ksubdomain源码阅读

前两天看了amass关于dns枚举的实现,当然关于加速dns枚举的还有ksubdomain这个项目,今天花了几分钟看了下实现 阅读基于 https://github.com/boy-hack/ksubdomain/commit/9a2f2967eb8fb5c155b22393b9241f4cd6a02dc4 分析 首先从入口点开始看 https://github.com/boy-hack/ksubdomain/blob/main/cmd/ksubdomain/enum.go#L55-L109 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 Action: func(c *cli.Context) error { if c.NumFlags() == 0 { cli....

二月 28, 2022 · 5 分钟 · 

自建bitwarden备份同步到坚果云

因为bitwarden的氪金玩家才能使用双因子认证,恰好手上有个vps,搭建个bitwarden服务端来使用2fa 自建bitwarden vps比较垃圾,所以选用一个资源开销比较小的服务端比较有必要,我这里选择的是 https://github.com/mprasil/bitwarden_rs 这里采用 docker-compose 进行部署 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 version: '3' services: bitwarden: image: bitwardenrs/server:latest container_name: bitwarden restart: unless-stopped volumes: - ./bw-data:/data environment: - WEBSOCKET_ENABLED=true - SIGNUPS_ALLOWED=true - WEB_VAULT_ENABLED=true - ADMIN_TOKEN=xxxxxxxxxxxxxxxxxxxx ports: - "127.0.0.1:8889:80" - "127.0.0.1:8810:3012" 其中的3012是websocket通知端口 WEBSOCKET_ENABLED 代表启用 websocket SIGNUPS_ALLOWED 代表是否启用注册 WEB_VAULT_ENABLED 代表是否启用web界面 ADMIN_TOKEN 是管理界面的密码,用来启用管理界面,启用后可通过 [https://你的域名/admin](https://你的域名/admin) 进行访问 然后我们需要创建一个反向代理,这里我使用的是 nginx,下面给出 nginx 配置 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 upstream bitwarden-default { server 127....

十二月 10, 2021 · 2 分钟 · 

notion实现自动发布到hugo github博客

notion是用来记录笔记的,hugo是我用来作为github博客自动构建发布的 我目前设置了一个github action是:当我的博客仓库hugo分支有push事件时,自动构建文章发布到master分支,并且发布到博客园。 但是会有这样的不便:在notion中写了一篇笔记或文章,想要发布到github静态博客上,发现需要先将文章转化成markdown,图片需要上传到图床,然后贴入markdown,然后再推送到github,等待action自动构建静态博客 既然我使用notion记录笔记,何不继续All-in-one,将notion作为我的博客发布工具。 只需要在 notion 中建立一个用于博客发布的 database,然后写完笔记后填入这个 database,再使用一些手段触发 CI 即可完成博客文章的发布 工具介绍 说干就干,写了两个工具 https://github.com/akkuman/notiontomd https://github.com/akkuman/notion_to_github_blog notiontomd 是用来notion中的某个page转化为markdown的库,当然,当前支持的block是有限的,详细信息可以查看该仓库 notion_to_github_blog则是一个github action模板,用来自动从指定格式的database中拉取需要更新发布的文章,然后利用 notiontomd 转化为markdown,然后推送到github仓库,再触发另外的github aciton进行博客静态文件构建 使用 怎么建仓怎么自动从某分支拉取推到github pages所在分支我就不展开说明了,感兴趣的可以去网上搜索相关资料,本文所关注的流程是从notion database到博客源文件 基础环境 本文所涉及到的例子环境可以前往我的博客仓库 https://github.com/akkuman/akkuman.github.io 进行查看 hugo分支用来存放博客源文件,其中有一个github action的功能是push时触发,然后自动构建推送到master分支 master分支用来存放hugo构建之后生成的站点静态文件 博客相关的图片我会推送到 https://github.com/akkuman/pic 仓库 hugo作为主分支,master设置为github pages分支(原因后面描述) workflows编写 要使用该action,首先你需要在 notion 中创建一个 database,这个 database 需要有几个字段,字段名如下: Name (title): 文章标题 Article (text): 文章链接 MDFilename (text): 创建的 markdown 文件名 Category (select): 文章分类 Tags (multi_select): 文章标签 IsPublish (checkbox): 文章是否发布 NeedUpdate (checkbox): 文章是否有更新 CreateAt (Created time): 创建时间...

十二月 10, 2021 · 3 分钟 · 

识别SigFlip生成的恶意文件

最近在移植 med0x2e/SigFlip 的过程中发现了一个有意思的点,可以用来作为检测的手段 在 SigFlip 项目的 Detect/Prevent 一节中作者有提到一些检测防御手段 https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2014/2915720?redirectedfrom=MSDN Once the patch is installed and proper registry keys are set, No system restarts are required, you only need to restart the Cryptographic Services. The Applocker service will be also restarted as it depends on the cryptographic services.(@p0w3rsh3ll) Yara rule by Adrien; https://twitter.com/Int2e_/status/1330975808941330432 从 SigFlip 源码中,其实也能发现一个点 SigFlip 依赖一串特定的字节来定位shellcode的位置,详见 Native/SigLoader/SigLoader/SigLoader.cpp#L102 和 Native/SigFlip/SigFlip/SigFlip.cpp#L232 1 2 3 4 5 6 7 for (_index = 0; _index < _CertTableSize; _index++) { if (*(_pePtr + _index) == 0xfe && *(_pePtr + _index + 1) == 0xed && *(_pePtr + _index + 2) == 0xfa && *(_pePtr + _index + 3) == 0xce) { printf("[*]: Tag Found 0x%x%x%x%x", *(_pePtr + _index), *(_pePtr + _index+1), *(_pePtr + _index+2), *(_pePtr + _index+3)); _dataOffset = _index + 8; break; } } 1 2 memcpy(_encryptedData, "\xFE\xED\xFA\xCE\xFE\xED\xFA\xCE", 8); crypt((unsigned char*)_data, _dataSize, _key, _keySize, (unsigned char*)_encryptedData + 8); 也就是说我们在证书表中定位到 \xFE\xED\xFA\xCE\xFE\xED\xFA\xCE 这段特征就可以断定它疑似 SigFlip 生成的 payload 了,想要更精准一些可以结合 https://twitter....

十二月 10, 2021 · 2 分钟 · 

将newsletter转为rss

相关的开源项目 https://github.com/leafac/kill-the-newsletter 作者提供了一个网站 https://kill-the-newsletter.com/ 来提供服务,截至20211119,至少已经提供了两年的服务了,所以稳定性还可 下面就是使用方法了 选择一个你要订阅的newsletter,比如 https://random-lab.ghost.io/ 打开 https://kill-the-newsletter.com/ ,输入你要给该订阅取的名字,比如我输入 1000小食报 ,然后点击 create inbox 然后会提供给你一个邮箱和一个rss订阅地址 将邮箱地址填入第一步中的订阅邮箱 将rss订阅地址加到你的rss阅读器 一般情况下你会收到的第一个订阅消息是叫你确认订阅,点击确认地址即可 下面说下原理: 首先需要有个邮服,然后每次创建inbox的时候随机生成一个邮箱,并且将此邮箱的收件箱内容转为rss订阅暴露出来

十二月 6, 2021 · 1 分钟 ·