脚本 漏洞xss

前言 最近看到许少的推有说到Zip Slip这个漏洞导致的RCE，其实我在代码审计的时候确实发现有不少功能模块都是使用ZIP来解压，其实还是在真实系统中经常见到的。 于是想着好久没有写过博客了，想借着这次机会更新一下吧，免得读者以为我在偷懒没学习了~ Zip Slip是什么漏洞 Zip Slip是一 ......

小背景： 我们公司项目中的小脚本是一些工具类，比如常用的是MapUtil工具类的一些方法 写公司的MapUtil工具类的方法要注意，方法名的命名，因为方法名，在公司的项目的某个业务流程有对方法名的进行String截取开头字符串然后进行判断 一、工具的使用推荐 1、获取到请求url（接口的形式-一般数 ......

前言 这个RCE漏洞利用链的实现是由几个逻辑洞的结合而导致的，这几天我花了一些时间复现了一遍，在此记录一下。 固件解压 我下载的是RV345 v1.0.03.24，从官网下载到压缩包解压之后可以看到它的rootfs是ubi格式的img。之前我都是使用kali里的 binwalk 对其进行解压可以直接 ......

背景 openwrt 有些固件不太稳定，会时不时的断网，导致家里无法上网，遇到这种情况只能手动重启openwrt设备，该操作不方便，作为一个极客爱好者，那肯定是要实现自动化处理的了，写一个简单的脚本加入到crontab定时任务中，就可完全自动化检测了，解放双手。 脚本思路 1、ping指定域名5次， ......

DVWA系列4：XSS 跨站脚本攻击之 DOM型 和 反射型 前言 跨站脚本攻击（即 Corss Site Script，为了不与 CSS 混淆被称为 XSS）是一种较为常见的攻击手段。主要分为三种类型：DOM 型，反射型，存储型。本文先主要介绍 DOM 型 和 反射型。 这两种都是完全发生在浏览器 ......

SQL注入是常见的系统安全问题之一，用户通过特定方式向系统发送SQL脚本，可直接自定义操作系统数据库，如果系统没有对SQL注入进行拦截，那么用户甚至可以直接对数据库进行增删改查等操作。 XSS全称为Cross Site Script跨站点脚本攻击，和SQL注入类似，都是通过特定方式向系统发送攻击脚本 ......

Windows服务 1.不安全的服务文件权限或路径 基本原理 Windows服务是一种在后台运行的计算机程序，它在概念上类似于Unix守护进程。 每个Windows服务都将其可执行文件的路径存储在称为BINARY_PATH_NAME的变量中。当启动服务时，会检查此变量并执行其下设置的.exe文件。 ......

一些实用的VBS脚本 截取屏幕并将截图保存到剪贴板 With CreateObject("Word.Basic") .Sendkeys "{prtsc}" .FileQuit '.AppClose End With Msgbox "已将屏幕截取到剪贴板。", vbSystemModal+vbInfo ......

将多个 srt 文件拼接成一个，找了好多工具，都太重了，自己用 shell 手搓一个。一开始没觉得这个小工具有多么难，以为半天肯定能搞定，结果足足搞了三天。绊倒我的居然是时间字段的拆分和前导零的删除，看看 shell 里有多少种实现方案，以及我为何选择了当前的方案。 ......

问题 当我们使用 Windows 桌面下的编辑器编写一个 Shell 文件时，很容易将文件使用的换行符保存为 dos 格式。如果将文件上传到 Linux 服务器执行时，可能会遇到下面的错误。这是因为 # 显示一个简单的shell文件 $ cat dosnewline.sh #!/bin/sh ech ......

作者：京东物流 刘红妍 导读： 在自动化测试实践中，为了更好的契合被测业务场景，需要不断优化框架分层结构。本文结合产品模块化思路，意在介绍通过策略模式改造原本复杂分支语句代码，通过理论讲解、思路分析、方案设计、及代码演示，提供自动化脚本重构的落地方案。 在今年的敏捷团队建设中，我通过Suite执行器 ......

前言 WordPress 是一种使用 PHP 语言开发的博客平台，用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也算是一个内容管理系统（CMS） ###环境搭建 docker环境 （搭建可参考：https://www.cnblogs.com/BlogVice-2203/ ......

之前写2022年度总结的时候，有提到要给大家分享漏洞挖掘技巧。这里简单分享一些思路，更多的内容需要大家举一反三。 文章准备昨晚写的，昨天晚上出去唱歌，回来太晚了，耽搁了。昨天是我工作的last day，心里还是有点难受的。我想了想，人生大抵如此。在短暂的生命中，认识不同的人，和他们相识到相知，再到离 ......

1、背景 我有一堆学生数据，其中湖北省的学生需要排在所有数据的最前面。其余省正序排序，对于同一个省的数据，按照年龄倒序排序。 2、分析 对于上方的排序需求，湖北省的学生数据需要排在前端，但是湖北省并不是一个字段，那么这个时候改如何实现呢？对于这种场景我们很容易就想到需要脚本script sort来实 ......

背景 背景是这样的, 我的家里台式机常年 休眠, 并配置了 Wake On Lan (WOL) 方便远程唤醒并使用. 但是我发现, 偶尔台式机会被其他情况唤醒, 这时候我并不知道, 结果白白运行了好几天, 浪费了很多电. 所以我的需求是这样的: 🤔 电脑唤醒后(可能是开机, 有可能是从休眠状态唤醒 ......

nmap --script 前言 我们通过nmap script来大幅扩展nmap的功能，nmap具有强大的脚本引擎NSE（Nmap Scripting Engine），它允许用户编写（和共享）简单的脚本（使用lua编程语言）自动化各种网络任务 官方文档 NSEDoc Reference Porta ......

前言 序列化是将变量或对象转换成字符串的过程 反序列化就是把一个对象变成可以传输的字符串，目的就是为了方便传输 而反序列化漏洞就是，假设，我们写了一个class，这个class里面存有一些变量。当这个class被实例化了之后，在使用过程中里面的一些变量值发生了改变，之所以会产生反序列化漏洞是因为应用 ......

为解决繁琐的部署流程，简化安装步骤，本脚本提供一键安装最新版本的DSS+Linkis环境；部署包中的软件采用我自己编译的安装包，并且为最新版本：DSS1.1.1 + Linkis1.3.0。 ......

主题 2 Shell工具和脚本 Shell 工具和脚本 · the missing semester of your cs education (missing-semester-cn.github.io) Shell脚本 shell 脚本是一种更加复杂度的工具。 定义变量 在bash中为变量赋值的 ......

##前言 Active Directory 域服务，是一种目录服务，提供了存储目录数据信息以及用户相关的一些密码，电话号码等等一些数据信息，且可让用户和管理员使用这些数据，有利于域管理员对用户的数据信息进行管理。 AD CS (Active Directory Certipy Server)是允许你 ......

前言 SQL注入的原理是对web请求，表单或域名等提交查询的字符串没有进行安全检测过滤，攻击者可以拼接执行恶意SQL命令，导致用户数据泄露 漏洞原理 Django 组件存在 SQL 注入漏洞，该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足，攻击者可利用该漏洞在未授权的 ......

说明 基于微服务项目，产生的的多项目仓库管理脚本。可直接保存 shell 脚本后酌情修改后试用 目录结构 xxxx Xxx1Api/ Xxx2Api/ git_clone_api.sh git_branch_dev.sh git_pull_all.sh git_status.sh api-build ......

作者：馒头，博客地址：https://www.cnblogs.com/mantou0/ 出身： 作为一名安全人员，工具的使用是必不可少的，有时候开发一些自己用的小工具在渗透时能事半功倍。在平常的渗透测试中和SRC漏洞挖掘中Brupsuite使用的比较多的于是我有了一个小想法。 思路： 1、在服务器上 ......

简介 过去，如果在业务中需要处理任务调度的时候，大家都会使用第三方的任务调度组件，而第三方组件有一套自己的规则，在微服务的中显得那么格格不入，这样就会造成代码臃肿，耦合性高，如果有分布式还需要搭建新的分布式环境，如果把任务调度做成组件服务，这个就完全满足了微服务的模块化，组件化，而下面谈的是在sur ......

前几天看了两篇文章，觉得很不错，写一笔，就当笔记记录。 第一篇文章:https://jinone.github.io/bugbounty-dom-xss/ 作者写了自己通过自动化挖dom xss，差不多赚了3w刀左右。他分享了一些不错的漏洞案例。这里很感谢作者，无私分享思路出来，也给大家有了喝口汤的 ......

背景：使用python脚本传递参数在实际工作过程中还是比较常用，以下提供了好几种的实现方式： 一、使用sys.argv的数组传入说明：使用sys.argv必须按照先后的顺序传入对应的参数；sys.argv则封装了传入的参数数据，作为数组的方式已经传入 import sys print("传入参数的总 ......

有一个煤矿项目，使用iNeuOS系统时有一个需要是：要统计设备的运行时长，进一步统计设备运行效率。主要是有效分析设备运行状态，合理的进行节能。iNeuOS本身具备强大的脚本能力，需要现场实施人员有一定脚本编写能力，如果不具备脚本编写能力，那么下面的模板修改相应的参数即可。 ......

〇、参考地址 1、Linux下编写脚本自动安装hive https://blog.csdn.net/weixin_44911081/article/details/121227024?ops_request_misc=%257B%2522request%255Fid%2522%253A%252216 ......

前言 在这篇文章中，我们将学习谷歌的zx库提供了什么，以及我们如何使用它来用Node.js编写shell脚本。然后，我们将学习如何通过构建一个命令行工具来使用zx的功能，帮助我们为新的Node.js项目引导配置。 编写Shell脚本的问题 创建一个由Bash或者zsh执行的shell脚本，是自动化重 ......