分类文章下的文章 - 赛博保安日志

2025年Solar应急响应公益月赛-3月-部分WP

【签到】和黑客去 Battle 把！随便聊一聊就吐出密钥了，直接提交： flag{H7Q44S85842W6TQZPERS72ED} 窃密排查 - 1连接服务器，进入 /tmp，发现程序，攻击者使用了 megacmd 直接查找 mega 相关文件：find / -name "*mega*" -o -name "*MEGA*" 2>/dev/null查看 megacmdserver.log 日志，查找关键字：cat ~/.megaCmd/megacmdserver.log* 2>/dev/null | grep -i "login\|user\|flag"flag: flag{25solar3abc@habenwir.com}溯源排查 - 1下载下来是一个 raw 镜像，直接使用 WSL 挂载并修改 root 密码：sudo mkdir /mnt/rootfs sudo mount -o loop,offset=$((512 * 2048)) disk.raw /mnt/rootfs sudo chroot /

文章·生命在于学习 · 25 天前 · 17 人浏览

《双影奇境》一次沉浸式的幻想之旅

前言双人成行已经很多年了，已经五刷了，这次制作团队的新游《双影奇境》一发布，我的好兄弟就喊我：上号上号~游戏体验1. 双重世界的设计相当巧妙游戏的核心机制——两个世界的切换——在玩法上确实带来了很多惊喜。有时候，两个世界间的细微差异会成为解谜的关键，让人不得不细心观察。而在战斗中，利用不同世界的特点进行战术切换，也提升了策略性。2. 探索乐趣十足地图设计上，《双影奇境》提供了丰富的探索内容。无论是主线任务还是支线剧情，都有不错的故事铺垫，不会显得枯燥。此外，隐藏要素和解谜部分的设计也很有意思，虽然有些谜题可能会让人卡住，但整体体验较为流畅，特别是纸绘风格那一关，真的让人amazing。3. 剧情与角色塑造尚可游戏的主线剧情属于慢热型，前期可能会感觉有些平淡，但随着游戏的深入，世界观的设定逐渐展开，角色间的互动也更加丰富。不过，一些支线任务的叙事稍显薄弱，部分角色塑造也略显单薄，可能不是每个玩家都会喜欢。4. 战斗系统表现很好即时战斗系统结合了技能连携、环境互动等要素，整体来说打击感不错，操作也较为流畅。5. 画面与音乐表现优秀画面方面，《双影奇境》采用了次世代技术，光影效果、场景细节表

生活·文章 · 03-09 · 35 人浏览

PICO 4 Ultra使用记录

PICO 4 Ultra 体验分享一、介绍去年 12 月，我入手了第一款 VR 一体机——PICO 4 Ultra。PICO 4 Ultra 是 PICO 推出的一款 MR（混合现实）一体机，集成了强大的硬件配置和先进的软件生态。硬件配置PICO 4 Ultra 采用了高通骁龙® XR2 Gen 2 计算平台，相比上一代产品，计算性能提升显著。此外，它配备了：双目 3200 万像素彩色透视摄像头，提供高清透视体验；iToF 深度感知摄像头，增强空间识别能力；6DoF 交互系统，精准捕捉用户的动作，提升沉浸感。软件与生态在软件层面，PICO 4 Ultra 引入了全景屏工作台，支持用户在现实空间中打开多个虚拟大屏，大幅提升多任务处理的效率。此外，它还具备：全链路空间视频功能：支持拍摄、剪辑到播放的一站式体验；全球领先的 MR/VR 应用生态，涵盖影音娱乐、办公、生产力等多个领域；PICO 互联升级：支持 PC/Mac/手机无缝跨屏互联，实现远程操作和屏幕共享。PICO 4 Ultra 不仅是一款强大的 VR 设备，更是一个集娱乐、办公、生产力于一体的全能平台。二、PC 互联多屏

折腾·生命在于折腾 · 02-18 · 102 人浏览

Dream-Moments-Dify-微信聊天机器人

之前我使用了chatgpt-on-wechat的项目：https://github.com/zhayujie/chatgpt-on-wechat?tab=readme-ov-file 后来ichat被封掉了，又使用了dify-on-wechat的项目：https://github.com/hanfangyuan4396/dify-on-wechat 后来gewe不太行了，最近我换了wxauto：https://github.com/umaru-233/My-Dream-Moments/tree/WeChat-wxauto 但原作者只接入了硅基流动和deepseek官方的，并没有接入dify，情人节晚上我熬夜接入了dify，供自己使用，并且开源了一下，不是不想提PR，只是我改动了很多东西，不是很合适提pr，下面是一些简介：项目地址：https://github.com/yishuizhe/Dream-Moments-Dify Dream-Moments-Dify简体中文 · English My-Dream-Moments (集成 Dify 的增强版-易水哲)🚀 My-Dream-Mom

折腾·生命在于折腾 · 02-18 · 95 人浏览

Mac mini(M4) 上搭建渗透测试环境的全过程

在 Mac Mini 上搭建渗透测试环境前言最近我趁着国补换了台新设备，直接入手了一台 Mac Mini（M4）。虽然之前一直用 ROG，但考虑到 macOS 也有不少渗透测试工具可以用，索性试试看能不能搭建一套顺手的环境。这里就记录一下整个搭建过程，给以后自己参考，也顺便分享给有需要的人。1. 基本系统配置1.1 开发者模式与基础工具装好 macOS 后，第一步肯定是先搞定基础开发环境。# 安装 Xcode 命令行工具 xcode-select --install然后是 Homebrew，macOS 上必备的软件包管理器：/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"装好 Homebrew 之后，先更新一下：brew update && brew upgrade1.2 iTerm2 和 Oh My ZshmacOS 自带的 Terminal 也能用，但 iTerm2 体验更好，所以直接装：brew inst

网安·生命在于折腾 · 02-12 · 235 人浏览

考完了！

2024年12月21日和22日，我参加了2025年硕士研究生考试，题目印刷质量很好，体验很棒，明年还要参加，后面会逐步恢复写文章的。

生命在于学习 · 2024-12-23 · 82 人浏览

生命在于折腾-关于我的博客说明

一、前言最近一段时间我完善了我的博客，域名为https://anheng.tech/，已经双备案了，这篇文章总结一下这个博客用到的一些东西，这个域名我购买了10年，服务器一次性三年，所以大家可以放心收藏，存在时间会很久的，我也会经常写一些东西。二、主页主页示例图：主页的域名为https://anheng.tech/，这个使用的是github开源项目：https://github.com/imsyy/home?tab=readme-ov-file修改的话作者也给了详细说明，使用node.js 手动部署，也可以使用docker。技术栈 Vue Vite Pinia IconPark xicons Aplayer修改好后，将发布的页面全部上传到服务器，就可以了。三、Typecho框架我的子域名目前全部采用的Typecho框架，的确蛮好用的，支持丰富的插件和主题。官网：https://typecho.cn/1、网络安全博客这里是写一些简单的说说，后续可能关掉，因为有朋友圈，还有网络安全的博客全部发在这里。域名：https://blog.anheng.tech/示例图：使用的主题是：Theme

折腾·生命在于折腾 · 2024-05-22 · 315 人浏览

CVE-2021-22214记录

一、前言我现在在某央企驻场，渗透测试工程师，也负责漏洞管理平台，也就是监测、渗透测试出现的漏洞，都会录入平台，走流程整改复测办结。二、漏洞详情1、漏洞简介GitLab存在前台未授权SSRF漏洞，未授权的攻击者也可以利用该漏洞执行SSRF攻击（CVE-2021-22214）。该漏洞源于对用户提供数据的验证不足，远程攻击者可通过发送特殊构造的 HTTP 请求，欺骗应用程序向任意系统发起请求。攻击者成功利用该漏洞可获得敏感数据的访问权限或向其他服务器发送恶意请求。2、漏洞POC（1）命令行验证curl -s --show-error -H 'Content-Type: application/json' https://example.com/api/v4/ci/lint --data '{ "include_merged_yaml": true, "content": "include:\n remote: http://xx.xxx.xx.xx:port/api/v1/targets?test.yml"}'（2）burp发送包

网安·生命在于研究 · 2023-12-18 · 433 人浏览

使用PD打开ovf格式虚拟机（MAC）

一、前言下载了一个封装的工具箱虚拟机，格式是OVA的，PD无法直接打开，之前成功转换后打开过，但那时候没有记录，今天记录一下。二、过程有两种方法1、去vmware官网下载工具VMware OVF Tool地址：https://code.vmware.com/web/tool/4.1.0/ovf登录账号，下载自己对应的平台：我使用的是mac，安装完成后会在应用程序里面。打开终端输入命令：ovftool --lax name1.ova name2.vmx然后等待转换完成即可。2、不使用工具，使用Vmware fusion中转首先使用vmware fusion打开ova的虚拟机，等待导入。然后他会转换成vmwarevm格式：然后直接可以使用PD打开，PD会提示转换，等待转换完成即可。注意：需要虚拟机为关闭状态。

文章·折腾·生命在于折腾 · 2023-12-15 · 244 人浏览

TV电视盒子渗透测试抓包设置

一、前言封面图是示例图，因为涉及到保密，所以本次测试的电视盒子不放出外观和设置界面。这一次要测试电视盒子，大家也都知道，市面上的电视盒子大部分都是Android，当然，要使用笔记本去抓电视盒子的数据包，也是一样的方法，加证书，设置代理。但电视盒子都有权限的，一般不开放的，所以要联系厂商获得授权。二、步骤1、取得adb的授权为了电视盒子的安全性，厂商都会把adb关闭的，要开启也可以，但必须使用厂商的注册机，通过获取直接的机器码，发送给厂商，获得许可证，才可以开启adb，所以如果自己没有授权去做渗透测试的话，拒绝！！！未经授权的渗透测试都是违法的！！！2、设置处于同一网络将电视盒子和笔记本连接至同一WiFi，此处电视盒子的IP假设为172.21.150.161。我本机的IP为172.21.150.162：3、测试连接我上一篇文章提到过macos安装adb，如果没有adb的话参考上一篇文章安装adb。命令：adb connect 172.21.150.161如果连接成功，会回显成功或者无回显。4、导出Burp证书5、将证书转换为pem格式这里要使用openssl工具，我的macos自带，没有

文章·信息安全学习·网安·生命在于学习 · 2023-12-13 · 217 人浏览