diff --git a/exports/hykilp/atom.xml b/exports/hykilp/atom.xml index ea8cd3551..c6513024c 100644 --- a/exports/hykilp/atom.xml +++ b/exports/hykilp/atom.xml @@ -2,7 +2,7 @@ https://aza.moe/life 小桂桂的回忆录 📒 - 2025-05-03T18:13:14.773266+00:00 + 2025-05-03T20:13:38.262074+00:00 python-feedgen https://aza.moe/meru_256px.png diff --git a/exports/hykilp/index.html b/exports/hykilp/index.html index 4abae8ace..326909304 100644 --- a/exports/hykilp/index.html +++ b/exports/hykilp/index.html @@ -27,7 +27,7 @@ diff --git a/exports/hykilp/posts.json b/exports/hykilp/posts.json index 1a798f6f3..24cb9607e 100644 --- a/exports/hykilp/posts.json +++ b/exports/hykilp/posts.json @@ -72136,7 +72136,7 @@ "id": 5223, "date": "2025-04-16T14:31:35", "text": "互联网真是巨大草台\n\n听说昨天 4chan 被黑了就去查了一下,是真的拿到了 root shell,而且居然不是靠社工\n\n方法是上传了一份文件名是 .pdf 实际上是 postscript 的文件,然后服务器没有校验,用生成预览图的时候会执行的 ghostscript 的漏洞拿到了 shell... 🌚\n\n我上次 CyberSci 2023 的时候解出来的一道防御题就是文件内容没有检查的漏洞,.pdf 后缀但是实际上是 php 脚本... 没想到居然大论坛的生产环境里也能看到这么基础的漏洞 🤗", - "views": 4790, + "views": 4791, "forwards": 84, "media_group_id": 13958511164945181, "images": [ @@ -72903,14 +72903,14 @@ "id": 5277, "date": "2025-04-26T15:39:57", "text": "https://t.me/kxxtchannel/962\n\nClash Verge 的提权漏洞好抽象... 有一个本地 http 接口用来启动 clash,但是发请求的人可以指定 clash 程序路径,然后它不检查程序签名也不检查请求来源直接跑,还是用 root 权限跑 😨\n\n鉴定为后门", - "views": 1488, + "views": 1489, "forwards": 49 }, { "id": 5278, "date": "2025-04-26T16:48:46", "text": "溯源一下发现这个漏洞是在 clash-verge-service 代码中出现的,从那个删库的原作者 zzzgydi 2022 年的第一个提交开始到现在都一直存在...", - "views": 985, + "views": 986, "forwards": 11, "reply": { "id": 5277, @@ -73055,7 +73055,7 @@ "id": 5287, "date": "2025-04-28T10:23:37", "text": "(是玩笑啦,实际上向量相近只是在语言应用中更相关而已,和“词意”并没有什么实际的关联... 比如「快」和「慢」即使是反义词,相似度却有 0.36 这么高,只是因为很有关联而已 qwq 不过还是挺好玩的hhh)", - "views": 969, + "views": 970, "forwards": 0, "reply": { "id": 5286, @@ -73066,7 +73066,7 @@ "id": 5288, "date": "2025-04-28T20:26:59", "text": "后续:clash verge rev 的开发者给 macOS 添加了可执行程序签名验证,然而这个签名验证并没有用(笑)\n\n因为它甚至没有解析 codesign 输出... 直接验证了 codesign 输出有没有包含特定的字符串,所以黑客只要自己签一个恶意 bin 把它检测的字符串全都堆到 identifier 里就可以绕过检测拿到 root 了 \n\n(PoC 原图放这里了: clash-verge-service#9)\n\n安全检查能写成这样也太草台了,而且这个注释看起来像是 AI 生成的一样... 希望大家都不要用这样的软件", - "views": 4256, + "views": 4275, "forwards": 135, "media_group_id": 13966976157341773, "images": [ @@ -73100,7 +73100,7 @@ "id": 5290, "date": "2025-04-30T10:35:18", "text": "\"U盘\"", - "views": 326, + "views": 327, "forwards": 0, "images": [ { @@ -73176,7 +73176,7 @@ "id": 5296, "date": "2025-05-01T01:08:15", "text": "踩坑了... 刚才尝试跨过半个地球给妈妈远程 IT support,需要一个远程桌面\n\n首先试了 TeamViewer,它觉得我是商业用户不让我连\n\n然后试了 ToDesk,它说全球节点繁忙要再花 ¥66 才能连... 想换,但是妈妈说她不想折腾了、让我不要想着省这点钱。那就买吧,买完之后连接速度只有 5KB/s,延迟 >3s 完全没法用也没办法退款... 🤗\n\n最后试了 AnyDesk 发现可以用,虽然不是直连,是连了官方 relay,但是速度还不错", - "views": 246, + "views": 247, "forwards": 1, "media_group_id": 13968493560159205, "images": [ @@ -73290,7 +73290,7 @@ "id": 5304, "date": "2025-05-02T21:46:41", "text": "第一次用 libvirt + virsh + kvm,好好用!居然打一个指令之后就直接能访问 TTY shell 了\n\n意识到之前在 linux 服务器上远程桌面然后用 VMware Workstation 跑虚拟机好蠢 🥺", - "views": 153, + "views": 154, "forwards": 1, "media_group_id": 13969779211072469, "images": [ diff --git a/exports/hykilp/rss.xml b/exports/hykilp/rss.xml index 238148129..cea20bba4 100644 --- a/exports/hykilp/rss.xml +++ b/exports/hykilp/rss.xml @@ -12,7 +12,7 @@ https://aza.moe/life zh-cn - Sat, 03 May 2025 18:13:14 +0000 + Sat, 03 May 2025 20:13:38 +0000 小桂桂的回忆录 📒 #5304 https://aza.moe/life?post=5304