CVE-2022-30781:一条普通的 Git 命令导致的 Gitea RCE

本文首发于跳跳糖 https://tttang.com/archive/1607/ 今年过年放假的时候,我就在挖 Go 相关开源项目的 Security Bounty。通过整理分析现有 Go 开源项目的历史 CVE,我大致摸索出了 Go 项目易出现漏洞的一些地方,以及开发人员经常会疏忽的问题。 前后提交的几个漏洞让我有了好几个 CVE,并且小赚了一笔,换算成人民币应该接近六位数了。😈 具体可以阅读

聊聊最近挖 Security Bounty 的感受

文章头图来自 @大空水獭 https://t.bilibili.com/637532953957629970 起因 有将近四个月没写点东西了。赶着周六的凌晨,带着些许睡意,想来分享下从去年年末到现在挖 Security Bounty 的感受与经验。文中会挑选几个我觉得有意思的漏洞,分析其背后的故事以及我的想法。 记得三年前,大二上学期刚开学协会招新的时候,跟新生聊到协会的 @Li4n0 学长大二就

斗智斗勇!分享 asoul.video 网站背后的故事

A-SOUL 时代 我在今年六月份的时候被室友安利了关注了嘉然,进而得知了 A-SOUL。起初只是觉得这个粉色小东西的声音好听,不嗲不做作;动捕也十分强大,是个资本拿钱砸出来的 Vtuber。 后来我陆陆续续刷到了很多一个魂们整的典中典。突发恶疾的视频让我笑到断气,溜完视频后又直奔评论区看发病小作文。还有很多三句剪一句的二创,弹幕也各个是人才。我也学着评论里奇怪的说话方式,发着带有特殊意义的 em

Light Cube 六周年的碎碎念

大学里的最后一个国庆假期,这个小站也迎来了她的六周年生日。 我在高二那年写的文章里曾说:“下一次写文章应该是在大学里了吧。”,那么明年的七周年纪念文章,大学毕业后的我,又会在何处呢?目前看来也说不定呀。 过去的一年中,能够很明显的感觉到写博客的次数少了(刚数了下,居然只有 7 篇)。以前一个月写一到两篇的习惯已经不复存在了。😅 究其原因,一是因为平日里比较忙,二是因为难得找到一些值得写的东西。博客

道理我都懂,但 go embed 究竟该怎么用?

Go 1.16 发布! 就在前几天,Go 1.16 赶在二月的末尾发布了。 对于这个版本我期待了很久,因为官方终于从语言层面解决了静态文件嵌入的问题—— 加入了 go embed。从此,像 go-bindata、statik、togo 等库都将退出历史的舞台。 同时 Go 1.16 配套的加入了 io/fs 标准库,提供了实现文件系统的接口。同时对 http、embed、os 标准库都加入了对 f

《黑客与画家》读书小记

一直以来有个看书的坏习惯,拿到一本书,刚开始三分钟热度一口气看了个三分之二,热度过去了,剩下三分之一就一直拖着了。去年夏天买了本《献给阿尔吉侬的花束》,剩下那么几节一直拖着没看完,自己倒也不纠结后面的内容,就这么坦然地拖着。 这次也是一样,上学期疫情返校后从学校图书馆借的一本《黑客与画家》,本想着暑假看完的,又是拖了最后那么几页。 最近逼着自己抽出时间看完了。不得不说这本书是谁看了谁就想立马创业,

写在这个小站五周年之际

最近挺忙的,不论是工作上的还是学业上的。 自己也是挺累的,一直没怎么能抽出时间来学些东西。因此整个九月份博客也是一篇没更。之后不能再这样了!😕 九月份一连着三场线下赛,结果也是有得有失。强网杯第一次打 AWD + RW 赛制,前面的大佬队伍全靠 RW 上分。其中有道 PHP Web,我的思路是利用网站 PDF 生成的地方,phar 反序列化,删install.lock实现重装,然后在配置文件里面写

GitHub Actions × Unity3D 持续交付实践

期末考完回到家了,很庆幸这学期又没有挂科。从今以后就是不挂科的大茄子了! 在校备考这段时间,收到一条关于 Asteroid 的 issue #3,说实话挺气的。开源无可避免地会遇到伸手党或者不愿自己尝试的人,作为开发者只能被动地把软件做得尽可能简单,来减少他们提问题的机会。 每当遇到不看文档不动手直接上来问的,我都会想起下面这则笑话: 软件工程师努力设计出最大最好的连白痴都会使用的程序;而宇宙在拼

简单地聊聊 GitHub 信息泄露监控

去年 5 月份的时候,bilibili 源码泄露,B 站虽然一波 DMCA 下架了一堆仓库,但那也是无济于事。直到现在,在 GitHub 上搜索”bilibili.com”,还是能搜出一大片当时泄露的源码。这反倒是给寻找新的泄露情报带来了干扰,B 站这可能也是因祸得福吧。 我在去年 12 月份的时候,在 bilibili 泄露的那份源码里,找到了两处还未被修复的敏感信息泄露,提交给了 BiliSR

第一次运营开源项目的感想——写在 Cardinal 60stars 之际

头图中的 Vidar 娘,作者 @b0lv42 我记得是在大一下学期时,@Li4n0 提到了协会下半学期办比赛的事,也就是后来的 D^3CTF,并且希望能写一个线下 AWD 平台,留着今后一直传承使用下去。之前 @Li4n0 学长负责了 2018 年的 HCTF 线下 AWD 平台的全栈开发,当时他使用的是 Python Django + RabbitMQ,据说当时是勉强撑了下来。因此我们决定使用

写了个小玩意来展示我做的小玩意(禁止套娃

HGAME 完结撒花~ 长达 4 周的 HGAME 2020 结束啦!因为是放寒假,所以每天几乎都睡到 12 才醒,醒来一看手机消息总会有几个学弟来问题。 陆陆续续下来,协会的招新工作也差不多接近尾声,一些有潜力的新生后面也要开始关注起来了。 在准备 HGAME 的空余时间呢,我依旧是在瞎写东西。Week2 在老家的时候把上学期开的 Pie-Baker 这个坑填了不少,估计以后可以写篇文章介绍一下

Vue 编译后该如何方便地嵌入 Go?

有一段时间没写点东西了。前一阵子事挺多的,又是重构助手阳光长跑后端,又是准备协会 Web 培训,上周又是 D^3CTF 线下。周五周六连续熬了两个通宵处理各种突发的问题,直到周日才在场地旁的沙发上睡了六个小时。 原本想写篇文章复盘一下 D^3CTF 的,但是思来想去好像都是些零零散散的琐事,没有可以单独拿出来讲的。还有就是些技术“机密”,不太好拿来公开分享哈哈。 今天难得有空在期末复习之余写了下自

关于我用 Go 写 HTTP(S) 代理这档事

起因是氪不起曲包 我很喜欢的音游——Muse Dash,在 10 月 28 日的时候发布了万圣节更新。新的游戏更新里加入了“周免”机制。即每周都会有一首付费曲包里的歌曲供玩家免费试玩,这样玩家就会有动力氪金买曲包了。 但是我这阵子手头一直不宽裕,比赛的钱最迟有要到下学期才发的…… 助手那边最近也没啥锅让我写。氪金当然是不可能氪金的啦。 不过自“周免”机制推出后,我就隐隐有一