前两天在《Java利用无外网（上）：从HertzBeat聊聊SnakeYAML反序列化》这篇文章里说JDBC注入的时候提到H2 Database Web Console的RCE，我曾在Vulhub中对这个漏洞有一段描述：

1.4.198版本及以后的H2控制台中，添加了新的-ifNotExists选项，默认禁用远程数据库创建，这将导致攻击者必须找到一个已存在的H2数据库才能执行上述JDBC攻...

前段时间看到群友问了这样一个问题：

ldap:和rmi:关键字被拦截了，是否还可以进行JNDI注入。方法很简单，就是使用ldaps，但后来发现很多人并不知道怎么搭建LDAPS服务器，正好CoNote里有这个功能，写篇简单的文章讲讲。

0x01 LDAPs是什么

在Java JNDI注入的过程中，用户传入一个URL，Java会根据URL的scheme来判断具体使用哪个包来处理，这些包的位置在...

最近博客后台经常会出现一些来自国外的留言，基本全是一些广告，以推广SEO、推广博客工具的居多，比如这个：

这个情况这几年一直都有，我也一直在给博客增加许多限制，比如IP黑名单、关键词黑名单、增强验证码等，但总有一些漏网之鱼，而且今年特别严重。

我的博客完全是自己开发的，而非Wordpress这类通用程序，理论上应该不会有传统的通用工具能自动绕过验证码进行留言。所以我想不太通这些工具是怎么做...

搬到新加坡以后，我拥有了很多张手机卡：

• 1张国内的电话卡，回国时使用
• 1张新加坡电话卡，本地使用
• 1张马来西亚电话卡，去马来西亚旅行时使用
• 1张英国电话卡，去欧洲旅行时使用

相对应的，我需要有备用机来运行这些号码。正好手上有一台旧的iPhone XR，于是我就把其中两张卡插到了这个手机里。但随之而来的是另一个问题，手机长期插电对电池非常不友好，很有可能导致备用机电池彻底废掉。

垃圾佬的家...

今年8月得知了Heroku将要在今年11月彻底下线免费服务，我只有少量服务放在Heroku上，所以没有太在意，直到10月感觉到不得不开始做迁移相关的工作了，于是开始着手准备，并有了这篇文章。

这篇文章纯属是事后记录的一些流水账，可能缺少截图和代码片段，全当是作为一个故事看，可能不具备参考性。

为什么选择PaaS服务

从很久以前开始接触“虚拟主机”这个行业开始，我经历了虚拟主机、VPS、云主机...