准备工作 ProxmoxVE 8.x Casdoor Casdoor添加应用 首先在Casdoor新建一个应用，定义一个名称、Logo、首页地址、重定向URL以及一些常见的设置 这是我配置的示例图，可供参考： [admonition]Accsee Token格式注意选择JWT-Empty，不然会出错 OAuth授权类型选择：Authorizatio…

搭建的服务多了之后就想着有没有一套能管理身份认证的程序，于是就有了这篇文章 准备工作 群晖版本7.x 群晖需要配置并启用SSL实现HTTPS（这是群晖SSO强制要求的） Casdoor [admonition]Casdoor的搭建网上已经有很多教程了这里就不演示了，下面直接进入正题[/admonition] Casdoor添加应用 首先在Casdo…

蜜柑计划 蜜柑计划是一个非常适合追新番的站点，这次教程也是围绕该站点实现的自动追番 首先打开蜜柑计划的官网，地址为https://mikanime.tv/ 找到需要订阅的番剧，点击一下封面，如图所示 在弹出的窗口中选择一个字幕组，这里我以第一个[北宇治字幕组]举例，点击该字幕组后会显示这个字幕组的资源，我们滑到最下面，点击查看更多 在新打开的页面找…

由于之前Timozaici写过一篇centos搭建MC服务器的文章，但由于centos这个系统目前的状况，故重新写一篇使用Ubuntu系统搭建MC服务器的文章，其中也对之前的文章未提到的部分进行了一些补充，如果你想看看之前的文章，可以点击这里跳转喔~ 选择系统以及部署环境 之前有使用了centos系统搭建，这次使用Ubuntu live-Serve…

常用资产收集平台 在WEB实战渗透中，信息收集，资产收集至关重要。 所收集到的信息，资产决定了最后成果的产生。 [admonition]以下是几个常用的收集平台： 1.鹰图平台 2.FOFA预览更改 （在新窗口中打开） 3.ZoomEye 4.X情报社区 [/admonition] 各个平台的使用方法 1.鹰图平台 打开后点击查询语法，根据自己的需…

检测NAT类型 需要用到的工具 Python https://www.python.org/downloads/ Natter.py https://github.com/MikeWang000000/Natter/tree/v0.9 建议使用Linux或者直接在路由器上运行，可以获得更好的穿透效果 首先需要检测当前网络的NAT类型是否满足打洞的要…

Robots.txt robots.txt是一个协议，而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。在CTF中常用于提示解题思路 打开题目 看到了没用的提示，看题目是Robots联想到可能存在Robots.txt文件 打开后发现有一个PHP文件…

前言 File Inclusion，意思是文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。…

前言 开新坑的第一篇文章，这是一次线上CTF中的真题，记录一下解题过程 CTF 是 Capture The Flag 的简称，中文咱们叫夺旗赛，其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜，当有一方的旗帜已被敌军夺取，就代表了那一方的战败。在信息安全领域的 CTF 是说，通过各种攻击手法，获取服务器后寻找指定的字段，或者文件中某一个固定格…

前言 昨晚上网冲浪的时候有一个网友丢了个shell给我，于是便有了下面的内容。 先使用蚁剑连接上该shell 到了这里可以发现，是一台Windows的服务器，而且使用了宝塔。 接下来开始寻找提权方法 游历目录的时候发现宝塔官方是有提供api接口的，我尝试修改了一下，发现是可读写的状态 奈何研究了一段时间，发现我并不会使用这个api，于是接着寻找其他…