通过油猴脚本看各大视频网站VIP

最近狂飙很火啊,老婆还想着冲某奇的VIP看,通过网上搜索,发现油猴已经有脚本可以查看各大网站的VIP资源了。

安装油猴脚本之前,你需要一个chrome浏览器,通过谷歌扩展商店搜索:Tampermonkey(需要自备梯子)

下载好以后,找到脚本网站:

https://greasyfork.org/zh-CN/

继续阅读

通过powershell获取本机存在的伪协议

其实之前也有一个vbs脚本了,但是老是执行会报错,上网找了一个ps脚本,powershell执行。

执行之前需要管理员运行powershell

在powershell执行:

Set-ExecutionPolicy Unrestricted -Scope CurrentUser

选是:

可以列出所有本机安装软件关联的伪协议

附ps代码:

foreach ($Key in Get-ChildItem Microsoft.PowerShell.Core\Registry::HKEY_CLASSES_ROOT) {
    $Path = $Key.PSPath + '\shell\open\command'
    $HasURLProtocol = $Key.Property -contains 'URL Protocol'

    if (($HasURLProtocol) -and (Test-Path $Path))
    {
        $CommandKey = Get-Item $Path
        $Scheme = $Key.Name.SubString($Key.Name.IndexOf('\') + 1) + ':'
        Write-Host $Scheme $CommandKey.GetValue('')
    }
}

macos清理history

仅记录

使用 rm /~.bash_history 不管用,history -c 只是清理当前屏幕的history

通过echo $HISTSIZE查看当前保存的历史记录条数。将其置为0,可以解决这个问题。同时,后续的命令也不会再被记录。

HISTSIZE=0

再次通过history命令查看命令行,命令已经被清空。

使用ysoserial生成反序列化payload文件

某次对业务进行审计发现存在一处反序列化漏洞(该漏洞形成的原因是会对上传文件引擎进行解析)

省去敏感部分,只记录一下过程。

可以直接通过github下载ysoserial-0.0.7-SNAPSHOT-all.jar

ysoserial-0.0.7-SNAPSHOT-all.jar支持多个生成payload的选项

具体适配哪个payload,还需要查看源码(如果有的情况下,没有源码的情况下只能逐个去尝试)

例如:

对应的是:

commons-beanutils:1.9.2, commons-collections:3.1, commons-logging:1.2

这块可以通过配置找到:(一般在pom.xml或者libraries.gradle文件配置里)

生成payload文件命令语法

java -jar ysoserial-0.0.7-SNAPSHOT-all.jar CommonsBeanutils1 “curl http://127.0.0.1:4444” > java.xls

继续阅读

隐藏的优惠

经常用支付宝充值羊城通,但是无意之中点了取消,发现竟然还有隐藏的红包

付款方式选择支付宝,这个时候点击左上角的X

此时再点击继续付款,红包就使用了

可能类似隐藏的红包还有很多,这就像在程序里头的暗桩。