无星的安全之旅（一）——Burp爆破

发表于 2023-07-30 更新于 2024-12-17 分类于安全阅读次数：
本文字数： 788 阅读时长 ≈ 1 分钟

对于带验证码的爆破，需要对验证码进行识别

可以使用captcha-killer-modified搭配Burp进行爆破

同时推荐ddddocr

现在是2023年9月7日，Pillow==9.5.0当前的ddddocr并未对版本进行兼容

我改了两个docker，有需要可以直接拉取部署

# centos
docker pull 329106954/ocr_server:centos
# mac Inter芯片
docker pull 329106954/ocr_server:mac

# 启动
docker run -d -p 9898:9898 --name ddddocr 329106954/ocr_server

验证码填写

POST /ocr/b64/text HTTP/1.1
Authorization:Basic f0ngauth
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Type: raw
Content-Length: 8332

<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>

阅读全文 »

无星的前端之旅（二十七）——ts路径alias

发表于 2023-05-21 更新于 2023-06-28 分类于前端阅读次数：
本文字数： 1.9k 阅读时长 ≈ 2 分钟

背景

好久没写前端的东西了，正好前段时间写typescript时用alias遇到了一些问题，今天来聊一聊。

alias

其实用web框架写应用的时候用的很多啊

比如层级很深的时候

1	import aa from "../../../utils/index"

通过配置alias，比如把根目录配置成@就会写成

1	import aa from "@/utils/index"

这样

具体的路径就不演示了，大家应该都能明白，都用过。

阅读全文 »

无星的安全之旅（六）——信息快查

发表于 2023-04-15 更新于 2025-08-15 分类于安全阅读次数：
本文字数： 2.2k 阅读时长 ≈ 2 分钟

信息备注自己快查

记录来自哪个网站

X-Forwarded-For:127.0.0.1
 
X-Forwarded:127.0.0.1
 
Forwarded-For:127.0.0.1
 
Forwarded:127.0.0.1
 
X-Forwarded-Host:127.0.0.1
 
X-remote-IP:127.0.0.1
 
X-remote-addr:127.0.0.1
 
True-Client-IP:127.0.0.1
 
X-Client-IP:127.0.0.1
 
Client-IP:127.0.0.1
 
X-Real-IP:127.0.0.1
 
Ali-CDN-Real-IP:127.0.0.1
 
Cdn-Src-Ip:127.0.0.1
 
Cdn-Real-Ip:127.0.0.1
 
CF-Connecting-IP:127.0.0.1
 
X-Cluster-Client-IP:127.0.0.1
 
WL-Proxy-Client-IP:127.0.0.1
 
Proxy-Client-IP:127.0.0.1
 
Fastly-Client-Ip:127.0.0.1
 
True-Client-Ip:127.0.0.1

Host: 127.0.0.1

Via: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-ProxyUser-Ip: 127.0.0.1
X-WAP-Profile: 127.0.0.1

Hackbar

php请求

postform,&符分割,System里面可以任意写

1	eval(system($_POST['cmd']));

1	password=R2l2ZV9NZV9Zb3VyX0ZsYWc=&cmd=cat /flag

postform,&符分割,System里面可以任意写

1	eval($_POST['cmd']);

阅读全文 »

无星的自动化之旅（二）——PlayWright的一些常见问题

发表于 2023-03-17 更新于 2023-08-27 分类于 PlayWright 阅读次数：
本文字数： 1.3k 阅读时长 ≈ 1 分钟

写在前面

好久没写playwright的相关内容了，但最近用的还是挺多的，有些常见的问题，决定还是写下来。

内网安装

我所在的公司内网是不联网的，只有一个npm私有源，并且上游源是需要通过审批才能更新的。

说人话就是，有的包有，有的包没有，没有的包也没办法从上游源拉取。

幸运的是，有playwright的低版本。

不幸的是，安装过程中需要安装若干浏览器内核，在内网是无法下载的。

不过更幸运的是，在掘金随手点开的一篇文章，看到有人提到了这个。

对作者表示感谢。

这里引用一下。

阅读全文 »

无星的自动化之旅（三）——PlayWright配置项和常见问题

发表于 2023-03-17 更新于 2023-04-26 分类于 PlayWright 阅读次数：
本文字数： 1.8k 阅读时长 ≈ 2 分钟

这次我们来聊一聊playwright的一些配置项

一、登录保存数据

网站每次都要登录，很烦，没必要

所以我们登录之后，可以把cookie或者session什么的保存起来

下次登录再把数据注入

这样就不用再登录了

1.先正常登录

就写代码登录

2.保存数据

通过context.storageState保存数据到本地文件
例如：

阅读全文 »

无星的electron之旅（十五）—— electron访问iframe

发表于 2023-03-05 更新于 2023-03-17 分类于 electron 阅读次数：
本文字数： 880 阅读时长 ≈ 1 分钟

一、背景

一个偶然的情况，帮一个朋友写个小工具

需要内嵌用到iframe，并使用document提取其中的一些dom元素

二、报错

好像是这个，记不清楚了=。=

1	Blocked a frame with origin "***" form accessing a cross-origin frame.

三、解决

入口添加

app.commandLine.appendSwitch('disable-site-isolation-trials');


// ***
new BrowserWindow({
    // ***
    webPreferences: {
        // ***
      nodeIntegration: true,
      contextIsolation: false,
      webSecurity: false,
      allowRunningInsecureContent: true
    },
  })

四、正常拿dom

阅读全文 »

无星的electron之旅（十四）—— 裁包之去掉语言文件

发表于 2023-03-05 更新于 2023-03-17 分类于 electron 阅读次数：
本文字数： 793 阅读时长 ≈ 1 分钟

一、背景

很久没写bug了，最近写了一些业务上的小工具，因为包有点大，所以要裁一下。

首选其实就是去掉不需要的语言文件

二、如何实现

2.1 添加默认语言

在electron的入口文件添加

1	app.commandLine.appendSwitch('lang', 'zh-CN');

2.2 在打包后的钩子处脚本删除

比如我使用的是electron-builder，可以在打包配置文件中找到afterPack这个配置项

配置读取的脚本文件如下：

阅读全文 »

无星的饥荒（三）——一键脚本

发表于 2022-10-03 更新于 2024-12-17 分类于饥荒阅读次数：
本文字数： 531 阅读时长 ≈ 1 分钟

看了一大堆,最后这个完成度最高

https://github.com/carrot-hu23/dst-admin-go/releases

docker run -d -p 8082:8082 -v /root/dstsave:/root/.klei/DoNotStarveTogether -v /root/dstsave/backup:/app/backup -v /root/steamcmd:/app/steamcmd -v /root/dst-dedicated-server:/app/dst-dedicated-server  hujinbo23/dst-admin-go:1.3.1

docker run -d -p 8082:8082 -v /root/jihuang/dstsave:/root/.klei/DoNotStarveTogether -v /root/jihuang/dstsave/backup:/app/backup -v /root/jihuang/steamcmd:/app/steamcmd -v /root/jihuang/dst-dedicated-server:/app/dst-dedicated-server  hujinbo23/dst-admin-go:1.3.1

阅读全文 »

无星的饥荒（二）——Mod

发表于 2022-10-03 更新于 2023-08-08 分类于饥荒阅读次数：
本文字数： 1k 阅读时长 ≈ 1 分钟

我们来讲讲,已经启动的服务器,怎么配置mod

一.暂停饥荒服务

通过netstat和kill把服务器暂停先.

二.解析各个文件夹

1.`dstsave`

1 2	cd /home/dstsave/dst/World1 ls

里面包含两个两个文件夹Master``Caves

前面说过,Master为主世界,Caves为洞穴

实际上两个文件夹里的内容都差不多,我们这里只说mod相关配置

1
2
3

# 修改的话,最好Master和Caves两者同步修改,这里以Master为例
cd Master
vim ./modoverrides.lua

阅读全文 »

无星的饥荒（一）——安装

发表于 2022-10-03 更新于 2023-08-08 分类于饥荒阅读次数：
本文字数： 3.9k 阅读时长 ≈ 4 分钟

背景

一个朋友喜欢玩饥荒,但是总是一个人没意思

联机版又不会搭房间,去淘宝租服务器一个月20起步

本着友好助人的美好品德

帮朋友买了台2G4H 4M的服务器,一年才260,房间我负责搭,平时闲置的服务器我随便用

我可真是个乐于助人的好人

我们先选Centos7,然后开动

服务器安全组开放端口

服务器安全组把20-21,60000-60100放开,10998-10999为饥荒端口,也放开

一.搭FTP

阅读全文 »

背景

alias

信息备注自己快查

记录来自哪个网站

Hackbar

php请求

写在前面

内网安装

一、登录保存数据

1.先正常登录

2.保存数据

一、背景

二、报错

三、解决

四、正常拿dom

一、背景

二、如何实现

2.1 添加默认语言

2.2 在打包后的钩子处脚本删除

一.暂停饥荒服务

二.解析各个文件夹

1.dstsave

背景

服务器安全组开放端口

一.搭FTP

1.`dstsave`