背景
我有一台外网电脑,还有一台内网电脑,内网的镜像源全靠人手工上传包,且平时几乎不更新,所以包的版本都很低。
我喜欢做一些简单的工具,仅自己使用,而且我喜欢用最新的版本,内部的源无法满足我的需求。
而且,我平时是使用pnpm管理。
那么接下来,我来介绍几种方式,以应对这个情况。
方式一
针对使用yarn和npm包管理器的,非常简单,整个node_modules搬进去就行了。
方式二
使用tar包
访问淘宝镜像站点https://npmmirror.com/
无星的安全之旅(五)——密码入门
密码学入门,我们介绍一些简单的密码
brainfuck
这是一个完备的图灵语言
Brainfuck基于这样一台机器。它具有一列初始化为0的数组(数组长度最初要求是30,000,但这个标准不是必要的)和一个初始指向第一个元素的指针。
该语言总共只有8个命令,除此之外所有其他字符都会被忽略
1 | ><+-.,[] |
所以看到了这八个字符组成的,就是brainfuck
| 命令 | 功能 | C语言 |
|---|---|---|
| > | 指针右移一个元素 | p++; |
| < | 指针左移一个元素 | p–; |
| + | 指针当前所指元素加1 | *p++; |
| - | 指针当前所指元素减1 | *p–; |
| . | 输出指针所指元素对应字符 | putchar(*p); |
| , | 输入字符的ASCII码值到指针所指元素 | *p=getchar(); |
| [ | 若指针所指元素为0,则跳转到对应 | ‘]’处继续执行 while(*p){ |
| ] | 若指针所指元素不为0,则跳转至对应 | ‘[‘处继续执行 } |
其实说那么多,也不会自己动手算,让我们上工具
无星的安全之旅(四)——内网渗透
无星的安全之旅(三)——互联网渗透
无星的前端之旅(二十八)—— 离线安装npm库
无星的自动化之旅(四)—— PlayWright内网升级ms-playwright
背景
事情是这样的,因为工作的重复率太高,我不得不开发一些脚本来 摸鱼 提高工作效率
但是问题是这样的
我在的单位内外网是隔离的,我所在的分支机构没有开发人员,总部有研发中心,但是并不会理会我们这些分支机构
内网的npm私有库有一个很老的playwright@1.23.4版本,而我的脚本需要用到一些比较新的特性
我拥有的设备
1 | 内网机: |
而不同版本的playwright依赖的webdriver又不一样
而我集齐了windows,mac,linux三种设备。。。
这就意味着我不太好下载对应版本的ms-playwright(总不能为了下载对应的webdriver去装个虚拟机吧)
无星的安全之旅(一)——Burp爆破
对于带验证码的爆破,需要对验证码进行识别
可以使用captcha-killer-modified搭配Burp进行爆破
同时推荐ddddocr
现在是2023年9月7日,Pillow==9.5.0当前的ddddocr并未对版本进行兼容
我改了两个docker,有需要可以直接拉取部署
1 | # centos |
无星的安全之旅(二)——文件上传
文件上传是个经典问题
推荐靶场:upload-labs
我们可以在这个靶场中进行文件上传绕过的练习
先说webshell,我们写个一句话木马先
这里留个大哥若干年前的总结 webshell一句话木马大全
接下来我们聊聊文件上传的漏洞
一.啥防护没有
直接一句话木马上传就完事了
二.前端文件后缀判断
打开开发者工具,提交文件,看是否存在网络请求