grrrr_1-CSDN博客

原创【工具类】虚拟机 + Ubuntu 安全部署 OpenClaw，联动 Ollama 零成本解锁云端大模型

本文介绍了在虚拟机中安装Ubuntu并部署OpenClaw的详细步骤，主要出于安全性考虑。物理机直接运行OpenClaw存在权限过高、模型回答不确定、插件市场混乱等风险，而虚拟机部署可将损失降到最低。文章提供了VMware/VirtualBox安装指南、Ubuntu换源教程、SSH服务配置方法等前置工作，并详细说明了OpenClaw的安装流程。特别提醒新手注意虚拟机资源分配问题，建议掌握快照、克隆等虚拟机管理技能。对于API密钥泄露风险，建议采用小额充值策略。该方案既适合学习Linux的新手练习，也为后续云

2026-03-22 23:56:02 691 2

原创【工具类】kali linux 安装 OpenClaw + 配置大模型 + 接入飞书 + 提示词注入实验

本文摘要：实验在Kali虚拟机中部署OpenClaw安全工具，通过物理机Ollama运行本地大模型，实现远程调用并接入飞书平台。重点包括：法律声明：强调技术仅限授权测试、CTF竞赛等合规场景，严禁非法入侵；环境配置：物理机安装Ollama并配置远程访问，Kali升级Node.js至22+版本；安全警告：OpenClaw默认具备系统命令执行权限，需在隔离虚拟机中使用；实验流程：整合Ollama模型、飞书API及提示词注入攻击测试，提供工具链接与风险提示。注：所有操作需遵守《网络安全法》，滥用将承担

2026-03-11 14:36:38 1736

原创【工具类】因硬件兼容性较低导致vmware虚拟机cpu可能无法开启虚拟化的解决

摘要该问题表现为Windows任务管理器显示已启用CPU虚拟化，但VMware中处理器选项未显示虚拟化功能。通过排查发现是硬件兼容性设置问题，将虚拟机硬件兼容性版本调整为更高版本后，成功在VMware中显示CPU虚拟化选项。解决方案包括修改虚拟机配置和提前备份数据，调整后问题得到解决。关键步骤涉及检查兼容性设置和选择合适的硬件版本。

2026-03-02 04:46:13 79

原创【Linux】内网穿透 FTP 终极复现手册 (2026 版)--cpolar

本文介绍了使用cpolar工具在内网环境下搭建FTP服务器的复现方法。通过创建两条TCP隧道分别处理控制通道和数据通道，解决了FTP协议在双重NAT环境下的连接问题。文章提供了Python脚本实现"协议层端口重定向"，强制将客户端引导至公网隧道出口，并详细说明了流量路径和IP漂移的解决方案。同时给出了服务端和客户端的配置代码，以及Windows系统下通过FileZilla客户端访问FTP的注意事项。特别强调了FTP主目录不要存放敏感文件的安全警告。

2026-02-24 20:57:40 958 1

原创 SHCTF 3rd - [WEB]部分writeup

本文摘要： SHCTF比赛WEB题目解题思路分享，包含三题Writeup： ez-ping：通过命令注入绕过过滤，使用通配符读取flag，分析源码发现可执行任意命令的风险。 Mini Blog：发现XML数据提交格式，利用XXE漏洞成功读取系统文件获取flag。 Java反序列化：发现未校验的ObjectInputStream，存在反序列化漏洞风险（题目未完整展示）。作者强调所有技术仅限合法授权场景使用，严禁非法行为，并详细说明了法律风险和使用限制。技术应合法用于防御、教育和研究目的。

2026-02-18 10:39:14 823

原创【python】if name == ‘main‘ 到底做了啥

本文解释了Python中if __name__ == '__main__':语句的作用。该语句通过内置变量__name__判断当前模块是直接运行还是被导入：当直接运行时，__name__值为'__main__'，条件成立执行主程序逻辑；被导入时__name__为模块名，条件不成立避免意外执行。文章通过实验演示了两种情况的区别，并指出该机制在模块化编程中的重要性，同时警示了恶意代码通过模块导入执行的安全风险，建议将可执行代码放入该条件后以保证安全。

2026-01-03 02:48:22 781

原创【漏洞复现】CVE-2025-54100

本文演示了CVE-2025-54100漏洞的复现过程，强调必须遵守法律和道德规范，仅限授权场景使用。文章提供了POC下载方式，并详细展示了在攻击机和靶机上的操作步骤，包括IE浏览器ActiveX配置修改、PowerShell环境下的漏洞触发效果。同时指出该漏洞在Chrome浏览器中不会触发，因其已弃用ActiveX技术。文末重申技术应合法使用，共同维护网络安全。

2025-12-27 20:27:24 421

原创【工具类】Nuclei YAML POC 编写以及批量检测

本文介绍了如何利用Nuclei工具检测海康威视摄像头CVE-2017-7921未授权访问漏洞。主要内容包括：法律声明强调仅限授权测试使用；Nuclei工具下载与安装指南；漏洞POC验证方法；通过Burp Suite插件编写YAML检测模板的详细步骤；以及使用Nuclei命令行进行批量检测的操作说明。文章提供了完整的YAML模板代码和运行示例，同时提醒注意法律风险和技术滥用后果。该教程适用于安全研究人员在合法授权环境下进行漏洞检测和防御研究。

2025-09-06 00:45:29 993

原创【工具类】Linux 环境利用 uv 安装多版本 python

利用 uv 在 linux 安装多版本的 python ，以及如何解决 uv install python 拉取资源超时的问题。

2025-07-26 13:00:05 2190 1

原创【ctfplus】python靶场记录-任意文件读取+tornado模板注入+yaml反序列化（新手向）

数据的一个常用库，这个库在5.1版本以前，很容易通过特定标签（如!是一个Python的Web框架和异步网络库，‌专为高性能、高并发场景设计，同时具有路由、模板、用户身份验证等功能。一般情况下，创建并启动容器只要执行一次，如果遇到问题了用启动容器或者重启容器两条命令，所以。因过滤了花括号和小括号，注入命令执行未能够成功，有大神能绕过的话麻烦告知下，感激不尽~~应用服务肯定会有个端口，查看web应用端口是多少避免和本机发生冲突，下面的源码内看到是。，攻击者利用模板引擎的漏洞，将恶意代码注入到服务器端模板中。

2025-04-09 07:44:11 1612

原创 Nginx学习笔记（一）

nginx 基础学习笔记

2025-03-30 16:15:46 1363

原创 [CVE-2017-10271]Weblogic--WLS Security反序列化漏洞复现

Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。一开始反弹shell没有成功，网上查询资料，根据又菜又爱倒腾大佬文章提示，发现部分字符需要转换成实体编码；网上随便找的实体编码在线转换网站。的内网穿透工具（免费的），顺利反弹到本地的。会跳转到如下页面，说明有漏洞。

2025-03-13 20:23:49 617

原创泷羽sec专题课笔记-- Windows作业--计算器 / 资源耗尽型恶意代码静态分析

如果 set a=< ，就是把环境变量 a 设置成小于号，这种情况下要么用双引号，要么用 ^ 符号进行转义。如果要设置成 ^ ，也必须自己再转个义。命令语法不正确。a=<'b' 不是内部或外部命令，也不是可运行的程序或批处理文件。d=^资源耗尽型恶意代码是一种设计用来消耗计算机系统资源的程序，它通过不断占用内存、CPU 时间、磁盘空间、网络带宽等关键资源，导致操作系统和其他正常运行的程序无法得到足够的资源来执行其任务，进而使系统性能严重下降甚至崩溃。

2024-12-10 16:43:54 1168