这是一个创建于 370 天前的主题,其中的信息可能已经有所发展或是发生改变。
bash <(curl -Ls http://IP.Check.Place)
第 1 条附言 · 2024-06-24 22:03:53 +08:00
感谢11楼朋友发来线报
这个脚本在 github 有开源的。 https://github.com/xykt/IPQuality
 |
1
esee 2024-06-24 20:14:17 +08:00
???难不成你还真的直接执行?
|
 |
2
ETiV 2024-06-24 20:20:51 +08:00  3
有这种攻击的 POC
同一个脚本 URL ,浏览器访问 & curl 访问可以响应不同的内容 |
 |
3
kk2syc 2024-06-24 20:23:48 +08:00
哈哈,来路不明的 shell 直接执行
|
 |
4
calvinclark OP @kk2syc 没敢执行,这事原 po 主的图
|
 |
5
boywang004 2024-06-24 20:26:02 +08:00
这和陌生邮件收个 .exe 直接双击有啥区别。
|
 |
6
zjp 2024-06-24 20:31:52 +08:00
还支持一键升级 Bash 到 4.0 版本,有点贴心了😂
|
 |
7
lithiumii 2024-06-24 20:32:41 +08:00 via Android
下下来看看再执行不就行了?看内容像是综合了一堆 api ?
|
 |
8
ntedshen 2024-06-24 20:47:59 +08:00
|
 |
9
MatrixLau 2024-06-24 20:52:39 +08:00 via iPhone
看着头头是道 但是不敢跑🤣
|
 |
10
Andim 2024-06-24 21:03:21 +08:00
|
 |
11
june4 2024-06-24 21:10:29 +08:00
不但要信任作者没坏心眼,同时也要信任作者安全工作做得到位不被挂马
|
 |
12
d7101120120 2024-06-24 21:11:56 +08:00
|
 |
13
koast 2024-06-24 23:49:31 +08:00
说实话 如果它指向的链接是 raw.githubcontent.com 我点进去看看作者还敢运行 这种个人域名说实话不敢。就怕它分发的内容我看到的和实际执行的不一样 或者干脆就是概率性的随机返回正常和不正常的内容。点进去看好像没啥特别的,就是调用一堆接口传进去 IP 查信息,有条件做成 serverless 托管到 cf 上之类的变成类似 curl ip.sb 这样的就没有这种顾虑了
|
 |
14
pikko 2024-06-24 23:58:41 +08:00
那个数据统计……不显示还好,一显示我心慌
|
 |
15
drymonfidelia 2024-06-25 01:56:52 +08:00 via iPhone
@koast 这里面很多 api 必须从本机调用
|
 |
16
FlossStunning 2024-06-25 07:00:18 +08:00
浏览器访问会直接跳转到 https://raw.githubusercontent.com/xykt/IPQuality/main/ip.sh
如果担心作者加料的话可以把网址替换成这个 |
 |
17
chanwang 2024-06-25 08:48:54 +08:00 via Android
@FlossStunning 担心加料难道不应该是把脚本下回来展开查看吗? 用 GitHub 链接就安全了吗?
|
 |
18
xyholic 2024-06-25 09:38:18 +08:00
真想这样用,代码过一遍自己搭
|
 |
19
me1onsoda 2024-06-25 09:42:45 +08:00
这种一键下载脚本是真危险还不是 https ,中间人给你加点料😅
|
 |
20
Tink 2024-06-25 09:43:09 +08:00
看了一下源码,还好
|
 |
21
syntaxj 2024-06-25 09:53:07 +08:00
自从看了之前那个长滚动条滚到最右边给你加点料的源码后 现在看源码都得滚一滚😂
|
 |
22
Fred0410 2024-06-25 10:00:48 +08:00
已经装在下载机的虚拟机上使用哈哈哈
|
 |
23
NessajCN 2024-06-25 10:11:36 +08:00
你们担心脚本恶意的,直接
curl http://IP.Check.Place 下来看一眼不就完了..... |
 |
24
cJ8SxGOWRH0LSelC 2024-06-25 10:15:29 +08:00
有什么不敢的, 直接执行。
|
 |
25
JohnYep 2024-06-25 10:23:43 +08:00
刚刚试了一下不知道是什么
  https://report.check.place/IP/1ORQORGPY.svg  |
 |
27
mingwiki 2024-06-25 11:34:09 +08:00
用的 fish ,上来就执行失败了,直接在服务器操作的,想想有点害怕。
|
 |
28
hi2hi 2024-06-25 15:21:02 +08:00
MJJ 的娱乐脚本,已经出了快一个月了,作者 xy ,也是一位 mjj
|
 |
29
wuyadaxian 2024-06-25 16:25:17 +08:00
一键脚本只适合娱乐,建议新建虚拟机隔离运行。用完就删虚拟机。
|
 |
30
x86 2024-06-25 16:26:55 +08:00
老早就在用了,之前就缝合怪不过展现的没这么好看而已
|
 |
31
kevintao1024 2024-06-25 17:46:38 +08:00
我想问 怎么上传的图片?
|
 |
32
maemolee 2024-06-26 10:58:38 +08:00
这些字段知道了有啥用?
|
 |
33
DosLee 2024-06-26 15:07:36 +08:00 1
@kevintao1024 有语法学一下就行。不想学搜索一下 V2EX polish 插件(类似插件很多,自己选择,这里不做推荐)。安装后直接复制粘贴图片,插件会自己上传图床并展示
|
 |
34
nyxsonsleep 355 天前
挂在 docker 里面跑一下不就行了。
|
|
35
nyxsonsleep 355 天前
@nyxsonsleep #34 如果能逃逸 docker 虚拟环境,应该舍不得公开出来吧。
|
Select Language