Yunoon 发布的文章

只发了自己做的,misc题目不好评价(主要是我菜。

Web

unzip

  1. unzip -o 可以用软连接连上/var/www/html,文件名为aa,传上去后unzip解压,就会有个aa的软连接
  2. 再建一个压缩包,里面塞个马,aa/cmd.php这样。
  3. 蚁剑连上去拿flag就行。


dumpit

  1. 主要利用点就是在dump这里,提示中的rce没啥用(赛后发现这里其实可以%0a换行rce)
  2. 利用报错重定向,将报错的内容重定向到log/下面,访问log/就可以了。
  3. 在phpinfo中找到flag

Misc

签到

python读/flag就行

print(open('/flag').read())

Crypto

基于国密SM2算法的密钥密文分发

  1. 跟着文档一步一步走就行
  2. iShot_2023-05-27_13.25.56
    iShot_2023-05-27_13.25.47
    iShot_2023-05-27_13.25.27

Sign_in_passwd

  1. base64,替换一下字符就行
    iShot_2023-05-27_13.47.18

经过了1个月的自我休假放松,总算可以来写写今年的年终总结了,今年有许多事情值得记下或已经记下,这里也是一个简单的回顾总结。

以7月为分割线来记录会比较合适,分为了学校和公司。

1月-6月——一场极为有价值的豪赌

课程

这学期在选了21门课后,如果时间安排不恰当很有可能就会忙得手忙脚乱。Notion帮了我很大的忙。我这使用的是notion来帮助我将所有的课程需要完成的任务进行归纳以及按时间、难度为权重进行排序。

选课

在其他任务并行的同时,为挤出更多的时间,通过合理安排自己的课程计划,即使是在选了21门课的情况下,我每周也能够有周三、周六、周日三天的自己安排的时间。在第十二周后,我甚至有着比上课同学更多的自我安排时间。

备考

主要分为了开放性大作业考试和传统的考试(机考和纸考)。

从客观上来说,大作业的灵活度最高,在有足够强的学习能力、在没有信息差的情况下,可以短期速成。

传统考试的灵活度(容错率)就大大降低,有些东西不熟悉就是不熟悉在2个小时内很难速成,唯一兜底的方式就是平时成绩,因此针对于传统的考试,我基本上都选择了参与上课,用平时成绩兜底。

应考

自主学习只有最终测试(期末考试)的成绩没有平时成绩——考多少是多少。

正常上课的话,会包含平时作业,在课程量足够大的情况下,需要列举好每一门课的平时作业的截止日期,合理安排时间完成,平时作业的完整质量70%就足够了,如果课后在平时作业上花费的时间过多就得不偿失了。

期末考试

自主学习需尽早与任课老师取得联系,一般是通过微信联系。大作业就会把报告模版和题目需求发给你,按时完成即可。传统考试的话,注意查看教务系统的考试安排,建议提前联系老师,看看是否有复习题之类的。

正常上课的话,按着任课老师的安排进行即可。

Tips

  • 老师们都是很好说话的,主动说明了相关的情况,并且在保证完成课业的情况下,老师大多都会支持你的想法。
  • 传统考试建议都不要自主学习,没有兜底,风险比较大。
  • 闭卷纸考的课都建议学细一点,搞清楚是什么为什么,哪怕有平时成绩兜底也有挂科风险。

比赛

上半年大概打了有14场比赛,数量比较少。再算上后期接手了个计算机设计大赛,断断续续就打了这些吧,收获比较大的就是CISCN了,队友都比较给力,今年有个分区赛二等奖。

就业

由于下半年没有课程计划,就开始准备实习面试的东西了。
最有效的方法就是看面经,以及相关的体系脑图,缺啥补啥。

接触过的东西自然就有印象,如果是嗯背的问深了自然就会露出破绽,所以还是要脚踏实地的做。

面试

网申基本上都寄了,要不然就是过了初筛,后续没音信,要不就是简历直接被pass了。

通过朋友内推的方式成功参加了两次面试:
第一次面的甲方公司,整个过程较为流畅,就问到不知道的技术问题时会卡住(我也没有多说,直接说不清楚),最终通过了。

第二次面的乙方公司,当时面的是安全研究的岗位,面试官也是一个很厉害的师傅,主要围绕着Java代码审计来问的,场面是相当的惨烈,因为我当时Java安全研究的学习进度为才入门的情况,面试官问的问题基本上都寄了(问题都比较常规,区别就在于是否真的做过,并且是否有足够的深度),面试官师傅十分友善,面试结束后也给了有效的学习建议,而且全程都十分温柔,泪目。(但说到底,菜是原罪,不懂就问,不会就学!)

外包接单

为了维持基本的生计,这段时间还是接了一些外包的单子,但也不多,勉强够活吧。

生活

翻了相册发现每个月还是有生活相关的照片的(再忙也要热爱生活呀!)

旅游、聚餐

无,读书哪来的旅游(XD

年初和劳动节,和朋友们小聚了一下。

厨艺

  • 烤蛋挞
  • 烤五花肉
  • 水煮肉片
  • 卤鸡腿、鸡蛋....

各种DIY

  • 唐麦 无线蓝牙耳机 更换电池
  • 智能家居环境搭建

种种小事情,就是生活中的一下惊喜,也是给自己的一个放松。

7月-12月——从现实中逐渐认清自我

或许啥时候有灵感再写吧......

————————分割线————————
1月28日,突然就想写了。

生活

租房

在来苏州之前就和一起的小伙伴线上看了很多房子,做了很多准备,但最后还是自己单独出去租的。

租房切记一件事情,不要急!不要急!不要急!
我知道你很急,但先别急,

一般的通过贝壳中介之类的,大部分都是押一付三+一个月的中介费,一次性就会出去5个月的房租,所以在租房之前请先多看看,再急也可以先等等。【先住一周酒店是很不错的选择,标间150左右/天】

我最终选择的是在闲鱼上联系到的二房东,人挺好,押一付一且没有中介费,但房子是合租。合租需要考虑到的就是室友是否注意公共区域的卫生,以及作息。

推荐的住房选择有:

  • 自如租房
  • Wellcee唯心所寓
  • 闲鱼

多看几家,不用急。

通勤

当时公司通知又可能要搬迁就选择了一个在新老公司之间的地段,2地的地铁通勤耗时都是在30-40分钟左右。

后面有一个同事也和我在同一个小区,我们就一起打车上班了,费用甚至和地铁通勤差不多。

吃饭

地铁口就有KFC,然后就连续吃了大半年的KFC早餐。
在公司还有微波炉的时候,偶尔还会自己做饭,后面没了微波炉,中午就天天下馆子了。

琐碎事

虽然是租房,但也不能在生活上亏待自己,该买的日常用品都还没省。比如椅子之类的可以在闲鱼上淘二手的,50淘了个ROG的电竞椅(伊拉克战损版)。

工作

写到这里发现大部分时间都在聊生活方面,这一年的技术提升属实不大,主要是提高了自己的认知。工作方面可以用自己的知识储备硬抗了过去,在学校时(非课堂)接触过的一些内容实打实的用到了工作中,没有太多违和的地方,唯一不同的就是对象换了,以前做技术分享是针对于同学,但现在做技术分享则是在团队内部以及对外做技术分享,难免会有紧张。(多来几次就习惯了

再者就是环境,以前线下接触到的同学大多认知和水平都和自己在同一层次,学起来没有一种追赶的感觉,遇到的问题很多都是靠自己独立解决。这公司团队中,师傅们都有丰富的经验能够给一个大概的学习方向,绝大多数的时候,我都是在观察和学习师傅们的思路,尽可能的做总结。偏向于渗透实际应用的思路学习到不少。

在公司打了许多的比赛,虽然大部分比赛都不是主力输出,时不时能来点输出hhhh。印象深的就是鹏城杯的线下赛,网鼎杯的线上赛,以及大大小小的比赛。

由于每周都有组会,以前是每天都会给自己写篇日报记录下当天干了啥,后面逐渐就变成一周一写了。可能是前期的事情琐碎化比较重,后续都是以项目为主体。总而言之,好记性不如烂笔头,记下来不会是坏事。

旅游

前面很长一段时间周末双休都在家里摆大烂,很多想去的地方都没去玩,走之前就去了山塘街和太湖。去太湖一定要记得自己开车去(也可以租车),别公交车hhhhh。

傍晚的太湖的寒风,不是一般的冷。

2023年的计划

学业

转眼就大三下了,按自己的课程安排,在大三下就能结束所有的课程,但由于学校制度的问题,无法提前毕业。
预计计划:

  • 完成剩下的所有课业
  • 毕设:代码框架完成,做出基础的demo

技术

后面大片的时间都是自己的了,沉寂下来,提升技术是一个很不错的选择。
预计计划:

  • 最后一年打CTF了(后面可能都是为爱发电了XD),多看看WP学学新的思路。
  • 提高自己的代码质量,养成写代码注释的好习惯,参与2个大型的开源项目,阅读其项目的规范性和代码结构,争取能够提交一点贡献,最终目标是让自己协作开发的能力有所提升。
  • 日语学习,已经是一个10年的老二次元了,但啃日语生肉的时候还是有些许吃力,想要在空余时间学学日语,甚至考考级。
  • 英语口语方面的提升,一直以来没有看美剧的习惯,英语的语感真不太行,和日语是两个方向,日语是听得懂,看不懂。英语是看得懂听不懂典型的哑巴英语了。
  • 代码审计能力的提升,但由于前半年的学业和后半年的工作P佬的代码审计课程一直处于停滞的阶段(典型给自己找借口),说实话,自己对Java不是特别感冒,但安全研究还是绕不开Java。
  • 其实这些计划归纳下来其实就是需要一个长期的学习计划,以提升自己对计算机科学的认知,我选定了2个GitHub的开源CS自学指南作为长期的学习计划参考。
    https://github.com/izackwu/TeachYourselfCS-CN/blob/master/TeachYourselfCS-CN.md
    https://csdiy.wiki/

最终就是希望将这些计划定制成OKR,让自己更为有效的进行提升。

前言

太久没用,以及迁移了一些home assistant环境,导致tasmota无法正常工作。

正文

  1. 在路由器上找到管理ip地址,访问。

  2. 在设置中找到MQTT设置,配置好服务器的IP即可。

  3. 检查模块设置中的IR是否配置成功。

  4. 在home assistant中查看开关配置的MQTT地址。

在线编译环境

https://gitpod.io/#https://github.com/benzino77/tasmocompiler
https://github.com/benzino77/tasmocompiler

前言

一直想弄个openwrt环境,用软路由出网的,但入了CR6606后,由于其他事情,没时间折腾,买来直接插电、网线直接用了。

由于朋友整了太Quest2 就有了路由器出网的需求,,近期就好好折腾玩玩吧hhhh。

记录点

重置充值路由器的方法

  1. 断点
  2. 按住重置按钮(可能是要用牙签插进去/也可能是按钮)
  3. 插电,等待呼吸灯闪烁(具体看型号)
  4. 访问重置后的路由器(openwrt是192.168.1.1),其他请查看官方/第三方文档

正文

目前的解决方案

  1. 恩山上的通过一台openwrt+CR6606
    https://www.right.com.cn/forum/thread-5400725-1-1.html
  2. 普通路由器+CR6606+主机/笔记本
    https://haoyu.love/blog1389.html
  3. 拆机连串口
    https://blog.csdn.net/humphreyandkate/article/details/127328785

采用方案2

配置单
CR6606 (A)
另外一台路由器(B)
笔记本/主机 (C)

  1. 由于没有另一台openwrt就采用了第二个方案(其实也有一台已经刷好了其他系统的路由器,但当时没找到如何使用。

  2. 把家里的一台AP重置了来做的

  3. 这里要注意,路由器的版本要刷到1.0.103以下

  4. 别的就照着方案2来实现就行,没有其他问题。

  5. 贴个169.254.31.1的flask脚本

    from flask import Flask
    import json
    app = Flask(__name__)
    
    
    @app.errorhandler(404)
    def unlock(foo):
        return json.dumps({
            "code": 0,
            "token": "; nvram set ssh_en=1; nvram commit; sed -i 's/channel=.*/channel=\"debug\"/g' /etc/init.d/dropbear; /etc/init.d/dropbear start;"
        }), 200
        
    if __name__ == "__main__":
        app.run(host="0.0.0.0", port=80, debug=True)
        # 必须是80端口,因为到时候默认请求的是169.254.31.1。
        
    

    如果80端口有其他服务的话,关了就行。
    lsof -i tcp:80
    类似于这样

    然后给kill掉就行
    kill -9 <PID>

  6. SSH启动后,通过root登录,官方版本可以算出来,其他版本看路由器背面

  7. 正常刷入PD就行

  8. 刷好PD后,建议不要用openwrt官方的镜像,不适合纯新人。


    1. 因为默认的init镜像是不启动luci的,需要自己装,最新的镜像还有很多不兼容的问题。
    2. 我也偷懒就直接拿别人做好的 「OpenWrt R21.6.14」 的镜像就行了,东西都挺全。
      https://www.right.com.cn/forum/thread-4413820-1-1.html
      https://wwa.lanzoui.com/iMBhpqkcfoh
      后台登录地址:192.168.2.1
      初始管理帐号密码:root/password
  9. 刷入后,接上网线,弄好v2ray的订阅就行。