白嫖的乐趣-WiFi认证绕过
国庆出游7天,途中有2-3天手机会无信号,只能使用运输公司提供的WiFi。而根据公开的价格这个东西非常的坑,每个设备大概需要1000多块RMB。虽然相比路费不算多,但是作为搞安全的,能白嫖自然是最好的咯~
0CTF/TCTF 2023出题笔记
鸽了好久的22年TCTF线下赛总算补完了……不过脑细胞都用来出23年的线上赛了,不得不说web题越来越难出了,本次搞了半天弄了两题,加上zsx师傅的一题总共也就3道web,23线下的web还不知道在哪呢(笑)。
毕业,秋招,未来和一些碎碎念
好久没更博客了,诈下尸。
Windows签名及WHQL认证踩坑记录
最近在写一个windows内核驱动,接触了数字签名这方面的内容,虽然老早就了解过,但是一直没机会实践。正好现在甲方爸爸提供资金,终于有机会折腾了!然而由于网上教程非常之少,大部分需要自己读文档踩坑,这边就记录一下。 参考文章网上教程比较少,可以先看看,以官方文档为主。 https://www.freebuf.com/articles/system/321507.html https://learn.microsoft.com/en-us/windows-hardware/drivers/ 证书申请代码签名证书是什么就不多说了网上都能找到,这边主要有两类:标准代码签名证书和EV扩展签名证书。它们都能签名可执行文件防止误报,区别在于只有EV扩展签名证书才能对驱动签名。这里由于我们要签名驱动所以选择了EV证书,至于厂商看了一圈发现国内代理加价还是很严重的,基本上是国外同等证书的2-10倍。这边省点预算选择了ssl.com的EV证书,大概在三年700多刀属于是正常价格了。 申请过程没什么坑,提交公司相关资质就行,全程也有客服24小时服务,非常的nice。需要注意一点就是如果不想每个月掏10 ...
XCTF高校挑战赛与zzzcms 2.1.4最新版前台RCE
这次鸽了快两年的XCTF高校挑战赛和TCTF冲了,于是一边当客服一边打比赛(雾最后小伙伴们AK夺冠,tql!! zzzcms 0day国内出CMS题和zzzcms过不去了是吧,天天出前台RCE,下次我也整一个(手动滑稽)……这次是最新版,我们先来看看历史漏洞的修复情况: 1.7.5/2.1.0前台RCE更多绕过过滤的变种就不看了,这两个洞需要控制 /search 的keys参数渲染模板,在最新版中参数需要通过一个 safe_key 函数: 12345678// 安全过滤字符串,仅仅保留 [汉字、数字、字母及=<>,_/],最长255字符function safe_key( $s , $len=255) { $s = decode(is_array($s) ? @implode(",",$s) : $s); preg_match_all('/[\x{4e00}-\x{9fa5}a-zA-Z0-9<>,.:=@?_\-\/\s]/u',$s,$ ...
0CTF/TCTF 2022出题笔记
这次TCTF不算太难,题目也不多,@Water Paddler还AK了web,可喜可贺!
Butterfly主题自定义
Butterfly主题是非常好的一款hexo主题,为了兼容之前handsome的一些排版,需要对其进行一定的自定义修改。
从Typecho完美迁移到Hexo
请不要直接拷贝运行本文中的脚本!需要根据你博客的设置进行修改。迁移前务必备份数据。迁移前务必备份数据。迁移前务必备份数据。 经过了5年时间,typecho和handsome主题伴随着我的博客走到现在,在此向各位开发者表示感谢。然而,随着时间的推移以下问题越来越凸显: typecho及插件年久失修。虽然前些日子typecho诈尸了1.2版本,但各种插件基本都躺尸了,兼容问题很难解决。 handsome主题代码膨胀。目前最新版8.4.1仅php就有2w左右LoC,因为要支持各种需求作者添加了很多新功能导致代码量增长很快。这里绝对不是批判的意思,这个主题可以说是typecho第一梯队模板之一了,要不然我也不会用了5年。可惜很久以前我就用不到更新的新功能了,因为没有公开repo,每次更新还需要自行维护版本修改自定义内容,说实话挺累的…… 安全性问题令人担忧。typecho、插件以及主题暴露的攻击面实在是无法控制,php又是一门神奇的语言,上面两个问题更加剧了这一点。虽然我做了容器化但问题依然存在。 年初就想迁移了,但由于各种事情一直拖着摆烂,而压垮骆驼的最后一根稻草是一周前有无聊的人来 ...
逃离ESXi,拥抱PVE(雾)
前文讨论到了ESXi中直通遇到的诡异BUG,然而最近发现不使用直通依然存在内核卡死的问题,虽然服务仍然可以跑,但是无法重启vm,smb写入在windows上依然存在未知瓶颈。正好忙里偷闲有点空,抓紧时间整体逃离ESXi吧……
Bug or feature?慎用ESXi的SATA直通!
最近维护家里服务器时追踪到了一个诡异的bug,启用SATA直通后在某些情况下可能会影响网络速度,初步怀疑是ESXi自身的bug导致,暂时没啥解决方法只能换其他解决方案,网上没找到类似的信息姑且做个记录方便后人。