Nginx+PHP-FPM 任意代码执行已成功复现（想自己尝试复现，连接页面最后有漏洞披露作者发布的测试利用实例）

修复方案
a，（推荐）更新到当前大版本最新（24号所发布版本：7.1.33，7.2.24，7.3.11）可暂保平安
b，不方便升级PHP版本的用户可编辑Nginx配置文件以及默认自带fastcgi_param文件中以下语句：
fastcgi_param PATH_INFO $fastcgi_path_info;
修改为
fastcgi_param PATH_INFO $fastcgi_path_info if_not_empty;
进行阻截

CVE-2019-18408，该漏洞由Google研究员在5月使用ClusterFuzz和OSSFuzz自动“模糊”工具发现，并由libarchive的维护人员于6月12日在3.4.0版中修复，该漏洞没有有效缓解办法，建议有相关依赖的用户、应用更新

KubeSail免费容器：1核100MB空间512MB内存

*绑定GitHub账号完成登录注册
官网地址：https://kubesail.com/

破解 iCloud 锁教程

*通过appsync安装应用
*无需Apple ID
*使用checkra1n（需设备支持）

谷歌验证码(reCAPTCHA)存在并发竞态绕过

视频演示基于：Burp Suite+Turbo Intruder(构建并发请求形成竞态)

修复办法
服务端为 g-recaptcha-response 加上同步锁，自主抛弃短期（秒级）并发令牌

*八月已报送谷歌但未予采纳和修复（多方影响因素）
*理论上所有两段式验证都可能存在此漏洞
*只要跑的够快，谁也拦不住，我说的！

原文：Cracking reCAPTCHA, Turbo Intruder style

CVE-2019-1388，演示本地安全桌面下Windows 7系统手动提权

CVE-2019-13272：Linux本地内核提权漏洞复现

目前受影响的Linux内核版本
Linux Kernel < 5.1.17

*下图为VPS环境下执行EXP，复现失败
*已有修复补丁

#EXP #提权 #Linux

Shodan 十周年，永久基础会员权益： $1

AntiSpy：Windows系统手工杀毒检测辅助

#Windows #工具 #检测

Notepad++的默认临时备份目录

文件管理器打开：
%USERPROFILE%\AppData\Roaming\Notepad++\backup\

如果有自行修改过，可在 设置>首选项>备份 中查看自定义备份文件缓存目录

*当前最新版：v7.8.1
*注意：备份！备份！！备份！！！
*状态丢失时，帮助找回不少东西

#Windows #提示 #笔记

$400申请 .gov 域名
It’s Way Too Easy to Get a .gov Domain

WinSCP更新到5.15.7

*才知道在从4月更新的5.14（测试版）开始已支持本地向服务端设置公钥，此功能极大的方便了密钥部署

在线实时汇编/反汇编器：disasm

<svg%0Aonauxclick=0;[1].some(confirm)//

Telegram Bot开发者应该注意的API一些限制

使用Bot API
1，每秒最多向用户发送不超过三十条消息（每秒钟不超过三十人次）
2，同一群组/聊天会话，Bot每分钟最多发送20条消息（包含：发送全新、编辑更新老消息）
3，Bot仅可管理维护发布在48小时内的频道消息，超过返回：400
4，频道消息的纯数据交换型按钮，现在可以无限期编辑更新
5，Bot推送的频道消息附带的按钮全为URL样式，则消息被转发时按钮可被携带一同正常显示可用

短期批量（同时）推送消息触发限制时
Bot API将返回HTTP状态码：429（请求太多），以及下一次消息正常发送所需的等待时间（单位：秒）
开发者应解析429状态延迟等待时间，自行维护消息重发机制以确保Bot高可用性

Telegram for #Android v5.16

Telegram官方客户端终于支持创建文件夹（UI上表现为Tab，选项卡）和标签，方便用户对群组进行分组分类归纳

*最多创建10个Tab
*按住Tab进行编辑修改、拖动进行排序
*Tab名称可以为纯emoji表情
*Tab设置同步保存到云端
*点这里~>开始创建分组（v15.6）
*v15.6目前为测试版（Beta）

Telegram Bot API 4.7

更新如下特性：
新增sendDice方法，发送一粒随机骰子（1~6）
新增getMyCommands方法，获取Bot当前命令列表
新增setMyCommands方法，更改Bot当前命令列表（不再需要通过 @BotFather 手动设置）
新增createNewStickerSet方法，使用 tgs_sticker 参数创建动画贴纸集
新增addStickerToSet方法，使用 tgs_sticker 参数向指定贴纸集添加新动画
新增setStickerSetThumb方法，Bot现在可以自定义贴纸缩略图
StickerSet对象新增缩略图文件ID字段