“检测 USB HID 攻击”

“《计算机学报》2019年第五期”

当今说到渗透测试,第一时间脑海中浮现的还是 SQL InjectionRCELFI 等这样针对软件层面的漏洞。然而随着 21 世纪计算机行业的快速发展,程序员在编码层面的规范越来越多也越来越完善,软件层面的漏洞正在被大量地消灭中。上世纪 60 年代,社会工程学正式作为科学出现。其主要思想是随着计算机科学的发展,人为因素将成为安全的最大软肋。社会工程主要利用人性的弱点,对人做欺骗,达到通过内部人员得到有效身份信息的目标。硬件入侵作为社会工程学的一个…

Sep 4, 2019 ≈ 9 mins

“「转载」世界で一番幸せな女の子”

“记录点文字来快速脱离抑郁状态”

前言: 我其实以前挺爱看番的,高考之前大概一共看了将近 400 部番吧。这股热情从高考完后就开始慢慢消散了,不知为什么,我看番越来越静不下心来,快进逐渐变成了常态。如今我高考完 1 年多了,我的室友有天晚上突然为我推荐了这部 《末日时在做什么?有没有空?可以来拯救吗?》。一开始我是不太愿意去看的,因为这名字就让我有了之前看过的很多流水线垃圾番的即视感。后来有天实在无聊,查了下发现爱奇艺可以在线看,就抱着试一试的心态点…

Sep 1, 2019 ≈ 52 mins

“随笔”

" 权限不足, 需要输入密钥才能访问 | Unauthorized, Enter Passphrase to unlock "
" 密钥请咨询相关网站管理员 | Please consult the relevant webmaster for the key "

Aug 21, 2019

“黑客比普通程序员高在哪里”

“来自我的知乎回答”

假设今天老板给我们一个任务,让我们判断一下一个 IP 在不在线。我们随手用 python 写一个 ping IP 的代码: 现在,你作为一名审核代码的人员,不考虑代码整体结构问题,不考虑为什么写这段代码的程序员用ping,用popen,你能看出什么问题吗? 如果看不出的话,想两个问题: popen 的本质是什么?如果你不知道或者没有用过popen,试着不要去查,猜一下这个函数的作用。 在这段程序中,popen 要执行的命令是什么? 既然 popen 后面执行的语句中的 host 变量是由用户输入的,那恶意用户是…

Aug 17, 2019 ≈ 8 mins

“CVE-2018-17246”

“分析与复现”

最近做 HTB::Haystack 的时候遇到一个 CVE-2018-17246 漏洞,搞了一下觉得挺有意思的,正好军训完我就一直在躺尸,也没什么其他的东西来写,就写写这个漏洞吧。 首先这是个 LFI 漏洞,存在于低于 6.4.3 & 5.6.13 版本的 Kibana 上,通过漏洞可以导致 DOS攻击,任意文件读取攻击 ,也可以做 Reverse Shell 。KibanaElasticsearch 的核心插件,用来分析数据,搜索 Elasticsearch, 可作为产品或服务提供,与各种系统,产品,网站和企业中的其他 Elastic Stack 产品配合。Elasticsearch 在大数据领域可以说是大名鼎鼎,可见这个漏洞的影响还是比较大的。 漏洞的…

Jul 21, 2019 ≈ 7 mins

“「黑入」赛博朋克 2077 的服务器”

“垃圾波兰蠢驴,这么良心让别的游戏商家怎么活”

引 要说上周 E3 大会哪个游戏最出彩,我肯定说是赛博朋克:2077。从高一等这个游戏到大一的我现在只想和基努一起“烧光整个城市”。CD Projekt Red 官方上周除了公布了时长 4 分钟的宣传视频以外,还公布了游戏基础版以及豪华版的开箱视频。很多人的都被开箱内容吸引了,却忽视了视频开头的一个破解服务器 ssh 登陆密码的“特效”,暴露给我们的信息有服务器域名,端口,用户名以及密码。6 月 12 日有人证实这个服务器的确是可以通过上述暴露的信息登陆的(果然波兰…

Jun 16, 2019 ≈ 9 mins

“用 Github Probot 做仓库的自动化脚本”

“blog-updates-observer”

我的博客的访问量统计系统是自己写的,部署在之前买的 DO 服务器上。如果更新了新文章后,统计系统会有一个 API 可以向数据库插入并初始化新文章的数据。为了不让任何人都可以随意向我的数据库中插入数据,这个 API 设计成需要一个密码才能通过。考虑到网页的源代码是可见的,这让我不可能在网页源代码中直接自动化的在有新文章时去调用这个 API,所以一直以来我都是更新了文章后去手动调用这个 API。虽然比敲数据库代码效率高得多,但久而久之还是…

Jun 14, 2019 ≈ 3 mins

“使用 C4d 生成 USDZ 模型的正确工作流程”

“使用了 UNFOLD3D 以及 Substance Painter”

引 上周 WWDC 2019 开完后,我便发现苹果的美国官方网站 Mac Pro 2019 的介绍中新增了 AR 演示。虽然这个演示只支持 iOS 用户,但是其令人震撼的实时渲染效果让我又一次被苹果圈粉。仔细查了一下,虽然 AR 整个行业目前都非常 “低调”, 但是 2018 年的时候苹果就已经联合皮克斯发布了新一代 AR 创作格式 USDZ 并在 iOS 12 中深度集成了 Quick Look 功能以支持基于 PBR 的 AR 体验。为了方便开发者人员转换模型到 USDZ 格式,苹果也在 Xcode 10 中集成了名为 usdz_converter 的 API。使用这个 API 并传入一个模型以及可选…

Jun 8, 2019 ≈ 9 mins

“更好的 APP,更少的代码 :SwiftUI”

“开始使用Swift的最佳时机”

引 Apple 的产品对于我而言,软件比硬件更有吸引力。如果说硬件是打基础的话,软件则是装修。硬件是天花板,但没有软件一切都等于 0 。昨天晚上看 WWDC2019 看到 3 点半,除了tvOS 以外,每个 OS 都给了我眼前一亮的感觉,像 macOS 的 Sidecar ( RIP Duet Display ),iOS 的 Darkmode, ARkit3 ,watchOS 的噪音检测,全新的 “watch Store”,以及全新的 ipadOS 系统。这些都是 Apple 为用户们优化的体验,似乎开发者还是以前的开发者,除了新增了几个 API 以外。但是,今年的 WWDC 大会主题是 “Write code. Blow minds.”,WWDC 也果然还是一个开发者大会,随即发布的…

Jun 4, 2019 ≈ 14 mins

“儿童节的前一天”

“😂XSWL”

" 权限不足, 需要输入密钥才能访问 | Unauthorized, Enter Passphrase to unlock "
" 密钥请咨询相关网站管理员 | Please consult the relevant webmaster for the key "

May 31, 2019

Posts

Words

Tags

Portfolio

Viewers

FEATURED TAGS
普通の記事 remembered day summary raspberry 男默女泪 reproduce leetcode java algorithm C&C++ python CV jekyll Github 🔒 tensorflow deep learning js swift games CVE CS 🔧 Unity math tcs OS
ABOUT ME
avatar

“Only my Railgun”

FRIENDS
Blog Update Record