- 博客(614)
- 收藏
- 关注
RSS订阅
原创 玲珑安全第三期如约而至
六月的流火抓住了五月的尾巴,濯枝雨还未到来,各类安全培训便平地而起。安全行业既充满着机遇,也包含着挑战。市场的竞争固然会带来课程的优化,但鱼龙混杂的培训市场、华而不实的推广术语也在一定程度上迷离了我们的双眼。我们团队的核心成员平均拥有6至7年的从业安全经验。在早期,安全行业没有明显的知识壁垒,而是充满了积极的交流氛围。那段时期可以称为安全领域的黄金岁月。可随着网络发展的弊端浮现,安全行业也变得浮躁,这是我们不愿意看到的。
2024-06-05 10:28:06
1554
13
原创 【网络安全 | 漏洞挖掘】第二期玲珑安全培训班来啦!
第二期:1号讲师芳华绝代、玲珑安全联合创始人GoogleSRC排行榜玩家 10 余年漏洞挖掘经验 2023 、2024华为安全奖励计划top 21 年终端云服务第二名、19年突出贡献奖阿里巴巴500万安全赏金计划topASRC2018年度TOP6多次参加网鼎杯、XCTF并取得突出成绩第二期:3号讲师芳华绝代、玲珑安全联合创始人Bugcrowd 严重漏洞排行榜前20名阿里应急响应中心 2017 /2018 年度前十大型攻防演练比赛中多次获得一等奖。
2024-05-18 17:09:33
1150
6
原创 【网络安全 | 漏洞挖掘】玲珑安全第一期SRC培训班即将开课!
第一期:1号讲师GoogleSRC排行榜玩家 10 余年漏洞挖掘经验 2023 、2024华为安全奖励计划top 21 年终端云服务第二名、19年突出贡献奖阿里巴巴500万安全赏金计划topASRC2018年度TOP6多次参加网鼎杯、XCTF并取得突出成绩第一期:3号讲师芳华绝代、玲珑安全联合创始人Bugcrowd 严重漏洞排行榜前20名阿里应急响应中心 2017 /2018 年度前十大型攻防演练比赛中多次获得一等奖具备丰富的护网、红蓝对抗经验 8 年漏洞挖掘经验多次参加省级、市级重保项目。
2024-03-01 22:11:57
13596
56
原创 【Docker】Linux系统一键搭建开源内容管理框架Drupal详细教程
Dupal是一个强大的CMS,适用于各种不同的网站项目,从小型个人博客到大型企业级门户网站。它的学习曲线可能相对较陡,但一旦熟悉了它的工作方式,用户就能够充分利用其功能和灵活性。在本文中,我们将介绍如何使用Docker快速部署Drupal,并且结合cpolar内网穿透工具实现公网远程访问首先,您需要在您的机器上安装Docker,并且启动,可以按照Docker官方文档中的说明进行安装。
2024-07-22 19:00:38
245
1
原创 Linux系统搭建Android模拟器结合内网穿透远程开发测试详细教程
本文主要介绍如何在Linux Ubuntu系统使用Docker部署docker-android安卓模拟器,并结合cpolar内网穿透工具实现公网远程访问本地部署的Android开发环境。Android应用开发日益成为业界关注的焦点,在开发过程中,对Android应用的测试和部署至关重要,这关系到应用能否在各种设备和环境下稳定运行。然而,传统的Android开发和测试环境搭建过程繁琐,且不易于管理和维护。
2024-07-18 18:55:54
968
9
原创 【网络安全】PostMessage:分析JS实现XSS
PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messaging),这在一些复杂的网页应用和浏览器插件中非常有用。
2024-07-17 17:02:24
854
3
原创 本地部署开源消息代理软件RabbitMQ并实现远程访问本地服务端
本文主要介绍如何在Ubuntu系统环境下,安装RabbitMQ与cpolar内网穿透工具实现无公网IP随时随地远程访问本地部署的MQ服务端。RabbitMQ是一个在 AMQP(高级消息队列协议)基础上完成的,可复用的企业消息系统,是当前最主流的消息中间件之一。由erlang开发的AMQP(Advanced Message Queue 高级消息队列协议 )的开源实现,由于erlang 语言的高并发特性,性能较好,本质是个队列,FIFO 先入先出,里面存放的内容是message.
2024-07-15 21:00:18
1076
10
原创 【网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
2024-07-15 13:13:49
1416
1
原创 【网络安全】远程代码执行之Azure Cosmos DB Notebook
Azure Cosmos DB Notebook是一个用于在Azure Cosmos DB中进行数据分析和查询的工具。它提供了一个交互式的环境,使用Jupyter Notebook的方式编写和执行查询、分析数据。用户可以在Notebook中编写代码来连接到Azure Cosmos DB的数据库和容器,执行SQL查询、JavaScript代码或者其他支持的语言来操作数据,还可以进行数据可视化、实时数据流处理等操作。
2024-07-15 02:27:53
483
2
原创 【网络安全】基于PHP study的DVWA靶场搭建教程
接着访问:http://127.0.0.1/dvwa-master,拉到页面最下面点击Create/Reset Databse跳转至该页面后,输入admin、password即可登录:
2024-07-14 13:13:23
488
3
原创 【网络安全】APDCL:IDOR + 账户接管
APDCL ,即印度阿萨姆邦电力分销公司(Assam Power Distribution Company Limited),是印度阿萨姆邦政府控制的公共部门企业,负责电力分配和供应服务,确保电力供应的稳定性和可靠性,以满足居民、工业和商业客户的电力需求。
2024-07-13 13:05:07
851
4
原创 【网络安全】SSRF:Microsoft Azure API 管理服务
Azure API管理包括三个主要组件:API网关、管理平面和开发者门户。这些组件默认由Azure托管并完全管理。Azure API管理可实现数字化体验、简化应用程序集成,支持新的数字产品,并促进数据和服务的重复使用与广泛访问。
2024-07-12 10:06:44
598
4
原创 【网络安全】SSRF之Microsoft Azure Functions
Azure Functions是一种无服务器计算服务,它按需提供所有必要的基础设施和资源,用于运行应用程序。它可以用于构建Web API、响应数据库更改、处理IoT数据流、管理消息队列等多种用途。
2024-07-11 21:19:55
627
2
原创 如何使用Python快速建立一个http.server文件共享服务器并实现远程访问
本文主要介绍如何在Windows系统电脑上使用python这样的简单程序语言,在自己的电脑上搭建一个共享文件服务器,并通过cpolar创建的公网地址,打造一个可以随时随地远程访问的私人云盘。数据共享作为和连接作为互联网的基础应用,不仅在商业和办公场景有广泛的应用,对于个人用户也有很强的实用意义。也正因如此,大量数据共享软件被开发出来,云存储的概念也被重复炒作。对于爱好折腾的笔者来说,用最简单的工具找寻私人共享和存储解决方案,也是件很有趣的事。
2024-07-11 20:26:26
782
9
原创 【网络安全】SSRF 之 Azure Digital Twins Explorer
Azure Digital Twins 是一个微软下的平台服务,允许开发者创建和运行数字孪生模型,这些模型能够反映物理世界中的实体及其关系,通过这些模型可以进行监控、分析和预测等操作。
2024-07-10 14:22:28
631
3
原创 【网络安全】Oracle:SSRF获取元数据
Acme 是一家广受欢迎的播客托管公司,拥有庞大的客户群体。与许多大型运营公司一样,Acme 采用了Apiary的服务,使用户能够安全高效地管理他们的播客。Apiary 于2017年初被Oracle收购,提供了一套完整的工具集,用于开发、测试和管理REST API。
2024-07-10 14:13:39
1053
原创 Springboot服务项目本地搭建结合内网穿透实现远程接口调试
本文主要介绍如何本地搭建springboot服务项目并结合内网穿透工具,轻松实现远程访问本地服务端接口进行调试,无需公网IP。前后端分离项目中,在调用接口调试时候,我们可以通过cpolar内网穿透将本地服务端接口模拟公共网络环境远程调用调试,本次教程我们以Java服务端接口为例。
2024-07-08 19:28:38
1057
15
原创 【网络安全】Host碰撞漏洞原理+工具+脚本
如果其中任何一个组合成功(例如:http://192.168.1.1 with Host: example.com),说明IP地址192.168.1.1存在Host碰撞漏洞,可以通过伪造Host字段访问虚拟主机example.com的资源。如上图,请求www.baidu.com时,服务器通过该字段来确定处理www.baidu.com这个虚拟主机的请求,然后下发资源。如果Web服务器没有正确验证HTTP请求中的Host字段的值,则可以通过伪造或修改Host字段,访问其他虚拟主机上的资源。
2024-07-05 18:01:28
390
4
原创 Linux系统搭建Inis博客网站并使用内网穿透快速上线站点远程写作
如何在Ubuntu系统上部署新版Inis博客系统,并使用cpolar创建的内网穿透数据隧道,将Inis博客网站发布到公共互联网上实现随时随地远程访问。互联网技术总在不断进步,新技术和新软件也会来带更多功能,就以最常见的个人博客系统,也在不断推陈出新,发掘出更多功能和特色。从早期少量自定义和编辑功能,发展到现在的支持各种自定义模块和外观,以及更多更全的支持软件适配(包括php程序、数据库程序等)。
2024-07-04 19:57:19
466
9
原创 Linux设备如何安装轻量级RSS生成器RSSHub并为其配置公网地址远程访问
如何在本地快速简单部署Rsshub工具,并结合cpolar内网穿透工具使用公网地址远程访问RSS订阅源.Rsshub是一个开源、简单易用、易于扩展的RSS生成器,它可以为各种内容生成RSS订阅源。Rsshub借助于开源社区的力量快速发展,目前已适配数百家网站的上千项内容。要使用RSS,首先需要生成RSS订阅源。这可以通过RssHub等工具来完成。一旦生成了RSS订阅源,就可以搭配RSS阅读器来浏览自己感兴趣的网页内容。
2024-07-01 19:29:18
1085
16
原创 【网络安全】修改Host文件实现域名解析
开发一个网站或者服务,需要在本地测试时,可以将线上的域名指向本地开发环境的IP地址。从而模拟真实环境中的域名访问,方便调试和开发。保存hosts文件(注意:由于文件位于系统目录,需要管理员权限才能保存)。6、使用curl或者在浏览器中访问。
2024-07-01 10:27:32
616
3
原创 使用MQTT客户端工具mqtt.fx无公网IP远程连接本地局域网内服务端
如何在Linux系统中搭建Mosquitto MQTT协议消息服务端,并结合Cpolar内网穿透工具实现远程访问本地消息代理进行通信。Mosquitto是一个开源的消息代理,它实现了MQTT协议版本3.1和3.1.1。它可以在不同的平台上运行,包括Windows、Linux、macOS等。mosquitto可以用于物联网、传感器、移动应用程序等场景,提供了一种轻量级的、可靠的、基于发布/订阅模式的消息传递机制。
2024-06-27 16:34:09
671
9
原创 如何使用家中Windows电脑远程连接公司Linux环境下的SQL Server数据库
本文主要介绍如何简单几步实现在Linux centos环境下安装部署SQL Server数据库,并结合cpolar内网穿透工具,创建安全隧道将其映射到公网上,获取公网地址,实现在外异地远程连接家里/公司的数据库,而无需公网IP,无需设置路由器,亦无需云服务器。
2024-06-24 18:10:16
880
13
原创 Linux系统安装Dify结合内网穿透实现远程访问本地LLM开发平台
本文主要介绍如何在Linux Ubuntu系统使用Docker快速部署大语言模型应用开发平台Dify,并结合cpolar内网穿透工具实现公网环境远程访问本地Dify服务!Dify 是一款开源的大语言模型(LLM) 应用开发平台。它融合了后端即服务(Backend as Service)和LLMOps的理念,使开发者可以快速搭建生产级的生成式 AI 应用。即使你是非技术人员,也能参与到 AI 应用的定义和数据运营过程中。
2024-06-20 17:31:03
671
14
原创 使用PLSQL Developer远程连接本地Oracle数据库操作流程指南
本次教程和大家分享如何在Windows系统本地搭建Oracle数据库,并通过cpolar内网穿透将本地端口映射到公网,实现公网环境下通过PL/SQL工具进行远程连接访问。Oracle,是甲骨文公司的一款关系数据库管理系统,它在数据库领域一直处于领先地位。可以说Oracle数据库系统是世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小微机环境。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。
2024-06-17 20:12:26
1533
10
原创 本地使用宝塔面板一键部署tipask问答网站并实现无公网IP远程访问
如何在Ubuntu系统上搭建一个Tipask私人问答网站,并实现无公网IP也能远程访问本地站点。在我们的生活和工作中,经常会碰到各种各样的问题,而碰到问题的时候,通常都会到网上寻找答案,但网上寻找到的答案要么答非所问,要么全是广告,真正有价值的回答少之又少,这就让人很头疼。也正是这个痛点,催生了如“某乎”这样的问答平台,让我们能轻松快速的找到想要的答案。Tipask网站从基本上看,实际与论坛网站很相似,因此在安装和部署上并没有太大的难度。
2024-06-13 18:07:21
693
11
原创 如何在玩客云使用docker部署memos笔记并实现多设备同步笔记
本文主要介绍如何在CasaOS玩客云使用Docker本地部署开源云笔记服务memos,并结合cpolar内网穿透工具打造可公网访问的私有云笔记服务。对很多学生党来说,往往都有把自己偶然迸发的想法,上课记的笔记,喜欢的图片,有用的链接保存到一个地方,然后使用自己所有的设备都可以访问的需求。memos就能轻松的做到这一点,无论你在手机、平板、不同的系统的电脑上,都可以轻松访问你保存在上边的内容。支持实时修改并同步,而且所有的数据都保存在你的本地,相对来说更可控也更安全一些。
2024-06-06 18:31:01
1006
10
原创 Linux系统使用Docker安装DashDot服务器仪表盘与远程监控详细流程
本篇文章我们将使用Docker在本地部署DashDot服务器仪表盘,并且结合cpolar内网穿透工具可以实现公网实时监测服务器系统、处理器、内存、存储、网络、显卡等,并且拥有API接口。DashDot是一款简单、实用的开源现代服务器仪表盘,主要应用于小型 VPS 和私人服务器(比如说NAS),它是一个界面非常漂亮的监控服务器面板!
2024-06-03 21:13:46
1106
10
原创 使用Docker安装Traefik反向代理工具并实现无公网IP远程访问
Traefik 是一个云原生的新型的 HTTP 反向代理、负载均衡软件,能轻易的部署微服务。它支持多种后端 (Docker, Swarm, Mesos/Marathon, Consul, Etcd, Zookeeper, BoltDB, Rest API, file…) , 可以对配置进行自动化、动态的管理.
2024-05-30 18:40:16
769
13
原创 【网络安全】XSS之HTTP Only
HTTP Only 是一个用于设置 HTTP Cookie 的属性,它可以防止通过 JavaScript 访问该 Cookie。当将 Cookie 标记为 HTTP Only 后,浏览器将只允许在 HTTP 请求中发送该 Cookie,而禁止在客户端的 JavaScript 中进行访问。
2024-05-29 21:31:26
341
2
原创 【网络安全】XSS之绕过HttpOnly实现帐户接管
fetch 方法是JavaScript中用于发起网络请求的现代 API,实现从网络中获取资源(如文本、JSON、Blob 等)。url 是要发送请求的 URL,而 options 则是一个包含各种配置选项的对象,例如请求方法、请求头、身份验证信息等。fetch 方法返回一个 Promise,该 Promise 在收到响应后会解析为 Response 对象。通过对 Response 对象执行方法和访问属性,可以获取响应的状态、头信息和内容。
2024-05-29 19:11:35
831
2
原创 【网络安全】Linux拉取Gitlab项目
此时在~/.ssh/下会生成两个文件,id_rsa文件和id_rsa.pub文件,其中id_rsa文件存储的是私钥,而id_rsa.pub文件存储的是公钥。在 Linux 上使用 Git 命令行工具可以轻松地将 GitLab 项目拉取到本地,并记录操作日志。GitLab 使用 SSH 密钥来进行认证,在克隆项目时需要正确的 SSH 密钥配置。接着连按三个回车(不设置文件名、密码)
2024-05-29 08:11:32
434
1
原创 CI工具Jenkins本地部署结合内网穿透实现无公网IP访问Jenkins站点
上面我们在本地Linux中安装和启动了Jenkins服务,并且本地访问ok,下面我们在Linux安装cpolar内网穿透工具,通过cpolar的http公网地址,我们可以很容易实现远程访问Jenkins,而无需自己注册域名购买云服务器.下面是安装cpolar步骤。我们使用http公网地址访问,即可看到我们Jenkins站点,这样一个公网地址且可以远程访问就创建好了,新地址访问,可能需要重新登录.我们重新输入上面查看的密码登录即可。它提供了一个易于使用的平台,用于构建、测试和交付软件的过程。
2024-05-27 17:58:42
1156
13
原创 【网络安全】JavaScript原链型污染
在 JavaScript 中,使用原型继承模型与许多其他语言所采用的基于类的继承模型有着明显的区别。在 JavaScript 中,对象是由一组称为“属性”的键值对构成的集合。举例来说,可以定义一个包含用户名和用户标识的 user 对象
2024-05-27 11:18:31
927
原创 Windows电脑搭建自己的Plex流媒体服务并远程播放本地视频
用手机或者平板电脑看视频,已经算是生活中稀松平常的场景了,特别是各种碎片时间(追剧下饭、地铁上刷剧等等),看个喜欢的视频必不可少。但不知道为什么,各大影音平台总能轮流占住热播剧,还限定很多剧只能会员观看,搞得我们总有交不完的会员费。此时,拥有一个私人影音媒体站点就显得很有必要。今天,笔者就为大家介绍,如何使用cpolar+Plex组合,在Windows系统上搭建一个全能的私人媒体影音站点。
2024-05-23 18:04:58
2279
17
原创 【网络安全 | 信息收集】灯塔(资产收集工具)使用教程
ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统,旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。其特性如下:1、域名资产发现和整理2、IP/IP 段资产整理3、端口扫描和服务识别4、WEB 站点指纹识别5、资产分组管理和搜索6、任务策略配置7、计划任务和周期任务8、Github 关键字监控9、域名/IP 资产监控10、站点变化监控。
2024-05-22 09:46:49
1864
2
原创 【网络安全】Xshell连接远程服务器并实现文件传输
下载完成后双击exe文件,接着一路next即可。先在在右方选择虚拟机要接收文件的地方,然后在左方找到需要传输的文件,双击文件即可传输成功
2024-05-22 08:13:35
369
原创 【网络安全】攻击机监听端口、靶机发起请求
在监听模式下(-l),以详细模式运行(-v),并监听在端口号为111(-p 111)的端口上,等待连接。此时靶机将向攻击机发起请求,攻击机即可接管该靶机服务器。
2024-05-20 20:38:17
293
3
原创 Ollama+Open WebUI本地搭建大模型并发布公网分享好友体验AI交互
本文主要介绍如何在Windows系统快速部署Ollama开源大语言模型运行工具,并安装Open WebUI结合cpolar内网穿透软件,实现在公网环境也能访问你在本地内网搭建的大语言模型运行环境。近些年来随着ChatGPT的兴起,大语言模型 LLM(Large Language Model)也成为了人工智能AI领域的热门话题,很多大厂也都推出了自己的大语言模型,并或多或少的开源了自己的大语言模型,今天就来分享一个最近很火,且对于小白来说比较好上手本地部署的运行本地LLM的工具Ollama。
2024-05-20 18:17:37
1939
15
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人