自媒体上三种人的钱千万不能赚，不仅赚不到钱，且要沾染上因果! 1，上来就说自己负债了，离婚了，破产了，活不下去了，求求你让我赚钱吧，这类人你千万不要赚他一分钱，不要跟他产生一毛钱的关系，君子不立于危墙之下，不赚最后一枚铜板，对方都这样了，你能够解决对方的问题吗? 平时300元无所谓，人到危难之时，三块钱都是乘人之危。拿人钱财，与人消灾，消不了对方的灾，你就有灾了。 2，上来就问你，这件事情能赚钱吗?一个月内能赚五万吗?一周之内能赚两万吗?一天能赚500类似于这样的话，他在质疑你，却不了解自己到底是什么样子。永言配命，自求多福!这句话要记住。 3，你这免费吗?免费的我就看，不免费的我就不看，付费的全是割韭菜，这种思维不要搭理。这种人是占小便宜，没有感恩之心的，讲了也不信，信了也不能够干，属于无主见无根的人。 天作孽犹可违，自作孽不可活!国学首先要做的就是，明道，明理，谋势，势，权势，人心，气势，时势，运势，势机，道势。时也，机也，不如势也!自求多福就是首先要有自己的势，审时度势，懂得进退，明盛衰，通成败，审世道，看人心。 你爱什么?你关注什么?平时关注的一切都是我们成败的因果，女人关注指甲，丢掉了身体!男人关注身体，丢掉了脑袋，关注小利而丢掉了大利。关注了鸡毛而丢掉了鸡场，这就是韭菜思维呀。 未雨绸缪，才能免遭羞辱!深处绝境，多半是自作自受，任何事情都有发展的规律，提前都有征兆，忽略了这些征兆，结果就早已预料了，及时行乐，他日必有灾祸，说的就这个道理吧? 我们不是打开财富的万能钥匙，我们只能做我们能做的，这三类人，我们无法满足，所以这三类人，我是一分钱都不能收的，懂得取舍，懂得进退，对自己善良也是对别人善意。 我做自媒体就是凡事都要掌握一个度，人家可以捧你，也可以砸了你的饭碗，把话说明白，把道理讲透，与君子相处，远离小人，君子内修，自求多福!小人外求，注定无法改变的，为什么要去沾因果呢? 如我们一样努力而有才华的人都在这个世界上如履薄冰，艰难行走，凭什么有些人就想轻松享受荣华富贵? @孙洪鹤-今日头条...

朋友圈一键点赞/解放双手   ◎独家消息实时通知/实时提醒@朋友圈一键评论/解放双手 ◎独家真实8047微信版本◎群聊一键设置管理员/独家 ◎独家支持朋友圈动态置顶@群聊一键@所有人/智能管理 ◎独家虚拟定位支持小程序◎设置新人进群欢迎语/独家 ◎独家虚拟定位实时共享位置◎独家群聊一键加好友/爆粉功能 ◎独家虚拟是位支持发丽友圈 电一键停止加群聊好友/爆粉功能@支持拍一拍自动回复语录◎一键添加群好友黑屏单 独家全新防封代码机制/独家   ◎稳定运行鸿蒙4.0系统/独家 下载链接https://wwz.lanzouq.com/b01esfjjxg ...

对于喜欢玩游戏的小伙伴来说，steam是一个再熟悉不过的平台了，对于不怎么熟悉的小伙伴来说可能只知道这个是一个游戏平台。很多人下载下来的都是假的steam，或者下载下来过后会出现各种错误。那么怎么才能下载并且正常的使用steam呢？下面我们就来和大家分享一下。 准备工作 熟悉steam的小伙伴都知道steam是一个国外游戏平台，在国内并没有专门的服务器。我们想要在国内正常的使用steam必须要用到游戏加速器。游戏加速器的种类很多，比较好用的就有UU加速、小黑盒、瓦特工具箱等，大家可以根据需求进行下载使用。之前小编已经为大家分享过UU加速器的下载方法，感兴趣的朋友可以去看看。 电脑steam怎么下载？ 1、当我们下载好加速器，并连接好网络过后。我们打开百度，输入“steam下载”，然后点击搜索。我们会看到搜索出来的第一个结果就是stream的官网了，直接点击进去。 2、打开steam官网过后，我们点击这里的“安装steam”。 3、然后，点击这里的“安装”就可以了。 4、弹出这个安装向导这里直接点击“下一步”。 5、语言的话，我们一般都是选择“简体中文”，然后再点击下一步。 6、安装的时候只有一个需要注意的地方，就是要选择一个正确的安装路径，这里不要选择安装在C盘。因为游戏的话一般都比较大，如果什么都安装在C盘，很快就可以让你的C盘爆了。选择好安装路径过后，点击安装就OK了。 7、现在我们就已经安装好steam了，我们就可以开始注册使用了。 大家在搜索steam官网的时候，在这里一定要看清楚是不是steam官网，否则你下载下来的就可能不是真的steam客户端。如果不确定的话，可以直接复制下面小编为大家提供的steam官网链接到浏览器网址栏打开即可。 Steam官网链接：https://store.steampowered.com/ 今天为大家分享的是如果在电脑端下载steam客户端。如果你很喜欢玩游戏，一定不能错过steam这个游戏平台哦。因为它会给你带来更好的游戏体验。 ...

0x00 起因 听大师傅说天翼安全网关可以telnet登录，回去尝试了下发现并没有开放telnet端口，把目标转向如何开启，经过一系列搜索，最后拿下网关。 0x01 信息泄露 我家这个网关型号是 HG261GS，经过一番搜索，发现访问 http://192.168.1.1/cgi-bin/baseinfoSet.cgi可以拿到密码 然后搜索密码的加密方式，得到工程账号的密码，加密算法为加密算法：字母转换为其ASCII码+4，数字直接就是ASCII码 之后登录 0x02 命令执行 在后台转了一圈没发现开启telnet的地方，经过一番搜索，找到这个版本存在命令执行的问题，访问http://192.168.1.1/cgi-bin/telnet.cgi通过InputCmd参数可以直接执行系统命令，然后访问http://192.168.1.1/cgi-bin/telnet_output.log可以看到执行结果，通过js下的telnet.js也可以访问http://192.168.1.1/cgi-bin/submit.cgi得到执行结果   测试一下效果   结果   这样就找到了个rce点，开始的想法是反弹shell，后来发现大部分命令都没有，是个BusyBox，打算用awk弹个shell，又碰见编码问题，试了很多种方法写不进去，这里就想着直接老老实实开启telnet登录，搜索了一波怎么进入系统 硬件牛盖子一拆就能长驱直入了，我也想，但是实力不允许首先先导出原配置文件，在管理-设备管理，插个U盘，备份配置即可 这里导出配置感觉不太合适，万一弄坏了其他人都上不了网了，拆盖子又不会，那么只能继续摸索，转换下思路，既然有配置文件，那么肯定有读取配置文件去开启的功能，直接find搜索所有cgi文件InputCmd=find%20/%20-name%20"*cgi*"，找到一个名叫telnetenable.cgi的文件，这不就是开启telnet的东西嘛   直接读取内容，找到开启方法   发现还是不能连接，经过排查，网关开启了防火墙过滤，阻止了23端口的连接，这里找到对应的iptables链和规则行号，直接删除，比如要删除INPUT链的第三条规则，可以执行iptables -D INPUT 3，然后添加23端口允许通过，效果如下   0x03 添加用户 成功进入登录页面，尝试使用读到的工程账密码和光猫背面默认密码登录，然而都登不上去   这里直添加一个Linux用户test/password@123 echo "test:advwtv/9yU5yQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd 登录成功~   最后记得关掉telnet，光猫作为出口，会有个公网地址，开启后公网也可以远程登录进来关闭命令killall telnetd >/dev/null 2>&1 文章来源：先知社区（7tem7）原文地址：https://xz.aliyun.com/t/9046      ...

  近日，据安全网站BleepingComputer报道，苹果公司开始向92个国家/地区的部分iPhone用户发送间谍软件警告，通知他们正遭受“雇佣间谍软件攻击”，攻击者试图远程控制他们的设备。   但苹果公司并未披露检测/监测全球iPhone用户手机中的间谍软件的技术细节。   苹果拒绝披露间谍软件威胁情报   在与BleepingComputer分享的通知样本中，苹果公司表示其警告具有高可信度，并敦促用户严肃对待。通知内容如下：   “苹果检测到您的iPhone正成为雇佣间谍软件攻击的目标，攻击者试图远程控制与您的Apple ID关联的设备，由于您的身份或所从事的工作，您很可能被特别选中。尽管在检测此类攻击时永远无法实现绝对确定性，但苹果的警告具有高度可信度，请严肃对待。”   为了防御此类攻击，苹果建议用户采取一系列即时措施，包括启用设备上的“锁定模式”（Lockdown），将iPhone和其他苹果产品更新到最新软件版本，并寻求专家帮助。   在描述“雇佣间谍软件”攻击时，苹果的通知强调了NSO Group的飞马间谍软件，并指出此类攻击资金充足、技术复杂，且只针对少数个人。   苹果还于昨日更新了技术支持页面中对间谍软件的定义，将“国家支持（的黑客行为）”修改为“雇佣间谍软件”，并指出此类攻击持续发生且具有全球性，有时会涉及为国家黑客开发间谍工具的私营公司。   苹果指出，由于工作性质或可能拥有的敏感信息，记者、维权人士、政客和外交官通常是间谍软件攻击的主要目标。   尽管此类攻击技术复杂，苹果仍向用户保证，他们正在尽一切努力检测此类攻击，提醒用户并协助用户采取必要措施。   “‘雇佣间谍软件’攻击动辄耗资数百万美元，使用寿命通常又很短，因此更难以检测和预防，”更新后的苹果技术支持页面写道，“自2021年以来，我们已在检测到此类攻击时多次向苹果用户发送过威胁通知，迄今为止，我们已向超过150个国家/地区的用户发出了此类通知。”   BleepingComputer要求苹果就其检测到的最新攻击活动的目标范围进行评论，但苹果发言人拒绝提供更多信息。   在更新的支持页面中，苹果写道：“‘雇佣间谍软件’攻击的极高成本、复杂性和全球性使其成为当今存在的最先进数字威胁之一。”因此，该公司不会将攻击归因于特定攻击者或地理区域。   收到警报怎么办？   根据苹果的技术支持页面，如果用户成为“雇佣间谍软件”攻击的目标，用户注册Apple ID使用的电子邮件和iMessage将收到通知，用户登录AppleID门户后也会显示威胁通知，以确认其真实性。   苹果建议用户采取以下措施：   联系“数字安全热线”（Access Now）获取紧急安全帮助和建议。 开启“锁定模式”（Lockdown）以获得额外的防间谍软件保护，显著减少攻击面。 将消息传递和云应用更新到最新可用版本。 更新所有其他Apple设备（Mac、iPad）并在其上启用“锁定模式”。 遵循安全最佳实践，例如应用最新更新、使用密码、启用双因素认证、仅从App Store下载应用、使用强密码并避免打开可疑链接或附件。（编者：苹果公司迫于欧盟DMA法案被迫在欧盟开放第三方应用市场，此安全建议有打击第三方应用市场的嫌疑，因为苹果设备中的间谍软件大多是利用了苹果操作系统中的零日漏洞，而不是第三方市场的锅）   最后，苹果表示无法检测所有“间谍软件”攻击，因此如果用户怀疑自己成为间谍软件攻击目标，即使没有收到来自苹果公司的通知，也建议启用“锁定模式”。 文章来源：GoUpSec    ...

项目地址 https://github.com/DVKunion/SeaMoon   项目介绍 月海 (Sea Moon) 是一款 FaaS/BaaS 实现的 Serverless 代理/云渗透工具，致力于开启云原生的渗透模式。 文章来源：菜鸟学信安   黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文      ...

软件介绍 酷我音乐pp是一款非常受欢迎的音乐播放手机软件。软件中包含了近2000万首正版音乐，今天为大家带来豪华vip破解版，可以免费收听和下载付费音乐，并解锁了海外限制，快来下载吧！ 破解说明 1.破解豪华VIP会员，显示VIP尊贵标识，畅想豪华VIP功能 2.解锁海外限制、解锁灰色歌曲，版权音乐 3.免登录支持无损音乐、会员专区、付费歌曲、付费听书资源在线播放 4.免登录支持自动极速下载、AI智能音效、畅享豪华VIP免广告 5.免费下载付费HiFi数字专辑、VIP会员主题皮肤 6.去启动广告，去侧边栏无用项，去掉直播，曲库底部按钮 7.其他一些细节修改，大家下载体验 软件功能 1、电台功能 酷我音乐内置了电台功能，在风格划分上，酷我音乐的电台划分和电脑上的一致，符合大多数用户的需求。 2、音乐播放功能 音乐的播放方式可以选择“顺序播放”、“单曲循环”和“随机播放”，全部歌曲还可以按歌手浏览、按目录浏览、缓存歌曲等。在歌曲列表中点击歌曲即可播放，按下单个歌曲右端的小按钮，可弹出操作菜单，喜欢、分享、MV、添加至列表、删除、歌曲信息等操作。在播放界面，可显示词图、歌词，与其他单曲页面不一样的是，酷我音乐可以通过右上端最靠右的按钮来查找“相似歌曲”。 3、网络播放功能 酷我音乐的在线音乐包含了：推荐、排行、歌手、电台、搜索功能。同时，在推荐页面，还有相关专题和热门推荐歌曲供用户选择。酷我音乐在音乐分享功能上面的设置极为人性化，支持分享到“朋友圈”、“微信好友”、“新浪微博”、“腾讯微博”、“qq空间”和“QQ好友”。 4、其他功能 酷我音乐在搜索功能上面有最为强大的音频支撑，包括热门歌曲的铃声版、有声读物等。 软件特色 1、大曲库：专业分类，千万无损音乐任你听，专区、船主题、心情、年代、流派、场景、语言、有声 2、炫直播：美女、才艺主播玩音乐，与众不同 3、听主播：电台，有趣的声音，让我们聚在一起 4、酷皮肤：全景皮肤，沉浸式体验随你选择，王者荣耀、HEBE田馥甄、穿越火线、薛之谦、GEM邓紫棋、更多皮肤等你发现 软件测评 软件可以没有限制地下载付费音乐，还可以解锁海外限制和灰色歌曲! 软件截图   下载地址1 下载地址2  ...

软件介绍 七猫免费小说app是一款非常受欢迎的免费小说阅读手机软件。软件为用户提供了海量免费小说资源，包含仙侠、玄幻、言情、悬疑、穿越等各种题材，已为大家解锁会员版免广告，快来下载吧！ 软件功能 1、【热门好书、影视原著免费看】 《我有一剑》：《一剑独尊》作者青鸾峰上最新力作免费上架!我有一剑，出鞘即无敌! 《斗罗大陆V唐三重生》：知名网络作家唐三力作免费首发，全新的斗罗宇宙，不变的少年热血! 《传家》：聂远、秦岚主演热门民国情感剧同名原著!时逢家族变故，易氏三姐妹究竟该如何传家守家?山河破裂时代，小家亦有大爱! 《良辰好景知几何》：窦骁、陈都灵主演同名年代情感剧原著!看将门之子VS落魄千金，在烽火年代因爱成长，踏浪前行。 《玉楼春》：白鹿、金晨主演古装爱情剧改编原著《玉楼春》，且看后宅女子如何在婆媳妯娌间谋得生机，撑得家族! 《北大差生》：庄达菲、任宥纶主演热门青春剧《二进制恋爱》原著。从校园职场，十年爱恋，是青梅竹马的年少悸动，是双向奔赴的成长守护。 《与君初相识》：迪丽热巴、任嘉伦主演奇幻仙侠剧原著小说，九鹭非香经典力作，望心意相知，盼深情相眷。 2、【语音朗读免费听】 语音朗读功能提供多种声音任你选择，满足你的听书需求，解放双眼，随时随地听小说，海量小说免费听! 3、【金币福利送不停】 通过丰富的福利任务赚取金币，金币可以快速提现!新人福利、每日签到、阅读小说可以快速获取大量金币!看小说赚零花，金币福利等你来拿! 4、【邀请好友领现金】 邀请好友看小说，大额现金领不停!可立即提现，到账速度! 软件特色   1、全新书友社区，书友互助，传递温暖，终结书荒! 2、阅读时长：阅读时长兑换阅读币、时长排行榜。 3、成长等级，记录你的成长轨迹，升级获取特权。 修改详情   精简首页布局； 去除启动广告等其它广告； 跳过广告下载小说和听书； 修改者加了首次运行弹窗，点进入软件即可。 软件截图     下载地址1 下载地址2  ...

点击围观  ...

  点击播放  ...

点击围观  ...

  一款功能强大的网络加速软件，他通过优化网络连接， 提供更快速、稳定的网络环境。它支持视频加速、 隐私保护和游戏加速，轻松实现一键加速，提供流畅的网络体验。 下载地址 蓝奏网盘   ...

CVS介绍 CVS与Nessus和Nuclei等许多产品一样，可用于扫描各种网络漏洞，但它更现代，具有免等待的OOB测试策略、高级漏洞PoC IDE和强大的VDSL（漏洞域特定语言）引擎，使您能够能够快速轻松地扫描几乎所有漏洞。 特征 强大的 PoC 脚本语言 - VDSL（领域特定语言） 先进的仿真的 PoC 开发和调试环境 - CVS PoC IDE 更现代化，消耗等待OOB服务器 高速、高性能的漏洞扫描引擎 与几乎所有 Nuclei 的辅助函数功能兼容，因此您可以轻松将 Nuclei 模板转换为 CVS PoC 轻松提取森罗空间测绘引擎扫描的网络服务和指纹信息 轻量级、单一二进制文件、跨平台且无其他依赖关系 输出格式支持-JSON 用法 CVS由三部分组成：CVS扫描器、PoC IDE和OOB服务器。CVS扫描器用于读取森罗空间测绘引擎生成的扫描目标信息，并加载PoC进行漏洞扫描。 PoC IDE用于编写和调试漏洞脚本以及生成PoC文件。OOB服务器用于反向连接平台，如一些没有回显的漏洞，以确认漏洞的存在。   编写PoC 命令行运行IDE   ide.exe 浏览器打开http://127.0.0.1:777/即可看到PoC开发环境，该IDE提供了PoC的编写、调试和保存等功能，并支持代码补全和智能提示，如下图所示： 上图右上角分别为运行、保存、刷新按钮，按钮用于调试PoC脚本，运行该脚本脚本类似golang，cvs结构体在CVS扫描器中会自动根据target.json生成，无需实现，只需在调试时方便测试，自行声明。   架设OOB服务器 OOB全称Out-of-Band，有很多漏洞测试时并不直接回显任何信息，需要在公网架设一个OOB服务器来接收漏洞是否测试成功的结果。通常OOB服务器会接收漏洞测试所触发的dns 、http、ldap、rmi、ftp等连接请求，将结果返回给CVS扫描器。 首先将oob-server上传到公网可访问的服务器上 运行oob-server会自动生成一个名为cfg.yml的配置文件 修改配置文件：domain为dns服务器要解析的根域名，token为CVS扫描器连接OOB服务器的认证token，external_ip为该服务器的公网ip，ssl为CVS扫描器连接OOB服务器是否启用ssl，若为true则需要上传pem格式的tls证书server.crt和私钥server.key           domain: example.comtoken: clt5j6r4uu422g7i8rrgexternal_ip: 3.1.1.1ssl: falselog_level: info 4. 放开服务器的80、53、33333端口访问，并将OOB服务器设置为NS解析服务器，如阿里云上的域名可以参考链接进行配置 开启CVS扫描器 CVS扫描器下面有poc、lib、db三个目录和一个配置文件cfg.yml。poc目录为PoC货架目录，子目录以服务协议配置。lib目录为用户自定义的VDSL库文件货架目录。db目录用于主板无回显漏洞详细信息的数据库文件。配置文件cfg.yml如下：             oob_url: http://3.1.1.1oob_dns: example.comoob_server: "http://3.1.1.1:33333/events/"oob_token: "clt5j6r4uu422g7i8rrg"threads: 36log_level: error 上面oob_url为OOB服务器的外网地址，用于http协议的反连。oob_dns为dns的根域名，用于dns协议的反连。oob_server为接收反连信息的长连接通信url。oob_token对应OOB服务器上的认证token。threads为CVS扫描器的并发线程数。 配置好上面配置后，将森罗网络空间测绘引擎生成的target.json↓过来，执行cvs即可开始扫描漏洞。 CVS 命令行选项：           Usage of cvs: -i string 扫描的目标输入文件路径（默认为森罗输出的“target.json”） -o string 扫描结果输出文件路径（默认为“result.json”） 项目地址 https://github.com/Safe3/CVS 文章来源：Hack之道    ...

澳大利亚悉尼西北部贝拉维斯塔（Bella Vista）的弗朗西斯科新月（Francesco Crescent），三个 20 多岁的朋友坐在一辆宝马车里。 当黑色东北天气系统上周四开始威胁悉尼时，三人并不知道新南威尔士州警方正在监视他们。 自去年10月以来，网络犯罪小组一直在调查悉尼暗网市场上销售甲基苯丙胺和可卡因等毒品的情况，并锁定了这些人。 下午3点30分，三辆没有标记的警车聚集在一起。警察将这些人从金属色轿车中带走，并将他们铐在地上。 “警察，请下车。立即趴到地上，”一名警官在逮捕视频中喊道。 “放下手机，放下笔记本电脑。趴在地上，把头转向另一边。“ “你因供应毒品而被捕，你明白吗？” 警方称，这个贩毒团伙经营着一家暗网生意，向超过150人出售可卡因和甲基苯丙胺，赚取了数十万美元。 逮捕事件发生后，网络犯罪小组组长、侦探警司马特·克拉夫特 (Matt Craft) 在接受采访时表示，该小组的工作方法与传统的警务工作有很大不同。 该小组成立于2017年，旨在应对网络犯罪活动的激增。警方花费大量时间追查暗网市场上的犯罪活动。 这些暗网市场在暗网上运作，用于销售或代理交易，涉及毒品、枪支和欺诈性文件等非法商品。 暗网因无法通过谷歌等传统网络浏览器访问而声名狼藉。访问暗网的访问者和网站所有者的身份通过使用加密浏览器来隐藏，这些浏览器掩盖了真实的 IP 地址，即分配给连接到互联网的每台设备的唯一识别号。 “大多数警察，当你逮捕罪犯时，都会说‘放下刀’。对我们来说，则是‘放下电脑’——证据就在那里，我们必须拿到这些电子证据。”克拉夫特说。 所有三名被捕男子都被带到Riverstone警察局。 据称，25岁​​的犯罪头目德瓦库玛 (Devakumar) 是一名住在贝拉维斯塔 (Bella Vista) 的失业男子，他被指控犯有一系列罪行，包括指挥犯罪集团和供应毒品。 27岁的桑加拉塔桑（Sangarathasan）来自图恩加比（Toongabbie），与母亲住在一起，被指控犯有16项毒品供应罪。据称，一只警犬还在他的单人床下发现了冰块。据说，他的母亲对儿子被捕感到非常伤心。 25岁的格伦伍德男子弗洛拉（Flora）被控参与犯罪团伙和参与毒品供应。警方指控他参与了可卡因和甲基苯丙胺的分销，并扣押了一辆据说与此有关的车辆。 侦探们还将声称他们缴获了违禁药物、吸毒工具、比特币钱包和电子产品。 三人都申请了保释，将于周五在布莱克敦地方法院出庭，其中德瓦库马尔（Devakumar）和桑加拉塔桑（Sangarathasan）被拒绝保释。 弗洛拉在严格的条件下获得保释，包括禁止上网、接受药物和酒精测试、除紧急情况外不得离家以及每天向希尔斯警察局报到。 商业记录显示，德瓦库马尔和弗洛拉去年年底共同开设了一家名为 ”Flourish Studios“的公司。该公司的Instagram页面称，它将”点燃您品牌的数字乌托邦“，但其网站无法使用。 “他们有一系列的商业计划，但自从我们一直在调查以来，他们还没有从事有意义的全职工作，”克拉夫特说。 在谈到这次破获的意义时，克拉夫特说： “据称，他们的业务正在发展壮大，客户群也在不断扩大。” “人们认为你可以保持匿名，但执法部门已经发展壮大，”他说。 “我们主要关注新南威尔士州的那些人；我们不断扫描暗网和明网——我们对这两个网络进行监控。” 警方还在继续调查该犯罪团伙涉嫌购买毒品的地点。 澳大利亚警方正在持续打击暗网贩卖毒品的犯罪行为，今年一月，警方逮捕了一名36岁男子，并缴获了约100万美元的加密货币、价值100万美元的手表和珠宝以及一辆汽车。...

软件名称：远程控制新版本 软件大小：1.15M 软件版本号：2.0 软件内容介绍：远程控制app是一款免费的安卓应用，可以完美的操作远程控制手机端，投屏，左上角有视频教程，如果不懂按视频教程即可！ 注意注意注意 两个手机都需要安装远程控制app，其它操作看视频教程 ...

安装请到 发行版本 中进行下载最新版本，然后到 WordPress 管理后台中的「外观」-「主题」中点击「添加」，选择 Puock 的主题包进行上传安装并启用即可。提示：为了防止主题不兼容，请在安装主题前进行数据备份，防止数据字段重复覆盖等情况发生。重要：请不要直接克隆或直接下载仓库进行使用，请到发行版中进行下载使用     环境要求 WordPress >=6.0 PHP >=7.4 主题特性  支持白天与暗黑模式  全局无刷新加载  支持博客、CMS、企业三种布局  内置 WP 优化策略  内置前台用户中心  支持 QQ / Github / Gitee / 微博登录  支持缩略图伪静态  全局顶部滚动公告  图形及极验验证码支持  自定义 SMTP 支持  一键全站变灰  网页压缩成一行  后台防恶意登录  内置出色的 SEO 功能  评论 ajax 加载  文章点赞、打赏、海报生成、分享  Twemoji 集成  丰富的广告位  丰富的小工具  自动百度链接提交  众多页面模板（读者墙 / 归档 / 书籍推荐 / 站点导航 / 标签 / 站点地图等）  众多短代码支持（下载 / 评论后可见 / 登录后可见 / 登录且验证邮箱可见 / 多种提示框 / Github 卡片等）  支持 Dplayer 播放器  仿 MacOS 的代码风格及拷贝代码  Vue3+NaiveUI 集成的高颜值后台配置  文章多级目录生成  侧边栏粘性滚动  WP 缓存支持  自定义主色调  LOGO 扫光动画  ChatGPT 及 AI 绘画支持 更新日志 Fix Undefined array key “pk-post-seo_noncename” (miniwater) ✨ 优化插件函数冲突  (licoy) 修改两处对 @的错误使用，改用?? (lvshujun) 评论小工具改用 WordPress 内置函数查找，而不使用 SQL（修复版）(lvshujun) 改用 wp_add_inline_style 挂载行内和自定义样式 (lvshujun) 自定义主题色和 pk_head_style_var 也使用 wp_add_inline_style 输出 (lvshujun) 优化了点赞数超过一万就错位的问题 (miniwater) ? 更新环境最低版本说明 (licoy) ✨ 增加评论内容中必须含有中文字符支持 (licoy) https://suyan8.lanzoub.com/iFaCV1ukwp6f ...

估值超两千亿，「暗网版微信」准备上市； 2024年3月，英国《金融时报》刊登了对 Telegram 创始人帕维尔・杜洛夫（Pavel Durov）的专访，透露出明年在美国IPO的想法，估值约为300亿美元（约为两千多亿人民币）。这家总部位于迪拜的通讯平台在近两年前推出了广告、高级订阅服务后，获得了数亿美元营收，使得公司的亏损大幅收窄，有望在明年实现盈利。   但让Telegram 出名的并不是上面这些信息，而是其对于内容极其宽容甚至可以称之为放纵的政策，以至于该平台被很多人奉为「真正自由的社交平台」，并逐渐沦为了黑灰产们的聚集地，肆无忌惮地在该平台上进行着各种交易。黑灰产扎堆的“小暗网” 某财经记者曾对Telegram平台进行暗访，发现该平台存在用于出售个人信息的机器人，通过机器人界面，可以加入一个群组。在群组里，不断有各类卖家发布消息出售各类个人信息，涵盖了个人户口、家庭户口、手机号查机主、名下银行卡、淘宝收货地址、微博反查、微信反查、快递单号查询收货地址、住宿记录、出行记录等等各类个人信息，几乎无所不包。形象地说，Telegram平台上的机器人实际就是众多卖家将手中的个人信息建成一个可自动检索的数据库。如果有人想购买或查询信息，一般使用BTC（比特币）或ETH数字货币向机器人进行充值。最低赞助320元人民币，可折合为260积分。按照规则，10积分可做一次普通查询，大约等于10元人民币可查询一次。如果没有比特币，群组里还有专门的代充值服务。其他类似群组还有很多，群组所出售和提供查询的信息与前述群组几乎没有区别，里面打包出售的个人信息价格从几十元到上万元不等，涉及数据动辄大小有几个G。此外，该机器人还提供所谓的「猎魔查询」（模糊搜索）功能，支付100积分即可进行查询，查询信息包括身份证号码、手机号码等非常隐私的信息，且信息准确度极高。知情人士称，「猎魔查询」可以被用于「人肉搜索」，只需要提供被「人肉」的人的名字，就可以通过不同的信息，一步步精准锁定搜索对象。信息出售不过是Telegram黑灰产的一角，其他在暗网上进行买卖出售的各类工具在Telegram上基本也都存在。尤其是在过去的几年时间里，Telegram迎来了飞速发展，用户注册量与活跃量急剧增加，成为加密货币的乐园，是全球各国政府和官员的重要沟通工具，也是爆发冲突地区的用户沟通工具，以及网络犯罪活动、极端主义、恐怖主义的活跃平台。在此前轰动韩国的「N号房」事件中，Telegram就在其中。运营者在Telegram上开设直播间和聊天室，胁迫受害者拍摄强奸、性虐待的照片和视频，并有偿提供给会员。双方用虚拟货币进行交易，聊天内容会被定期销毁，难以取证和追踪。事件发生后，Telegram在韩国警方的要求下，删除非法视频，但最终没有满足警方提供非法视频上传者个人信息的要求。出于绝对保护用户隐私理念，Telegram拒绝接受政府监管，因此全球越来越多的国家开始被禁用。2018年，俄罗斯正式屏蔽该聊天软件平台，而后伊朗、印尼、巴基斯坦等多个国家也都陆续禁用Telegram。与之对应的是，为了不受任何一个国家的管辖和安全机构的约束，Telegram 把服务器分散到了世界各地，以保证任何一个政府都难以强迫 Telegram 放弃任何数据，并最终成为用户口中的「小暗网」。Telegram之所以最终演变成黑灰产的温床，与其过度隐私保护政策密不可分。作为全球最出名的加密社交平台，Telegram提供秘密聊天、阅后即焚、账户定期删除等功能。为了保护用户的真实信息不被执法部门发现，Telegram还上线了「禁用用电话号码匹配」的功能，极大地增加了确定使用者身份的难度。与此同时，Telegram 还开发使用了端到端加密的「秘密聊天」功能，服务器无法看到信息内容，这进一步强化了用户的隐私安全。正是因为这一系列的隐私保护政策，导致了Telegram上黑灰产的泛滥。由于无法确定现实世界的身份，Telegram平台上的用户可以肆无忌惮地在网络世界为非作歹，而不担心被执法部门在现实世界找上门，其收益和犯罪风险严重不成比例。再加上使用加密货币作为支付渠道，致使大量非法交易纷纷在Telegram里出现，包括一些枪支弹药交易、色情产业交易，甚至被恐怖主义组织利用，更何况是小小的隐私泄露。 7名新能源车主被抓，他们找到了系统漏洞免费充电； 据上海市公安局官方消息，在“砺剑 2024”第七次集中清查整治行动中，上海宝山警方在市局刑侦总队指导下，连续抓获 7 名利用充电站系统漏洞偷漏电费的嫌疑人，累计涉案金额约 2 万元人民币。霜云仔细看了看公告，原来，3月14日晚，是宝山区某新能源充电公司负责人到上海市公安局宝山分局杨行派出所报的案。报案人称，公司在核对全市各充电站充电记录和收益账目时发现，全市有多个充电站近期连续出现充电后未付电费的情况。其中最多一个车牌竟然累计“免费充电”90 余次，最多一个车牌共计逃避了 2000 多元的电费，对公司造成了经济损失。90 次？和充电站老板这么来电的吗...3 月 29 日，杨行派出所立即出动。调查后发现，该新能源充电公司在全市各区均布有充电站，涉案的充电站涉及全市 6 个区，且偷漏电费频率越来越高。天网恢恢疏而不漏，很快，警方就根据线索，将货运司机孙某抓获。孙某对自己利用漏洞偷漏电费的犯罪事实供认不讳。据犯罪嫌疑人孙某交代，他于春节期间在某充电站充电时，因赶时间送货，在电量未充满时就选择了退款，竟发现不仅预充款全额退回，充电桩还在继续工作。好家伙，这 BUG 还了得。但孙某没想着上报 BUG，也没想着主动补交费用，更没想占一次便宜就了事。他直接锁定了该充电站，开始猛猛地薅羊毛。据交代，孙某对这种利用 BUG“免费薅羊毛”的充电方法屡试不爽，不仅频繁逃避充电服务费，还通过口口相传的方式告诉了其他的货运和网约车司机。看起来，孙某觉得自己是个很“讲义气”的人...还专门告诉货运和网约车司机，好像生怕充电站老板发现不了似的。收到孙某的“经验之谈”，其中有 6 名司机选择效仿，各自多次作案逃漏电费几百至上千元不等，对相关新能源充电公司造成了持续性的经济损失。其他道心坚定的司机们，守住了底线，也守住了自己的自由时光。目前，犯罪嫌疑人孙某等 7 人因涉嫌盗窃罪被上海宝山警方依法采取取保候审的刑事强制措施。上海宝山警方已指导该新能源充电公司修复了相关程序漏洞，案件仍在进一步侦办中。其实，比起传统燃油车，新能源车主的用车费用（指补能）已经处于较低水准。以特斯拉为例，在其官网给出的算法和数据中，纯电车的预估费用仅为燃油车的 10% 左右。饶是如此，这种人还是不满足。2000 元...大一点的货运燃油车加一箱油都不止这么多钱。这些车主的行径，只能用IT之家 App 网友的评论总结。   文章来源 ：freebuf、警民直通车上海 ‍      ...

平时不怎么爱挖src，因此除了项目需要之外（基本全部都是企业的网站），业余几乎不会抽时间去挖挖各大众测平台的src，还没有挖过类似于学校edu这一类的src，于是就想着玩一下，看看有什么区别。 目标定夺 首先是目标的问题，一般对于网站的一些首页，内容太多，所以打起来会比较墨迹，因此这次目标定在了某个学校的智慧校园后台，一般这一类的后台管理系统都会存在类似于弱口令、登录绕过等各种问题，而且功能相对来说也比较简单。 操作手册泄露 在对网站目录进行扫描爆破的途中，发现了一个/doc路径，访问下载出来了一个系统的操作手册，按照以往的经验，这一类的操作手册一般都会存在很多可利用的地方，比如说一些默认的账号密码会写明，或者说后台的一些用户名账号密码可能会被泄露。果不其然，这里虽然后面大部分图片被打上了马赛克，但是依旧有少部分图片是泄露了学生的姓名，账号，管理员的账号admin_g等。 拿到了账号之后，尝试了一轮的暴力破解，因为个人觉得这一类密码应该都是有规律的，可能就是学号或者姓名简写等，很遗憾的并没有，开发人员对登录错误次数限制为了5次，因此并没有能够成功登录到任何一个账号。 JS泄露 这里的JS文件有些许奇怪，它以前应该是测试的时候在内网有一个路径Env，从这个Env获取类似于配置的东西，这里应当某个子域名的外网。 尝试访问配置文件的路径/Env，得到了很多的api接口的URL，根据各类接口的命名，可以看到它是通过前后端分离，通过不同的接口域名处理不同角色的逻辑，教师的、学生的，等等。 这是一个Java编写的应用程序，根据经验，类似的api路径接口可能会存在springboot信息泄露或swagger接口文档能够被访问的问题，进行了尝试之后，发现每一个接口的URL路径都存在了swagger接口文档泄露的问题。 Swagger文档泄露 swagger接口文档未删除，能够被访问并不意味着一定存在漏洞，当开发人员对网站的各种权限措施等做的足够好时，接口文档也仅是一个接口文档了，只不过能够让攻击者快速摸清楚网站的各类接口和它的作用。在前面几个类似于登录Swagger接口文档并没有找到可利用的点，基本上都返回401 Unauthorized，因为接口很多，逐渐被消磨着耐心，它这里的一些data数据接口甚至进行了IP封锁，直接返回了403。 直至来到处理Student与Teacher接口，通过一个个寻找发现了存在可用的未授权接口，这两个接口能够获取到所有学生、教师的姓名、班级、身份证号等信息。 通过学生的ID号还能够得到学生、老师的详细信息个人信息。 小红的作用 这时候想起操作文档中泄露的账号，是否可以继续通过这些信息猜测账号密码呢，因为通过文档的说法，是存在着一个默认密码的，但是我这里一直都没有试出来（当然这也与我几乎没有接触过学校类的网站相关，经验实在是太少了），所以我开始尝试其它方式，比如小红书？我在小红书发布了一个帖子，并艾特了这个学校，以求在评论区中得到默认的账号密码。 果不其然小红书起到了它该有的作用，下面有人回复我的贴子，得到了我想到的内容。 剩下最后一个问题就是说，密码是身份证后六位，我该如何得到操作手册中对应用户的身份证呢？于是我尝试了不用操作手册中的账号，我直接通过了身份证号作为账号，后六位作为密码进行了一次登录，登录成功了，尝试了其它的账号，也都成功了，也就意味着这个学校大量的教师和学生账号泄露出来了。   在后台里面能够访问到该学校的其它管理系统，新闻中心，甚至能够看到协同办公的OA等等 当然还存在了其它的接口也存在未授权的问题，比如说成绩的导出等等，泄露了大量学生的成绩信息、身份证号等等。   总结 之所以写下这篇文章，并不是说这次的src有多难，而是觉得这次的src是有意义的B站，小红书，抖音等社交软件也可以成为有效的攻击社工利用手段之一。而对于学校这一类的系统，因为用户量大，学生安全意识并不强的原因，大部分的账号都是默认密码，学生教师等都并不会更改密码。   黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文  ...

点击围观  ...

  点击围观  ...