SysAdmin | Blogger | Geeker
屏蔽百度地图采集IP地址定位信息 0

v2ex的一个帖子上看到,说百度地图居然把科学上网工具的IP地理位置记录为常用坐标了……
简单地说,就是,我用了一个米国或者HK或者JP的梯子,正常情况下查IP应该是米国/HK/JP等,但是百度地图给出来的数据居然是你家或者你单位或者你经常出没的地方…… 这个数据可以去 ipip.net 查询,上一张我的阿里云梯子截图

简单地说,这个是目前让人不爽,以后存在安全风险的行为。

刚才看到SSR作者破娃酱给出了解决方法并允许转载,就顺手在这里记录一下好了。

以下内容来自破娃酱的博客

在系统的host加入如下的东西即可(即屏蔽掉这些域名)

1.0.0.1 api.map.baidu.com
1.0.0.1 ps.map.baidu.com
1.0.0.1 sv.map.baidu.com
1.0.0.1 offnavi.map.baidu.com
1.0.0.1 newvector.map.baidu.com
1.0.0.1 ulog.imap.baidu.com
1.0.0.1 newloc.map.n.shifen.com

::2 api.map.baidu.com
::2 ps.map.baidu.com
::2 sv.map.baidu.com
::2 offnavi.map.baidu.com
::2 newvector.map.baidu.com
::2 ulog.imap.baidu.com
::2 newloc.map.n.shifen.com

以上写法会让连接超时等待,如果你希望连接立即拒绝断开,那么把”1.0.0.1″改为”0.0.0.0″,把”::2″改为”::”即可

如果你使用代理,那么在代理服务器及本地都最好设置一下

-EOF-

——————–
引用参考:
BreakWa11:如何以最暴力的方式防止百度定位泄露真实位置

Android 5/6/7/7.1.1 去除网络感叹号方法 0

貌似自从Android 5.0 Lollipop开始,Google就增加了一个Portal Server门户服务器的连通性测试,大意是为了在连接到需要验证的Public Wi-Fi时,能根据连通测试的情况自动弹出Wi-Fi登陆提示页面,但是默认的地址是 [国内不存在的] gstatic.com 的,鉴于国内的奇葩环境,不管Wi-Fi是不是好的,都会被认为网络是不通的显示一个感叹号提示(Android 7.0 Nougat改成了小叉叉)……

注意:本文提到的方法都无需root,但是需要adb工具并开启开发者选项。

Android 5.0 Lollipop & Android 6.0 Marshmallow的解决方法

在Android 5.0 Lollipop & Android 6.0 Marshmallow时,根据小狐狸分析,可以用以下两个方法解决

  • 方法一:直接禁用Portal Server的连通性测试
  • 在开启了开发者选项的情况下,连接电脑,安装最新版的adb工具,然后执行以下命令:

    然后飞行模式一下,就没有了,但是有个弊端,就是如果你连接公共Wifi需要验证的时候,会发现不会自动弹出验证网页,需要自己打开浏览器访问任意网页才行。

  • 方法二:更改默认的Portal Server地址
  • 网上有一些热心人士提供了在国内可正常连接的Portal Server,包括小狐狸v2exg.cn等,我个人比较喜欢g.cn的,同样在adb下输入以下命令可以达到修改Portal Server的目的:

方法二我一直都在用,但是直到Android 7 Nougat这个办法就失效了……如果你用了方法一,应该不用往下看,以下都是基于方法二的调整。

Android 7.0 Nougat的解决方法

这个时候,之前的方法失效了,于是遍寻网上,后来有人发现是验证方法改成HTTPS了,而之前是HTTP的,于是热心人士的服务器纷纷失效了,因此v2ex还升级了之前提供的服务,开出了一个子域名专门做Portal Server,并同时提供HTTP和HTTPS两种连接方式。同样可用的热心人士服务器有Google.cn …… 如果你之前用的就是v2ex的,那么在v2升级后,你就检测就会恢复了,不需要再修改设置。

在Android 7 Nougat仍然可以通过禁用检测的方式来解决这个问题,但我更喜欢无损解决,所以,把上面方法二的服务器换一下就行:

Android 7.1.1 Nougat的解决方法

到这个版本,不知道为什么HTTPS的服务器也歇菜了,真是命运多舛,我的Nexus 5X根本就不想unlock和root,所以继续找办法,直到有人发现这次不管怎么改,都会连接到 gstatic.com 这个米上面,于是开始有人通过改hosts的方法来解决,但是我不想root……

于是刚才又找到一个方法,这次需要直接修改Portal Server的URL了……因为不会在末尾自动加 /generate_204 了……

请执行以下命令

目前来看,我刚升级到7.1.1的Nexus 5x是解决了这个问题了,不知道下次版本升级又会发生什么……

以上的操作,如果要恢复出厂原始设置,可以执行以下命令:

P.S:个人极力推荐有各种科学上网需求的童鞋,完全可以买一个Google Project Fi的SIM卡来日常用,天然科学上网,自带米国手机号,无障碍平滑激活Google Now/Location等服务,等有空写写Fi的使用体会。

-EOF-

——————–
引用参考:

  1. 狐狸的小小窝:关于 android 5.0 网络图标上的感叹号及其解决办法
  2. V2EX:关于 V2EX 提供的 Android Captive Portal Server 地址的更新
  3. V2EX:关于 Android 7.0 的 global captive_server_use_https 设置的默认值
  4. V2EX:可否加入 generate_204 ,方便 Android L 消除叹号。
  5. 私家折腾笔记:Android 7.1.1 去除网络叉号
批量下载阿里安全峰会资料 0

Update: Aug 17th, 2016
昨天写完后前思后想觉得不应该这么麻烦,毕竟pipe的魅力是无穷的,于是重新改了一下命令,既然都格式化两个参数出来了,那还是用一句话完事儿比较好……

两个方法只有细微的差别,比如下面的那个,文件有序号,文件名可以保留空格,这个都让我替换成“_”下划线了。
不过,文件名没空格才是好习惯~
——————————————————–
在微博看到一个发帖,内容是“OSX下批量下载BlackHat议题”

@riusksk
【OSX下批量下载BlackHat议题】由于迅雷for mac不支持网页内的链接文件批量下载,因此用个命令提取出所有pdf,复制到迅雷里就可以批量下载了: curl -s https://www.blackhat.com/us-16/briefings.html|grep -a pdf|awk -F ‘”‘ ‘{print $4}’

以及升级版

可以把zip后缀也加上:curl -s www.blackhat.com/us-16/briefings.html | grep -a “pdf\|zip” | awk -F ‘”‘ ‘{print $4}’

鉴于前阵子一直在看阿里安全峰会的67份PDF手痒想批量下载但是没动起来,看到这个微博正好就改了一下句子,自己测试通过,在这里就是记录一下省得回头忘记了。

大概获得以下内容:

2c94ab81b98306a8999605709579474f.pdf Webshell安全分析实践谈-陈中祥
20b623c9a435152ab70987b44caf490b.pdf 安全威胁情报如何敲开企业安全管理的大门-苏砫
3abaa34100744be60ef95a3e3e709c96.pdf 打赢企业信息安全这场仗-姚威
91bcff6737815f2f1874481df49d5d7a.pdf 风声与暗算-严雷
3b9b672c8f83e044b180e6df7417f600.pdf 攻击过程的威胁情报应对体系-王云翔
5bfa5e3cfef7062313b02dfb318cbb26.pdf 如何产生威胁情报高级恶意攻击案例分析-宋超
a791868be9fe2ddde9a4e5fd65a55794.pdf 网络安全情报在企业侧的落地与实践-叶蓬
62e43182f9d148a12ba9038f9ba4d953.pdf 威胁情报企业安全-聂万泉
b472caf0373b3c1e3af37b5475c01ffd.pdf 威胁情报如何通过漏洞管理在企业落地-刘然
…………

然后继续……

解压压缩包,完事儿。

-EOF-

CentOS 双网卡双IP双网关配置 0

最近淘了一个Sentris.net的VPS,机器给配置双IP双网卡,给了两个不同C段的地址,但默认情况下只有一个IP能用,因为默认网关只能一个……

经过一番摸索,找到了方法可以让两个IP两个网关都跑起来~ 这个方法常用语双线或多线主机的情况下。
不过鉴于和谐版的锐速只能监听运行在一个eth0网卡上,另一个可以跑点别的玩玩~

0. 操作环境

OS: CentOS 6.8
IP1: 11.22.33.44 / Gateway: 11.22.33.1 / MASK: 255.255.255.0
IP2: 22.33.44.55 / Gateway: 22.33.44.1 / MASK: 255.255.255.0

1. 配置双网卡双IP

因为Sentris/KVM装的系统,默认只启用一个网卡,并且IP是由DHCP配置的,先要配置两个网卡的IP,并确定一个正常情况下的默认网关,本例以网卡1的网关11.22.33.1为默认网关,后续SSH要连接网卡1的IP。

eth0: //配置网卡1


文件Ctrl+O保存,Ctrl+X退出nano。

eth1: //配置网卡2


文件Ctrl+O保存,Ctrl+X退出nano。

重启网络服务:

如果这时候,你的SSH没有掉线,那么配置IP这事儿就完毕了,随便找个什么IP PING一下试试,比如8.8.8.8。

2. 配置双网关

接下来,增加两个路由表,为后续的双网关做点小准备:

文件Ctrl+O保存,Ctrl+X退出nano。

接下来手动添加静态路由规则,可以理解为,让哪里进来的,就从哪里出去,而本机出去的呢,走默认网关11.22.33.1……

这时,从外围测试一下PING网卡2的IP,应该就能通了,而之前都是超时的……

OK,这个路由设置默认情况下重启就没了,所以要做点措施预防。

3. 启动生效

根据我谷歌来的教程,说是可以把静态路由的命令加在 /etc/init.d/network 脚本里面,但是经过实践,似乎这个版本的CentOS会自动还原这个文件,导致自己加的东西会消失,所以,还是加到开机启动脚本里面吧

在文件末尾的 exit 0 之前,加上上面那一段设置静态路由的命令,然后重启一下VPS,完事儿。

-EOF-

——————–
引用参考:

  1. linux双线双网卡双IP双网关设置方法
  2. 双线机房CentOS双网卡双线双IP配置详解
一句话服务器 0

最近调试VPS需要转移文件,又不想特别去安装HTTP/FTP服务软件,于是找来了这些命令,一行可以启动一个HTTP/FTP服务器,Ctrl-C中止后服务器即停止,简单明了很方便。

1. Python

执行命令:

[YourPort] 修改为端口号即可,如80,8080等,执行命令时是把当前目录作为webroot同时支持目录遍历,貌似也没有多的参数了。

2. PHP

执行命令(PHP5.4.0+):

参数 -S 后面为监听的IP及端口, -t 后面为webroot路径,支持解析PHP脚本,不支持目录遍历,访问的时候需要同时包含完整路径。

3. Ruby

执行命令:

参数 -ehttpd 后为webroot路径, -p 后为监听端口,支持目录遍历,貌似没什么特别的功能。

4. Python/FTP

执行命令:

参数 -p 后为监听端口。这个命令运行的是一个FTP服务器,匿名登录。

-EOF-
——————–
引用参考:

  1. [渗透技巧] 一句话开启简单的服务器
  2. PHP Manual
替换Google Fonts&Google Libs为中科大源 2

由于众所周知的原因,WordPress在使用过程中,后台及模板都会调用到Google Fonts&Google Libs的文件,如果恰逢没有科学上网工具的时候看着一直都在Loading的浏览器会觉得真是生不如死……

0. 前情提要

之前我试用过Qihoo360的Replace Google FontsReplace Google Libs插件,满心欢喜的装好就丢着不管了,直到某日骚包地发现Chrome里面大标题Mr.21是宋体……要多难看有多难看,debug了一下发现是Qihoo360的字体库压根没!有!加!载!到!

直接访问插件替换出来的URL,居然提示证书错误(HTTPS),而且两个站的证书错误提示还不一样……

此服务器无法证明它是fonts.useso.com;其安全证书来自*.yiqifa.com。出现此问题的原因可能是配置有误或您的连接被拦截了。

此服务器无法证明它是ajax.useso.com;其安全证书来自res.0kee.com。出现此问题的原因可能是配置有误或您的连接被拦截了。

yiqifa.com和0kee.com都是360名下的站点,这得有多粗糙才能做出这样的服务来啊,而且压根自己就不用的对吧!对吧!对吧?!

1. 进入主题

我焚香祭拜谷歌大神,祂给我出了个主意,让我看看中科大LUG发布的Google Fonts加速服务,一看,深得我心,走HTTPS也不会有诡异的错误提示↑,这才是良心服务商应该有的样子~

按照文中说明,我应该将下面这些前面地址换成后面的地址

fonts.googleapis.com        fonts.lug.ustc.edu.cn
ajax.googleapis.com        ajax.lug.ustc.edu.cn
themes.googleusercontent.com   google-themes.lug.ustc.edu.cn
fonts.gstatic.com          fonts-gstatic.lug.ustc.edu.cn

我试过直接修改上面提到的两个插件里面的路径,但是发现没办法用HTTPS来走,而且会有替换不了的情况……

于是,我想另辟蹊径……

2. 另辟蹊径

好吧,我又烧香了,这次我也忘了从哪里找到的,说是可以直接在Nginx的配置里面http{}段增加几个句子,从WEB服务器层面直接把输出的上面几个原始地址替换为LUG@USTC提供的加速服务,于是我照做了……

首先,需要你的Nginx有一个叫substitutions_filter_module的模块,如果没有的话,按照这里编译安装一下吧……

Tips. 如果不知道之前Nginx编译的时候带了哪些参数和模块,可以用Nginx -V查看。

然后找到你的nginx.conf,如果不知道在哪里,可以用以下命令搜索

打开它,在http{}配置段中,寻找对应},在上方增加以下配置

保存,退出,重启Nginx看看效果。

3. 后话

有个比较,嗯,不太方便的地方就是,走Web输出的相关地址,都会被替换,比如说我编辑Plugins的代码,就会发现实际上是Google Fonts的地址自动的替换成USTC的……

此例用的是LUG@USTC提供的服务,当然你也可以找谷歌大神烧香问问“Google Fonts反代”,会发现有很多公益项目都提供了,包括下面【引用参考】部分的4、5都提供这样的服务。

下次说说,Mr.21 Blog升级为HTTPS加密访问了,用的是Letsencrypt的免费证书,三个月的证书期限有点蛋疼啊……
嗯,就这样。

-EOF-
——————–
引用参考:

  1. LUG@USTC Google Fonts 加速服务
  2. 编译nginx的源码安装subs_filter模块
  3. nginx_substitutions_filter project
  4. 常用前端公共库CDN服务
  5. 公益项目:CDNJS 库以及 Google Fonts、Ajax 和 Gravatar 反代
更换域名为mr21.cc 0

思前想后,
Mr.21将原来的IN域名变更为CC域名,由 https://mr21.cc 变更为 https://mr21.cc

原域名已经301,计划恢复更新,请更新您的收藏夹和订阅链接,谢谢各位关注!(鞠躬)

六一儿童节快乐~

极路由改OpenWRT加GoAgent小记 20

去年手贱买了好几个极路由极壹,其中有个粉色的(这个比较娘炮的颜色买的时候没得挑了……),无意中了解到极路由的Firmwares是基于OpenWRT定制的,于是玩心大起,当时就把粉色极壹按照官方教程(也可参考这个教程)刷成OpenWRT,然后就丢在一边了,直到这个月中旬要进山出差就顺手带上了。

本PO主要记录一下在OpenWRT里面添加GoAgent的操作,此篇小记基本上可适用于所有OpenWRT路由器。

0. 前提

这篇POST的前提是,具备一个路由器,已经刷好OpenWRT系统。

我的是极路由极壹。通过 https://code.google.com/p/openwrt-hiwifi/ 获取编译好的OpenWRT新版固件,按照页面下方的刷机方法直接刷入路由器即可。其中,如果使用的是笔记本,最好关闭无线网卡。

我的极路由型号为HC6361,路由器名称为Yo_Pink,固件版本为OpenWrt Barrier Breaker r38140,操作的机器为Windows系统。

1. 准备

  1. 下载一份GoAgent备用,可通过这里下载,并上传服务器端到GAE,我使用的是3.1.5版。
  2. 刷好OpenWRT的路由器需配置并连上网络,因为需要下载一些组件。
  3. 安装一个趁手的SSH连接工具,我使用Xshell
  4. 准备一个可以打包文件为tar.gz或tar或tgz格式的压缩软件,我使用7 Zip
  5. 一个简单小巧的HTTP服务器软件,我使用HFS

2. 配置GoAgent

此步操作与PC上使用GoAgent相同,将下载的压缩包解压,编辑 local/proxy.ini 配置文件,需要修改两个地方

    Proxy.ini第二行修改:

    Proxy.ini第八行修改:

配置完成后可以在本机运行GoAgent.exe,并将浏览器的HTTP代理服务器设置为服务器地址127.0.0.1、端口8087进行测试是否有效可用。

3. 打包GoAgent

将GoAgent压缩包解压出来的以下文件打包为tar格式的文件,此处暂命名为go.tar

  • CA.crt
  • certs目录
  • dnslib-0.8.3.egg
  • proxy.ini
  • proxy.pac
  • proxy.py

4. 配置路由运行环境

GoAgent的客户端要在OpenWRT里面运行,需要安装几个组件,幸好OpenWRT提供了很方便的包管理工具opkg,不需要我们自己到处找组件包。

首先通过SSH连接你的路由器,一般就是你的网关了,我这里默认IP地址是192.168.1.1,在xshell里面,直接输入

然后执行 root@Yo_Pink:/# 之后的命令(后文均是如此)

等Xshell里面重新出现 # 符号,说明组件安装完成,继续。
Read More…

如何在vSphere里加载第三方设备驱动 4

闲着无聊拿办公室的台式机搭建vSphere环境测试,找来加上的一块RTL8139D的网卡虽然能识别出来,但是系统没有内置驱动,遂Google之,得出以下方法:

  1. 下载封装好的VIB格式的驱动包
    我需要的是RealTek 8139网卡的驱动,所以找到这个包net-8139-1.0.0.x86_64.vib,当然官方有最好。
  2. 将驱动包传到vSphere服务器
    如果启用了SSH可通过SFTP方式,或者直接在vSphere Client里传到相应的存储里面,或者用USB或者光驱。
    使用USB方式,可以在/vmfs/volumes找到挂载的卷名
    使用光驱据说比较麻烦,需要以下步骤:
  3. 进入vSphere的Shell
    两种方式,一个是通过SSH,一个是通过在vSphere主机键盘上按组合键Ctrl+F1,输入ROOT密码即可。
  4. 查看设备是否被识别出来
    这个简单,Linux通用命令lspci及lsusb仍然有效。
  5. 执行以下命令进入维护模式并允许安装第三方包
  6. 安装VIB格式驱动包

    实际文件路径根据情况自行修改。
  7. 退出维护模式
  8. 重启,reboot
  9. 查看是否生效
  10. Done.

-EOF-

——————–
引用参考:

  1. VSphere 5.1 i Realtek 8139 (8139too) w jednym stali domu.
  2. 如何为ESXi4&5主机安装驱动

Next Page