位”(Ghost Bits)引发的新型 WAF 绕过与注入攻击 一个内部服务搜索系统,配有WAF防护。搜索框支持模糊查询,输入关键词即可搜索服务列表。WAF拦截了所有已知的SQL注入攻击向量,但似乎遗漏了什么…… 看起来是 lik...
      2026-04-29  
    阅读全文Ghost Bit SQL 注入绕 WAF 

  • Apache shenyu 2.5.1 任意文件读取

    环境搭建 系统环境:Ubuntu 24.04 利用条件:开启 mock 插件 docker 环境搭建 123456789101112sudo docker network create shenyu-quickstartsudo docker run -d --name shenyu-admin-quickstart \ -p 9095:9095 \ ...
      2026-04-27    
    阅读全文 Apache shenyu 2.5.1 任意文件读取 

  • truenas 安装 taliscale 和 mihomo

    taliscale由于我的 truenas 版本是 25.10.3,在 b 站看到别人的教程里直接就是在应用商店有 taliscale 安装包,但是我的应用里啥也没有 然后去查了一下为什么我的 truenas 应用商店里没有 taliscale,其实也不仅仅是没有 taliscale,b站那个视频里它的版本是 22 的,有六七百个应用,我的这个 25 版本的才只有 376 个应用,查了一下...
      2026-04-25    
    阅读全文truenas 安装 taliscale 和 mihomo 

  • CodeQL 入门

    CodeQL 是什么这就涉及到代码审计的进化史了,最早期,安全人员会通过人工代码审计的方式来审计项目代码,查找危险函数并检查危险函数是否可控,如果可控,那就存在安全漏洞。后来随着项目越来越大,人工审计的难度越来越高,纯靠人工的方式进行代码审计很难实现所有项目的覆盖测试了,所以出现了一些辅助工具,比如 rips、cobra,通过这些工具可以先把危险函数检索出来,再通过人工来审计是否存在安全漏洞...
      2026-04-16    
    阅读全文CodeQL 入门 

  • 域渗透——域内常用三大协议

    NTLM 诞生背景产生原因:早期 SMB 以明文口令进行传输,安全性几乎没有,后来出现了 LM(LAN Manager)协议,但安全性较弱,容易被破解,再后来微软提出 NTLM 协议,分别是 NTLM v1、NTLM v2 作用:NTLM 既可以用作域环境身份验证,又可以为 SMB、HTTP、LDAP、SMTP 等上层微软应用提供身份认证 SSPI 和 SSPSSPI(Security Se...
      2026-03-31    
    阅读全文域渗透——域内常用三大协议 

  • XXE 漏洞原理与利用

    XXE(XML External Injection)全称为 XML 外部实体注入,这里要强调的是外部实体,外部实体注入是我们的利用点,为什么要强调这个呢?因为普通的 XML 注入比较鸡肋,现实中几乎用不到。如果在实战中能够注入外部实体并且能够成功解析的话,会大大拓宽我们的攻击面。 XML 背景XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采用。它用于配置...
      2026-03-30    
    阅读全文XXE 漏洞原理与利用 

  • 为 hexo 加个管理后台: hexo + github action+ vercel

    写博客的时候发现总是要自己 hexo c g d 三件套,总是觉得有点麻烦,刚好发现 Qexo 终于更新了,很久之前就用过这个框架当 hexo 的后台,但是那时候优化还不够好,不算很好用,刚好现在有这个需求,尝试一下新版,却发现回不去了…… 简介先说一下我当前写博客的步骤: 写一篇文章 找到博客目录 将文章复制到博客的 _post 目录 hexo g -f -d 这一套流程看着就觉得有点...
      2026-03-14    
    阅读全文为 hexo 加个管理后台: hexo + github action+ vercel 

  • 镜像备份和还原

    简介学习目标: 了解 Windows 和 Linux 镜像备份方式 了解如何将 Linux 还原到 u 盘 Linux dd 命令镜像备份和挂载 环境:Windows11Linux 镜像:Ubuntu 24.04 任务:首先就是用 dd 命令进行镜像备份,克隆到 u 盘里,然后挂载 u 盘提取里面的文件dd 命令参数 if=[源文件] of=[目标文件] stat...
      2026-03-07  
    阅读全文镜像备份和还原 

  • 图床方案:Cloudflare + WebP Cloud + Picgo

    前言这段时间一直冥思苦想,图床方案到底用哪个比较好,我心中的选择只有这几样 优点 缺点 阿里云 oss 国内访问速度快,体验非常不错 公网访问太贵 七牛云 国内访问速度快,有 10G 免费空间额度 需要备案域名 cloudflare R2 10G 免费空间,还有免费流量额度 国内访问速度非常慢,得通过中转或其他方式提高速度 Cloudflare R2R2 是 Clo...
      2026-02-14    
    阅读全文图床方案:Cloudflare + WebP Cloud + Picgo 
1