LMark的博客

Hello大家好，这里是LanternMark，今天给大家分享一下我的一次水卡破解经历。 （本文只技术交流分享，滥用者自行承担责任，与本文作者无关） 0x0.前言​ IC卡，即Integrated Circuit Card，集成电路卡,像我们平常看到的银行卡，地铁卡，还有校园里的饭卡，智能校徽等等，这些都属于IC卡。想必大家一定不陌生，但是大家有没有关注过IC卡的原理以及安全性。希望通过这篇文章，给大家一些启发。 0x1.准备工作​ 工欲善其事，必先利其器。在开始读卡之前，先准备好以下的东西: 一块读卡芯片（比如PN532） 一台有NFC功能的手机，和配套的软件（比如MCT） 一张水卡 一颗耐心(很重要) ​ 芯片这里我用的是PN532，一块很便宜的读卡芯片，某宝上30多就能买到了，都准备好之后，就可以开始破解了。 0x2.开始破解​ 首先，先打开手机的NFC功能，读取一下这张水卡，会得到以下的结果。 ​ 可以看到，除了13扇区之外，其他扇区都是用的默认密钥，这就给这张卡片带来了很大的安全风险，因为像这种没有全部加密（半加密）的卡片，是可以利用I ...

起因放假闲来无事，在B站冲浪，看到有人在讨论IC卡，我在这方面刚好还是有这么一点了解，就拿MF1卡给别人举了个例子，然后MF1卡就被开除出IC卡籍了。 有点气，但是仔细想想，网上关于这些卡的介绍知识太少了，有些人区分不了也很正常，于是我查阅大量资料，才有了这篇文章。 前置知识先给大家捋清楚几个不同的名词：ID卡，IC卡，RFID卡，CPU卡，m1卡，MF1卡，UID卡,CUID卡。。。 看到这对名词想必大家头都大了，但是，今天我就带大家搞清楚这每一个名词的意思，以及目前市面上比较常见的卡的类型的介绍。 RFID卡和IC卡首先，大家需要知道的一个名词是：RFID 这是什么意思？我摘抄了Wiki上的介绍，帮助大家理解：射频识别 - 维基百科，自由的百科全书 (wikipedia.org) 射频识别（英语：Radio Frequency IDentification，缩写：RFID）是一种无线通信技术，可以通过无线电信号识别特定目标并读写相关数据，而无需识别系统与特定目标之间建立机械或者光学接触。 可以看到，RFID不是一种卡的代号，而是一种技术，一种非常常见的技术，使用了这个技术的 ...

起因前两天，黄哥找到我说，有个网站挂了，需要我去恢复一下，然后给了我账号密码，然后我就去看了一下，然后发现网站使用的是flask搭的，但是，我不太了解，完全不知道是用什么来启动的。甚至nginx都没配软连接，后面拿到了帮助文档才知道，原来使用Supervisord来启动和守护进程。因为之前阿里云服务器空调故障，导致服务器宕机。这个Supervisord直接异常退出了，按照网上的方法，并没有用，然后就去研究了一下。 关于SupervisordSupervisor 是一个用 Python 写的进程管理工具，可以很方便的用来在 UNIX-like 系统（不支持 Windows）下启动、重启（自动重启程序）、关闭进程（不仅仅是 Python 进程）Supervisor 是一个 C/S 模型的程序，supervisord 是 server 端，supervisorctl 是 client 端 supervisord的出现，可以用来管理后台运行的程序。通过supervisorctl客户端来控制supervisord守护进程服务，真正进行进程监听的是supervisorctl客户端，而运行super ...

问题起因最近把一个Django项目部署上服务器的时候，发现了一个问题。在收集静态资源的时候，发现后台Admin的样式资源不生效， 具体表现在，执行了collectstatic命令后，提示copy成功 但是实际上，项目目录下并没有收集到文件。 问题分析反复收集了几次，还是不生效。都显示已经收集了，并没有修改。 首先一开始我先按照网上的方法，排除了一些常规的原因，然后开始想想还能有什么离谱的bug，先看看配置文件。 看似并没有什么问题，也确实没什么问题。但实际上这是个巨坑的地方 解决方法非常坑爹的一个地方，先把STATICFILES_DIRS给注释掉，然后再把STATIC_ROOT里的/static/给改成static，如下图： 这样一来就能正常收集了 在收集完静态文件后记得把settings修改回来。

问题复现最近装了新电脑，很多东西都没配置，都是很久以前在笔记本上配置的。结果现在台式上有一堆环境问题，就比如今天这个Git推送的问题就是一个。 众所周知，由于某些不可抗力因素，github在的登录属于一个玄学的问题，偶尔运气好就能裸连，运气不好直接连push都push不上。 解决方法为了解决这个问题，我们一般想到的方法就是走一下代理，但是Clash开启之后，我们可以在网页端正常访问github，但是push还是不行。问题的根源是：普通的代理模式，流量都是走一个特定的端口，与服务器通信，但是git的流量不会走。所以我们需要手动绑定一下代理。 方法非常简单，这里以Clash为例，其他软件的配置也大差不差。 打开Clash，马上就可以看到它使用的代理端口，这里为7890 接下来，给git设置代理，方法如下： 方法一 直接使用命令直接在Bash里输入命令设置全局http/https代理 123git config --global http.proxy http://127.0.0.1:7890 git config --global https.proxy https://127.0.0 ...

开头搬到新校区，宿舍终于不断电了，考虑了很久的台式机计划终于可以搞了，加上第三个项目预支了4000的项目款，终于可以组一台自己的电脑了 配置声明：我没有仔细挑过。而且这方面可以说是一窍不通，看了一周视频速成了一下。 主板： 华硕 TUF B550M-PLUS WIFI Ⅱ 显卡：5700G的核显 CPU：锐龙7 5700G 盒装（带风扇） 内存：科赋雷霆马甲条3600MHz 16G ×2 电源：艾湃电竞金牌全模组650W 硬盘：三星980 1TB版 机箱：长城 阿基米德9PRO 散热：原装 因为买的时候打算当传家宝来用了，所以有些配置是冗余的，价格偏贵。至于总共价格，留到后面再说。 组装组装电脑的过程还是挺有趣的，虽然遇到了不少问题。机箱是最先到的，结果拿到手后才发现机箱有点大过头了，毕竟可以兼容E-ATX主板。 首先先是主板，装主板可以说是最复杂的了。不仅有许多排线，还有很多螺丝需要拧。 第一步，先装CPU，拆开CPU的时候，没想到CPU竟然这么重，沉甸甸的，感觉发热会不小。 小心翼翼地打开主板的卡扣，然后小心翼翼地取出CPU，看着密密麻麻的针脚，真想给他全部薅弯。装的时候 ...

总所周知，中科大每年都会举办一个HackGame，今年也不例外。 今年的比赛从2022 年 10 月 22 日 中午 12:00开始，到 10 月 29 日 中午 12:00（共七天）。在这7天里，我们可以不吃不喝来夺旗（bushi）。题目有难有易，而且对新手还挺友好，像我这样毛都没学过的都可以浅浅拿个1900。遂写篇博客浅浅记录一下这个比赛经历。 先贴一下结果。我好菜呜呜，主要记录一下一些我觉得有意思的题目和解题方法。为了记录一下，我怕我以后都忘记我还会写这个。 签到题目 在规定时间内写下2022来签到。 题解其实只要手速超过光速，可以直接签下四个大字即可（bushi）。要是你没有这么快的手速，还是老老实实找一下方法把，可以看到，他是本地识别，然后再将识别结果用GET请求传给后端。 所以只要直接修改GET请求，修改为2022即可。 猫咪问答喵题目 题解猫咪问答可以说是Hackgame的经典题目了，是一道有关中科大的信息收集题。如果你有中科大同学你可以直接去问问他们（bushi） 先讲一下前三题， 第一题直接在浏览器搜索中国科学技术大学 NEBULA 战队，第一篇里面就有。 ...

前言书接上回。自从买了路由器之后，一周都在不停的刷固件来玩，至今也刷了十几个了。其实当初买k2p的主要目的还是想多拨。因为我们学校校园网一台设备只有40Mbps的上下行带宽。在2022年，家里WiFi都已经是几百兆的时代，40兆的校园网真的太拉了。而且一个账号只能连三台设备，我一个人都有6台需要联网的设备（3台手机+1台ipad+1台电脑+1个小爱同学）。所以整了个二手k2p。但是感觉翻车了，现在只能凑合用了。 刷入Openwrt固件k2p有很多很好用的固件，像老毛子，潘朵拉，高恪，op等等。这里我选op。是因为op支持我校园网的多拨。虽然高恪也支持多拨，但是只支持传统的PPOE拨号，不支持DHCP认证。 要是已经刷入op系统可以跳过哦 废话不多说，首先呢我们先要去网上找k2p的op固件，可以自己编译也可以用别人编译好的。找固件可以上恩山无线论坛 (right.com.cn)的斐讯专区里的k2p专区，这里有很多，随便找一个。 需要注意的是，你的k2p的芯片的型号是什么，这个可以在路由器底部的铭牌上找到