Submitted by gouki on 2009, June 14, 9:45 AM
一次误操作,发现了sablog的一个小BUG,或许这个BUG平时 很多人遇不到吧。
由于最近一些评论实在太多,我就加了IP限制,不过,我并没有加上*来做IP段的限制,我都是一个IP一个IP添加的。为了添加方便,我直接在最后的IP后面加了一个“,”,结果导致我自己也不能评论了。提示我,我的IP在屏蔽列表内。
看来这就是SA的一个小BUG了,没有把为空的数据过滤掉,
PHP的函数:array_filter,就可以了啦。HOHO
不过,平时确实感觉不出来。。。勉强算个BUG吧。
但我想还有一些垃圾评论的关键字,如果也用了这个,那。恐怕别人也回复或者评论不了了。。。
BTW:刚解禁,就发现后台有了几条来自同一IP的垃圾评论。唉。。。
(再BTW:好象最近SA被人攻破了?官方论坛上很多人在抱怨了。。。看来如果Sa不解决这个问题,就要被人BS了。。。如果一个月内不解决。恐怕我也会考虑换wp了)
Submitted by gouki on 2009, June 12, 2:58 PM
最近,飞信好象有了新的更新。在这次更新的基础上,原来所有的API好象都不能用了。估计那些做OPen source的朋友们又不得不去研究URL和抓包处理调试了。
飞信确实有点方便,对于我来说飞信有几个作用
1、服务器定时检测(具体内容可以搜索回忆未来张宴的博客,用某段代码定期检查某个进程,如果发现不正常,通过API发短信通知)
2、SPAM报警(对于垃圾信息、恶意评论等报警:如果评论在一小时内激增,那肯定中招,或者评论中出现某些不良字符,短信通知)
3、好友联系(对于论坛管理员来说,召开管理人员大会,用这个工具,发短信那是相当方便)
其实还有更多创意,HOHO,在这里放上飞信的广告。
我为您提供了创意,也希望您能为我留下一点足迹。。。
呵呵
Submitted by gouki on 2009, June 12, 7:17 AM
看了一下搜索记录,很多朋友到我的勃客上来,都选择了搜索neatpic目录直读版。
这个程序大约在06年左右就没有更新了。
毕竟,neatpic只是一个文件,可做的东西非常少,而且当初是在PHP4下面编写的程序,很多PHP5的高级特性也没有用上。
甚至一些读取目录的算法在如今看来,也是已经有点落后了。不过这也是时代所导致的。
后来出了很多修改版,其中爆上传漏洞的,大多数是把上传开放的版本(原版是需要登录才允许上传图片)。即使这样,如果设置了权限和openbase_dir的话,应该也是没事的。当然,这里面也有对路径判断的不够严谨导致的。
如今walkerlee也不知道在忙些啥,谁知道呢。卖机票?唉。。。不清楚了
如果对neatpic有什么问题,还是可以在这里提问。翻一下源代码,我想,我还是可以知道是怎么回复的吧?HOHO。
Submitted by gouki on 2009, June 11, 11:41 AM
单位的一些代码不想被其他人所访问,因此做了点小小的测试,即利用 apache 的basic auth进行验证
htpasswd -c passwdfile user
创建一个用户,然后在apache的conf里加入以下几行代码,加在directory标签中
在同事的测试下才想起,通过域名访问的时候,已经是公网IP了,所以把allow from 192.168.0 改为公网IP(公司内部对外的公网IP前三段)
OK,全解决了。
就因为访问域名的时候,来源是公网IP而不是内网IP,在那里折腾了一个多小时。细节啊。。。郁闷
Submitted by gouki on 2009, June 9, 5:21 PM
本文是yhustc在娱乐之余利用PHP代码写的刷骨头的文章,现在不知道还能不能用了,但思路和技巧可以参考(这里还有一篇利用greasemonkey来玩开心农场的文章,也可以学习一下哦)
原文网址:http://www.yhustc.com/Blog/172.html
从文章中可以了解,这里面最关键的算法在于code的计算,每一次操作都会返回一个key,用于计算下一次操作的code。如果没有这个,那你所做的外挂程序就无效了。
根据yhustc提供的流程,建议采用firefox(使用firebug插件)进行查看分析(当然还有更多的HTTP分析软件)
不多说了,原文如下:
PHP写的,重在分析,不在可以全文COPY的代码。
校内赚骨头的方法很多,最快的是邀请一下自己的MSN好友,一次送400根。用自己的MSN用户名密码登录后,选任何一个好友(比如自己的MSN小号),直接确定,400根骨头到货了。
。
但是要不断的得到新的骨头,还要速度快,得靠刷。刷骨头有几个方法,一个是自动玩飞盘,接中一次3根骨头,总体趋势还是赚的。一种是喂其他人的小狗,要喂饥饿,体力为0的,有一根以上的骨头反馈,我遇到过奖20根骨头。
我用的就是第二个方法,因为我发现不是好友的小狗也是可以喂的,也就是喂狗的页面把那个pid从1到***不断的狂加,每个页面试一把,找到饥饿的小狗就喂。
流程如下:
1、登录拿到自己的校内id (actor_Fid)。
2、http://dog.xiaonei.com/pet-profile.do?method=dogXML&&pid+自增ID+&t=毫秒单位时间戳得到小狗的XML格式的属性和用于计算验证code的key
3、如果是饥饿的小狗,喂水、喂食,pid加一回到第二步去找下一只饥饿的小狗
4、喂水、喂食用的是同一个method,只是active_Fid这个参数不同,都会返回当前状态和下一轮计算使用的key,可以在这里检查一下返回,如果狗粮不够了,自动去买一下(这一步很简单,就是一个POST)
补充:首发的时候忘记说明了,买狗粮因为买40kg的,每一袋至少赚6根骨头(喂一只狗花1Kg狗粮,最少加一 根骨头,40Kg狗粮34根骨头一袋),所以默认是买40kg的狗粮,那就要求程序第一次运行的时候有足够的骨头。如果没有这么多,可以修改 Dog.php第139行,把"buy_id"=>3设置成1或2,也就是买5或20Kg的狗粮。
一天刷下来能刷很不少骨头,外加爱心等级飙升。
关键的算法在于code的计算,每一次操作都会返回一个key,用于计算下一次操作的code,参考了一下别人的文章,计算code用下面这个函数
后面那堆字符问我怎么知道的?抄的。google 校内狗狗 key code,看到一篇分析文章,他反编译了那个flash,看到的字符串常量。要不然鬼能反过来算这个md5里面是啥。
有了这个code外加cookie,校内的验证就算是过了,那么不断的找饥饿的小狗,post相应动作,其实就跟自己人肉搜索饥饿小狗,再点那个 flash一样。详细代码见附件列表。里面有个Http基类,这个里面封装了curl的get和post操作,带cookie。如果要写需要维护登录状态 的PHP代码,倒是可以用用,直接extends Http,然后调用$this->get $this->post就可以了。
说一下玩飞盘吧,这个实现也就是一个POST请求,返回的数据里会有小狗的属性,可以在体力不足的时候POST一个喂食操作。但是当玩到一定次数的 时候,会有验证码,其实这个验证码破解不难,有兴趣的可以捣鼓捣鼓,切割成单个字母用最大相似度匹配应该可以。由于我自己只是看看流程,不玩狗狗,所以没 有写这部分代码。
运行方式:修改Dog.php最下面的用户名和密码,把php目录添加到path里,在控制台下运行php Dog.php即可。
附件嘛。。。。我这里可以下载,也可以去原文进行下载。
| « 2024年12月 » | ||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
[646] [9] [38] [14] [2] [12] [305] [64] [284] [227] [161] [234] [9] [23] [12] [965] [92]