传统认知中,DNS TXT记录大小限制在255字节。但实际上,通过利用DNS协议的特性,特别是TCP协议和自定义JSON解析,可以突破这一限制,传输高达64KB的数据!作者通过一个巧妙的实验,利用Google公共DNS的JSON API和自定义Go服务器,成功传输了一个包含大型二进制数据的TXT记录。这不仅是一个技术炫技,也为网络安全领域提出了新的挑战,例如潜在的DNS隧道攻击。
阅读更多
一个 Git 漏洞允许攻击者通过精心构造的 .gitmodules 文件,利用回车符 (CR) 和换行符 (LF) 的处理差异,在 Unix-like 系统上执行远程代码。攻击者可利用 CRLF 注入,修改子模块的路径,从而将子模块克隆到意想不到的目录,实现代码执行。该漏洞已修复,建议更新 Git 及其嵌入式版本。
阅读更多
文章介绍了一种利用VT100终端的DECDHL转义序列来显示放大表情符号的方法。通过将表情符号的上半部分和下半部分分别输出到连续的两行,可以实现表情符号的垂直放大效果。文章还展示了如何组合不同的表情符号来创造出新奇的效果,例如将无表情脸和无嘴脸组合成一个新的表情。此外,文章还提到了Kitty终端中更现代的调整文本大小的方法。总而言之,文章以一种轻松有趣的方式介绍了在终端中玩转表情符号的技巧,并探讨了不同终端技术的应用。
阅读更多
近期,一款名为Ghostty的新终端模拟器发布了1.0版本。安全研究员David Leadbeater发现,Ghostty存在一个与2003年发现的CVE类似的安全漏洞(CVE-2024-56803),攻击者可利用终端的标题查询功能执行任意代码。该漏洞利用了终端内带信号的特性,以及Zsh在vi模式下的行为。攻击者可以通过精心构造的转义序列,在用户不知情的情况下执行恶意命令,甚至通过SSH连接进行远程攻击。Ghostty已发布1.0.1版本修复此漏洞,并建议用户升级或使用提供的缓解措施。
阅读更多