Discuz x3.4 前台 SSRF 分析
作者:LoRexxar'@知道创宇404实验室时间:2018年12月7日英文版本:https://paper.seebug.org/981/2018年12月3日,@L3mOn公开了一个Discuz x3.4版本的前台SSRF,通过利用一个二次跳转加上两个解析问题,可以巧妙地完成SSRF攻击链。https://www.cnblogs.com/iamstudy/articles/discuz_x34_ssrf_1.html在和小伙伴@Dawu复现过程中发现漏洞本...
2024-01-10
Discuz! 1.5-2.5 命令执行漏洞分析(CVE-2018-14729)
作者:lucifaer作者博客:https://www.lucifaer.com/鸡肋的漏洞,不过官方的解决方案也是有点意思…0x00 漏洞简述漏洞信息8月27号有人在GitHub上公布了有关Discuz 1.5-2.5版本中后台数据库备份功能存在的命令执行漏洞的细节。漏洞影响版本Discuz! 1.5-2.50x01 漏洞复现官方论坛下载相应版本就好。0x02 漏洞分析...
2024-01-10
hifi,Discuz!
Hi-Fi是骗局吗?hI-FI,中国话叫“高保真”。高保真是骗局吗?不是!高保真,是人们对音响器材的一种追求和判别标准。说的完整一点,就是“高度保持音乐基本元素的真实重放”,这就是高保真。而为了满足这一要求的器材,就称之为“高保真器材”。请注意“高度保持”的“高度”两个字。高度...
2024-01-10
《电锯糖心重制版(Lollipop Chainsaw)》公布女主角新形象 设计更偏向日系风格
日本 Dragami Games 去年 7 月发表了游戏《电锯糖心(Lollipop Chainsaw)》的消息,最近的一张新年贺图中,发现女主角已经整容! Dragami Games 在元旦日公开了新年贺图,展示了旗下游戏的角色,其中包括《电锯糖心(Lollipop Chainsaw)》女主角朱丽叶·斯塔林,不过有玩家发现她已经「整容」! 今次公开的图...
2024-01-10
mockito BDDMockito风格
示例行为驱动开发(BDD)测试样式围绕测试的“给定”,“何时”和“然后”阶段进行。但是,古典Mockito在“给定”阶段使用“何时”一词,并且不包括可以包含BDD的其他自然语言构造。因此,在1.8.0版中引入了BDDMockito别名,以便于进行行为驱动的测试。最常见的情况是存根方法的返回值。在以下示例中...
2024-01-10
TaskBoard带来iOS风格多任务到Mac OS X
你永远在Mac上的应用程序之间来回走动吗?如果你那您可以使用它来查看所有正在运行的应用程序,并通过单击来切换它们。我知道你是什么如果你Here1.从SourceForge下载TaskBoard应用程序;它开箱即用。一旦运行包文件并安装应用程序,TaskBoard将在后台运行,您可以立即使用它。只需将鼠标滚动到屏幕...
2024-01-10Discuz论坛密码与密保加密规则
Discuz密码加密规则:md5(md5('字符串').'固定字串'); 固定字符串是在注册用户的时候随机生成的,且保存在数据表pre_ucenter_members的salt字段中。 举例:假如密码为 123456789 ,固定字符串为jb51, 那么加密规则为:md5(md5('123456789').'jb51'); 得出的结果就是:96122ff0dd306c912aab15adccf21df1Disc...
2024-01-10
用 Vue 全家桶二次开发 V2EX 社区
一、开发背景为了全面的熟悉Vue+Vue-router+Vuex+axios技术栈,结合V2EX的开放API开发了这个简洁版的V2EX。 在线预览 (为了实现跨域,直接npm run dev部署的,首次加载略慢)API来自官方以及djyde的整理。项目地址:v2ex-vue二、项目演示分类页文章页 & 用户页懒加载路由首页默认显示最新的帖子首页 ...
2024-01-10
【小程序】小程序·云开发一键部署Discuz! Q,免费使用30天!
经历了两周,我们对部署 Discuz! Q 的能力再次升级,真正的做到点击一个按钮,即可部署 Discuz!Q,无需自建服务器,无需编写一行代码,只需等待3-5分钟即可部署应用,更兼容PC端和移动端版本的 Discuz! Q。立即免费领取云开发部署应用的特性省钱:按量计费,没有流量可缩容到0省心:Serverless 无服...
2024-01-10
docker安装Elasticsearch7.6集群并设置密码
Elasticsearch从6.8开始, 允许免费用户使用X-Pack的安全功能, 以前安装es都是裸奔。接下来记录配置安全认证的方法。为了简化物理安装过程,我们将使用docker安装我们的服务。一些基础配置es需要修改linux的一些参数。设置vm.max_map_count=262144sudo vim /etc/sysctl.confvm.max_map_count=262144不重启, 直接生效...
2024-01-10
使用‘fsck’修复Linux中文件系统错误的方法
前言文件系统负责组织数据的存储和恢复方式。 无论如何,随着时间的推移,文件系统可能会被破坏,并且可能无法访问它的某些部分。 如果您的文件系统出现这种不一致,建议验证其完整性。这可以通过名为fsck的系统实用程序( 文件系统一致性检查)完成。 此检查可在引导期间自动完成或手动运行...
2024-01-10
利用nginx + fastcgi实现图片识别服务器
背景使用的特定的设备进行深度学习模型的推理,该机器仅仅提供了C++封装好的API进行模型的加载启动与推理,模型的训练依然是使用caffe,模型需要转化成该设备支持的格式,模型的转化这里就不在介绍。为了把模型的推理做成一种服务,只能上手C++,搭建HTTP服务,使得用户通过http服务post一张图...
2024-01-10
实例讲解通过PHP创建数据库
数据库是相互关联的数据的集合,我们可以从数据库中有效地检索,插入和删除数据,并以表格,视图,模式等形式组织数据。今天将要介绍如何通过PHP来创建MySQL数据库PHP创建MySQL数据库的基本步骤:(1)建立PHP脚本与MySQL服务器的连接(2)如果连接成功,编写SQL查询以创建数据库并将其存储在字...
2024-01-10
微信小程序实现简易计算器
微信小程序之简易计算器,供大家参考,具体内容如下一、介绍1.中缀表达式中缀表达式是一种通用的算术或逻辑公式表示方法,操作符以中缀形式处于操作数的中间。中缀表达式是人们常用的算术表示方法。虽然人的大脑很容易理解与分析中缀表达式,但对计算机来说中缀表达式却是很复杂的,因...
2024-01-10
Openlayers显示瓦片网格信息的方法
本文实例为大家分享了Openlayers显示瓦片网格信息的具体代码,供大家参考,具体内容如下1、新建一个html页面,引入ol.js文件,然后在body中创建一个div标签,用来作为地图加载的容器;2、代码实现<!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>...
2024-01-10
Java常用字符串工具类 字符串智能截取(3)
前两篇博文简单分享了一下数字工具类,现在说说字符串工具类。相信大家都自己封装过或者用过guava封装的Strings,但是有没有可以智能截取,比如说“截取整数第二个到倒数第二个”的字符串。你是否还需要自己写str.substring(1,str.length()-2)。如果是的话,请继续往下看吧。暂时还未见过可以反向截取...
2024-01-10
微信公众帐号开发教程之图文消息全攻略
引言及内容概要已经有几位读者抱怨"柳峰只用到文本消息作为示例,从来不提图文消息,都不知道图文消息该如何使用",好吧,我错了,原本以为把基础API封装完、框架搭建好,再给出一个文本消息的使用示例,大家就能够照猫画虎的,或许是因为我的绘画功底太差,画出的那只猫本来就不像猫吧…...
2024-01-10
Java自动化工具Ant的基础使用教程
Ant 是什么?Apache Ant 是一个基于Java 的生成工具。据最初的创始人 James Duncan Davidson 介绍,这个工具的名称是 another neat tool(另一个整洁的工具) 的首字母缩写。Ant的作用:生成工具在软件开发中用来将源代码和其他输入文件转换为可执行文件的形式(也有可能转换为可安装的产品映像形式)。随着应...
2024-01-10
如何为C#安装和设置Visual Studio?步骤图解
先决条件:C#简介c#是一种通用的、现代的、面向对象的编程语言,发音为“C sharp”。它是由Anders Hejlsberg和他的团队领导的微软开发的。net倡议,并得到了欧洲计算机制造商协会(ECMA)和国际标准组织(ISO)的批准。c#是用于公共语言基础设施的语言之一,目前的c#版本是8.0。c#在语法上与Java非常相似,并...
2024-01-10
【Black Hat Asia 系列分享】自动化挖掘 gRPC 网络接口漏洞
作者:哈霓@蚂蚁安全实验室原文链接:https://mp.weixin.qq.com/s/WzzCFQBgg7BcVUFWT8npuQ在今年的Black Hat Asia上,蚂蚁安全实验室共入选了5个议题和3个工具。本期分享的是蚂蚁天宸实验室的议题《自动化挖掘gRPC网络接口漏洞》。01 简介随着移动互联网和工业互联网的快速发展,大量开发者、厂商不得不关注网...
2024-01-10
The Analysis of Mybb 18.20 From Stored XSS to RCE
Author: LoRexxar'@Knownsec 404 TeamChinese Version: https://paper.seebug.org/949/On June 11th, the RIPS team released the article MyBB <= 1.8.20: From Stored XSS to RCE, which mainly discussed a Stored XSS and a file upload vulnerability in MyBB <=18.20.In...
2024-01-10
c++函数模板实参推断
为什么向com中传递一个引用,无法改变temp的值,而向com1中传递就可以改变呢?难道com这个函数模板传入引用时,不是推断出和com1一样的实例吗?#include <iostream>#include <typeinfo>template <typename T>void com(T arg) { std::cout << "com arg's address = " << &arg << std::endl; arg++;}void com1(int& arg) { std::co...
2024-01-10
opencv Mat ::convertTo assertion error
Mat sample(400,image_queue[i].size(),CV_32FC1);image_queue[i][j].reshape(0,1).convertTo(sample.col(j),CV_32FC1,1/255.0);我想把 image_queue[i][j]这张图(CV_8UC,灰度图,20*20)作为sample的一列。执行第二句的时候报异常。!搞不懂为什么。求教!回答:Mat sample(400,image_queue[i].size(),CV_32FC1);中image_qu...
2024-01-10
IOS 真机调试时出现错误 code signing ... in SDK 'iOS8.x'。google无果。
回答:provision profile 你重现导入看看xcode preference account detail中可以删除该文件回答:code signing identity 的 Release 换成 iOS distribution回答:我也遇到过这个问题,解决方法如下:Unable to find a team with the given Team ID解决方法:在Target的General界面中将Team改为所对应的开发者账号团队在Target的Build Settin...
2024-01-10
用Xcode7上传archive的时候报unexpected CFBundleExecutable Key的错误。
用Xcode7上传archive的时候报错。请问如何处理?看起来是因为QQ的SDK引起的,我使用了QQ的登录和分享功能。请高手赐教。回答:去TencentOpenApi_IOS_Bundle.bundel 的info.plist 删除 executable file 这个key回答:看看具体报的是哪个bundle的问题,找到这个bundle里面的info.plist,然后删除CFBundleExecutable就ok了...
2024-01-10
关键字搜索怎么写
关键字搜索的接口要怎么写啊!比方说输入s,匹配出三、善、闪等等有关的下拉,我只知道sql语句模糊去匹配,怎么做到上面提到的字母匹配中文回答:拼音对关键字搜索大概有下面三个比较重要的步骤1.分词将类似 “women” 这样的词分解成 “wo’men”。经过这样的分词,在搜索时无论通过全拼音匹...
2024-01-10
iOS中UILabel中显示一个日期,日期不能自动换行
日期能不能截断换行回答:当你把 UILabel 的 numberOfLines 设置为0,并且 UIlabel 的高度够大时,就会自动换行显示回答:可以。需要你设置 UILabel 的 numberOfLines 属性为 0,UILabel 就会设置的 Frame 范围里自动换行显示文字。label.numberOfLines = 0;编辑如果要在一行显示,使用 NSMutableAttributedString 来做字符串拼接...
2024-01-10
Node.js作为中间件处理高并发密集型IO,上面再架一层Nginx反向代理再去请求JAVA的服务器,性能怎样?
问题描述:最近在思考架构的问题,我用图片描述下我的想法 我的Nginx反向代理放置的位置是不是不对? 或者这样性能反而不好? Nginx和Node都开启多线程,负载均衡,然后去请求JAVA后台的数据。业务场景需要大量频繁的IO操作,利用Node.js的特性优势作为中间件。请问这种场景,怎样才可以获取最佳的...
2024-01-10
数据库查询排序问题,如何按字符串中的数字排序?
按照特定字段排序,字段格式如APPLE_+十进制数字,需求为结果按照除去前缀的数字排序存在若干条数据,需要分页显示,如1000条数据,每页25条,需要保证整体顺序,因此一次查询25条后在内存中排序不能满足整体有序。阻塞:只按照该字段进行排序会出现APPLE_2在APPLE_100之后出现。对数据库不太熟...
2024-01-10
