zneVue

原创 这么多款SSH工具，哪款适合自己？

一款功能强大的远程连接工具，支持SSH、RDP、VNC、X11等多种协议。Xshell是一款功能强大的终端模拟器，它提供了会话管理器、快速命令管理器、选项卡管理器和文件管理器，使得管理远程主机变得更加容易。它支持SSH、SFTP、命令智能提示，并且支持三种主题的切换，包括亮白模式、暗黑模式、黑白相间模式。支持连接方式：SSH2、SSH3、SFTP、telnet、rlogin、serial。支持连接方式：SSH、Telnet、VNC、Serial、Xdmcp等多种协议。支持连接方式：SSH、远程桌面连接。

原创 双绞线分类：看懂五类、超五类、六类、超六类、七类网线

原创 BoidCMS 文件上传漏洞（CVE-2023-38836）

BoidCMS v.2.0.0 存在文件上传漏洞，远程攻击者可通过添加 GIF 头部绕过 MIME 类型检查，执行任意代码。

原创 WP Statistics SQL注入漏洞（CVE-2022-4230）

WP Statistics WordPress 插件13.2.9之前的版本不会转义参数，这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下，具有管理选项功能 (admin+) 的用户可以使用受影响的功能，但是该插件有一个设置允许低权限用户也可以访问它。

原创 Linux 常用命令

原创 cockpit 文件上传漏洞（CVE-2023-1313）

cockpit在2.4.1版本之前存在任意文件上传漏洞PS：通过在浏览器中打开/install来运行安装。

原创 SpiderFlow RCE漏洞（CVE-2024-0195）

SpiderFlow是新一代开源爬虫平台，以图形化方式定义爬虫流程，不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发。该系统/function/save接口存在RCE漏洞，攻击者可以构造恶意命令远控服务器。

原创 ActiveMQ 反序列化RCE漏洞（CVE-2023-46604）

在Apache ActiveMQ 5.18.2版本及以前，OpenWire协议通信过程中存在一处反序列化漏洞，该漏洞可以允许具有网络访问权限的远程攻击者通过操作 OpenWire 协议中的序列化类类型，导致代理的类路径上的任何类实例化，从而执行任意命令。

原创 jeect-boot RCE漏洞（CVE-2023-4450）

JeecgBoot 是一个开源的低代码开发平台，Jimureport 是低代码报表组件之一。当前漏洞在 1.6.1 以下的 Jimureport 组件库中都存在，由于未授权的 API`/jmreport/queryFieldBySql`使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。

原创 Apache Spark RCE漏洞（CVE-2023-32007）

Apache Spark 3.4.0 之前版本存在命令注入漏洞，该漏洞源于如果ACL启用后，HttpSecurityFilter 中的代码路径可以允许通过提供任意用户名来执行模拟，这将导致任意 shell 命令执行。

原创 Chamilo LMS 未经身份验证RCE漏洞（CVE-2023-3368）

/main/webservices/additional_webservices.php 中的命令注入允许未经身份验证的攻击者通过不当中和特殊字符来获取远程代码执行。这是对 CVE-2023-34960 的绕过。

原创 Cobalt Strike 渗透基本使用

Cobalt Strike 是一款渗透测试神器，被业界人称为CS神器。CobaltStrike 分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。Cobalt Strike 集成了端口转发、服务扫描，自动化溢出，多模式端口监听，windows exe 木马生成，windows dll 木马生成，java 木马生成，office 宏病毒生成，木马捆绑。钓鱼攻击包括：站点克隆，目标信息获取，java 执行，浏览器自动攻击等等强大的功能！

原创 Neo-regeorg 实现正向代理

Neo-regeorg 是一个基于 Python 编写的用于正向代理和内网穿透工具，采用 socks5 协议。支持的脚本类型：aspx、ashx、jsp、jspx、php。

原创 FinalShell 激活（所有版本）

下载完成后，双击文件进行安装，除安装路径以外，跟随提示无脑下一步即可。该实现算法基于python程序，所以需要有python环境去运行。网上应该有在线的python程序运行，可以找找看。然后将激活码复制到离线激活中即可。选择适合的版本点击链接进行下载。或者私信我，但不能及时回复。这里就不依次演示了 ~

原创 Burp爆破-Base编码

先从用户名爆破文件里面导入用户名，再在每一个用户名后面加一个冒号，最后再在每一个冒号后面添加所有可能的密码，再把这三个的结合体使用base64加密后发送给服务器，逐个尝试直到。等待爆破完成后，可以点击 length（长度）或者查看status（状态码）来确定哪一个是正确的账号和密码。在 Intruder 中，先点击 清除 PayLoad，然后选中被编码的密文，点击 添加 PayLoad。选择攻击类型为：Clusterbomb（集束炸弹），该攻击类型会依次遍历每个 payload 集。

原创 永恒之蓝漏洞复现

永恒之蓝（ms17-010）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，使全世界大范围内遭受了该勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过支付高额的赎金才能恢复出文件。存在漏洞的主机只需要开放445端口即可被攻击，获取系统最高权限。调用 msf 工具选择永恒之蓝扫描模块，进行漏洞扫描。显示目标主机很可能会受到永恒之蓝漏洞的攻击。

原创 工程化开发：Vue cli 脚手架 介绍&安装

Vue CLl 是 Vue 官方提供的一个全局命令工具，可以帮助我们快速创建一个开发 Vue 项目的标准化基础架子。

原创 Github 解决无法访问

DNS是一种用于将网址转换为IP地址的工具，如果你的电脑无法访问GitHub，那么很有可能是因为DNS出现了问题。综上所述，出现无法访问GitHub的情况，可能是因为网络层面的问题、GitHub本身问题或者个人设备问题，需要通过排查来找出具体的原因并采取相应的解决方案。其次，GitHub的服务器出现问题也有可能导致无法正常访问。浏览器问题可能导致你的电脑无法正常访问GitHub，解决方法包括清除缓存、重启浏览器或者使用其他浏览器尝试访问。最后，还有可能是你的个人设备存在问题，导致你无法访问GitHub。