Hello Hexo
Hello Hexo首次接触nodejs项目,从零摸爬滚打过来。这篇文章会写一些过程中的坑。
项目还有很多没来得及看的代码,正在慢慢接触,所以现在网站还在快速迭代。
To do list:1、去掉自带的统计,自己开发一个2、网站美化。
Done list:1、部署cdn,网站根目录下的images为了加速,通过lsyncd同步到另一台高带宽服务器、或者OSS。2、写了个部署脚本,因为我的网站根目录还有原来的一些文件,所以不能使用hexo clean,这个命令会导致整个目录删除。所以只能把网站编译到另一个文件夹,然后覆盖过去。3、看到命令行有一堆nodejs的安全漏洞提醒
12found 14 vulnerabilities (10 low, 1 high, 3 critical) run `npm audit fix` to fix them, or `npm audit` for details
通过npm audit看到有些高危漏洞,npm audit fix修复。目前对npm这个包管理程序还不是很了解,不知道为什么不在部署的时候就默认部署没有安全 ...
OrangePi 配置笔记
OrangePi 配置笔记接触嵌入式,起因是有个产品需要实现demo,我需要做个远程控制灯带的控制器。但前面完全没有经验。
综合评估了Arduino、Micro:bit、Raspberry Pi等集成方案,综合考虑灵活性、网络、性能等,包括我的技术栈,最终选用了OrangePi。
Arduino等微控制器,虽然可以装WIFI模块联网,但只能实现简单的功能。
树莓派是最优选择。传感器等外设相当丰富,很多场景也已经有了丰富的应用。现有的技术教程和论坛的活跃度都是非常高的。资料最多,驱动等最稳定的绝对是树莓派。
但树莓派的价格不算低廉,但综合看了下,Orange Pi是最好的选择。
相比树莓派,同样甚至更强的性能,丰富的接口,价格也更低廉。单个主板只需要70多块。性能方面,4核心 arm A7架构,512M DDR3内存。甚至可以运行Windows 10 ARM。
除了主板,连接主板调试需要购买TTL线,否则在没有网络的情况下,又没有屏幕,是无法操作的。
TTL线能用就行,10块左右。
因为我要控制电路。还需要购买由电平控制的继电器(功能就是开关)。
需要看清电压是不是在范围内。推荐 ...
Broadlink智能插座协议分析
Broadlink智能插座协议分析Broadlink的APP非常不好用,于是分析一下协议,由自己控制这个插座。
打开wireshark抓包工具,选择网卡,打开混杂模式。但是不知为何抓不到包。只好在路由器上抓包吧,更方便更直接。我的路由器是类unix系统,自带了tcpdump,抓包很方便。
首先telnet或ssh链接到路由器,然后去路由查看智能插座的IP地址(我的是10.1.1.216),手机的IP地址(我的是10.1.1.25),然后用ifconfig查看网卡名称。
1tcpdump -i 网卡名称 -w broadlink.pcap host 目标IP
回车执行,这时候就拿出手机操作智能插座,一开一关即可,然后立刻按ctrl+c取消抓包。下载抓包文件。
使用wireshark打开broadlink.pcap。
发现udp协议发送包,追踪UDP流,获取到这些数据。Destination Port: 80说明目标端口是80,于是使用Python发送这些数据,果然智能插座启动了。
123456789101112131415161718192021222324252627282930 ...
一个路由器的WebShell 利用方法
一个路由器的WebShell 利用方法在路由中,除TPlink、Tenda等型号之外,现在基本基于Pandora之类的开源类unix系统。
在这里,是一个典型的webshell执行漏洞。
linux shell中,”|” 是管道符,表示一个管道的意思,可以理解为东西从管道的一边流向另外一边。
举个例子,利用ps命令查看linux运行的进程,但是获取了整整几页的数据,我需要用正则表达式的工具过滤。像这样:
123root@localhost ~]# ps aux | grep httpd 输出结果为:root 21642 0.0 0.0 103340 900 pts/0 S+ 08:25 0:00 grep httpd
由此就能看出作用,|为把前面的数据输出给后面的命令,进一步操作。
漏洞的利用路由的定时重启功能,是利用linux的shell命令进行定时重启。例如20.17执行重启的命令:
1shutdown -r 20:17
管理页面中,有个定时重启,假如通过网页设置为20:17,传递给shell的变量就是:$reboot_time=”20 ...
MS17-010漏洞原理、实践和防护
MS-17-010针对MS17-010,有人推出了增强漏洞利用工具,目前已经被集成到msf上面,修复了利用时蓝屏的问题,覆盖了1998-2016年的多版本Windows(含早期Windows 10)。这次漏洞非常适合局域网大规模传播(smb),对很多行业都造成很大的损失。这次病毒爆发对网络安全也有普及的意义,Win10虽然自动更新机制让人痛骂,但及时安装安全补丁是非常重要的。
优酷地址 优酷-WHost-比特币病毒源程序的实践和防护